Classification: Public Kadir Bey Merhaba,
Bildiğim kadarıyla şuan için bir şikayet veya veri sızıntısı durumunda denetlemeye geliyorlar. Şunu unutmayın ki kurumunuzda kişisel verilerin içerden veya dışardan bir kaynak tarafından ele geçirilmesi/çalınması/sızdırılması durumunda KVKK kurumuna veri sızıntısını, şikayet olmasa dahi, kanunen bildirmek zorundasınız. Örn: Kariyer net 50.000 kullanıcının verilerinin sızması. Şuan için hiçbir şikayet veya veri sızıntısı yokken denetim yapıldığını duymadım. Ama ilerde bunun olmayacağını garanti etmek pek mümkün değil. Benim tahminim verbis kaydı yapıldıktan sonra bir olay olmasa bile rastgele denetimlerin olacağı yönünde. Burada öncelikle ana işi nihai tüketici olan kurumlar denetlenecektir diye düşünüyorum. Genelde Veri sınıflandırma ve etiketleme birbirinden ayrı süreçler değiller. Sınıflandırma yapılması için ayrı bir yazılımla etiketleme yapılmasına gerek yok. Genelde dokümanlar otomatik veya manuel sınıflandırılırken sınıfa göre uygun etiketlerde dokümanlara basılıyor. Sınıflandırma çözümleri içerikler oluşturulurken veya mail atılırken (belli sınırlar dahilinde) içeriği tarayıp belirlediğiniz kelimeleri (TCKN, Kredi kartı, telefon vb.) yakalayarak otomatik sınıf atayıp etiket basabilir veya kullanıcıyı sınıflandırmaya zorlayabilir. E3 paketinde basit bir sınıflandırma olduğunu daha öncede söylemiştim. 1 yıl önceki araştırmalarım doğrultusunda E3 içerisindeki sınıflandırma, bir önceki paragrafta belirttiğim içerik tarama, otomatik sınıflandırma ve sınıflandırmaya zorlama fonksiyonlarını içermiyordu. Bu konuda deneyimli bir firmayla görüşürseniz size güncel durum hakkında en doğru bilgileri aktaracaktır. Sınıflandırma çözümlerinde her ne kadar otomatik sınıflandırma özellikleri olsa da birçok senaryoda özellikle iş süreçlerinin aksamaması için sınıflandırmayı kullanıcıların manuel olarak yapması gerekecektir. Buradaki asıl kazanım bu durumları raporlayarak şirketinizin risk içeren süreçlerini belirleyip, yapabiliyorsanız bunları değiştirmek veya alabileceğiniz farklı önlemleri belirlemek olacaktır. Önemli Not: Ölçeğinizi ve sektörünüzü bilemiyorum ama bu işi kurumunuz için doğru bir şekilde yapabilmeniz için öncelikle kurumunuzun hangi süreçlerde, hangi verileri, hangi amaçlarla kullandığını/sakladığını, nasıl topladığını, kimlerle paylaştığını belirlemelisiniz. Bunların bir kısmının önüne idari tedbirlerle geçebilirken, diğer kısmının önüne teknik tedbirlerle (sınıflandırma, dlp, şifreleme vb.) geçebilirsiniz. Bu işleri zaman ayırabiliyorsanız kendinizde yapabilirsiniz yada kvkk danışmanlık hizmeti(hem hukuksal hem teknik açıdan) alabilirsiniz. İyi çalışmalar. Onur Barcın 0543 684 78 90 Bu eposta Onur Barcın tarafından TITUS Message Classification<http://www.detech.com.tr/titus-siniflandirma-suiti/> ile Genel sınıfında etiketlenmiştir ve Kişisel Veri İçermemektedir. From: Liste <[email protected]> On Behalf Of Kadir Güvener Sent: Tuesday, August 25, 2020 2:16 AM To: [email protected] Subject: Re: [NetsecTR] KVKK Veri sınıflandırma ve DLP Merhabalar, Öncelikle her birinize cevaplar için çok teşekkür ederim. @Onur KARAAHMETOĞLU Bey; DLP çözümüne direk atıfta bulunulan bir madde yok sanırım. Bu arada veri sınıflandırması için kendimiz ne tür bir çözüm üretebiliriz örneklendirebilirseniz çok sevinirim. @Erdem KAYAR Bey; Bilgi için çok teşekkürler. Genel olarak USB cihazlara veri aktarımı yasakladık. Verinin bu durumda dışarı çıkartılması için network kalıyor geriye. Bu durumda verinin e-posta ile gönderimini, cloud ortamlara aktarımını şirket networkünde de yasakladık ancak kişisel bir internete bağlandığında bunu nasıl koruyabileceğiz bu konuda net bir çözüm yok olsa gerek. Aslında kullandığımız vpn yazılımı bir kişisel internete bağlanır bağlanmaz otomatik connected oluyor ve şirket güvenlik kuralları bu durumda da uygulanabiliyor. Bu durumda verinin dışa çıkarımını engellemek adına bir tek mail tarafında çözüm üretmemiz gerekiyor diye düşünüyorum. O365 için bildiğim kadarı ile etiketleme ve dlp çözümü var diye gördüm. Önemli olan doğru etiketleri üretebilmek sanırım. Zira yabancı bir firma olduğumuz için oluşturulacak tüm etiketlerin Türkçe olması gerekiyor @Onur Barcın Bey; Bahsettiğiniz denetim olası bir şikayet durumunda gelen denetçi ekip mi? Yoksa bu yasa için bir denetim planımı var? E3 lisansına sahip pakette veri sınıflandırma var ve ayrıca bildiğim kadarı ile DLP çözümü de var (birkaç forum sitesinde okumuştum ve nasıl yapılacağı ile ilgili makalaler var) bu arada veri sınıflandırmasını yapabilmek için tüm verilerin aslında bir yazlım ile etiketlenmesi gerekiyor değil mi? Etiketlenmeyen bir veriyi sınıflandırmak mümkün değil. Bu durumda oluşturulan her dosyanın sınıflandırmasını nasıl zorunlu kılabiliriz? Atıyorum a kişisi bir excel oluşturdu ve bu dosya çok kritik veri içeriyor. A kişisi bu dosyaya “özel” ve ya “gizli” şeklinde bir sınıflama yapmazsa bir anlamı kalmaz diye düşünüyorum, bu konuda düşünceniz nedir? @Volkan EVRİN Bey; veri sınıflandırma konusunda ne tür bir süreç izleyeceğimizi açıkçası hala bilmiyorum. Hangi yazılımı / çözümü kullanmamız gerekiyor, o365 ile bu süreci yürütebilir miyiz / nasıl yürütebiliriz bunu bilmiyorum. Şirketteki tüm çalışanlarımız datalarını onedrive ile senkronize ediyor ve dolayısı ile aslında yurtdışına aktarım sözkonusu ancak büyük/orta ölçekli bir çok firma O365 altyapısını kullanıyor. Sizinde söylediğiniz gibi bu konu gerçekten çok karmaşık ve bir şekilde bu konuda bir çözüm getirilmeli. Bu doğrusunu söylemek gerekirse yerel bir çözüm ile olacak iş değil. Bir şekilde O365 kullanımına olanak tanınmalı kanımca. Bekleyelim ve görelim zaman ne getrecek. @Ömer KILINC Bey; kesinlike katılıyorum. Ayrıca Bir DLP çözümü aldık diyelim. Ya da bir sınıflandırma yazılımı aldık diyelim. Bunu çok iyi derecede yapılandıramadıktan sonra hiçbir anlamı yok ki? Açıkcası bir çok firmanın DLP yi tam anlamıyla kullandığını ve yapılandırabildiğini hiç sanmıyorum. DLP var mı? Evet var ama doğru çalışmıyor. Sırf dlp almak için da yatırım yapmak bana çok saçma geliyor. Bahsettiğiniz Microsoft çözümü O365 ile gelen DLP ve veri sınıflandırma mı hocam ? @Mehmet Tolga ERTURK Bey; Aslında veriler genel olarak İK nın kullandığı özlük programlarında, erp programlarında genel olarak. Bunun dışında her kullanıcının kullandığı client üzerinde tutuluyor. Veri keşif uygulamasından kasıt nedir? Hangi yazılımlardır ve çalışma mantığı nedir biraz bilgi verebilir misiniz rica etsem? Bir de en çok kafamı kurcayalayan soru, örneğin bir dosyayı Word/excel olarak saklıyoruz. Diyelim ki bu dosya bir kişisel veri içersin. İmha süresini 10 yıl düşünelim. Bu dosyanın 10 yıl sonra silinmesini nasıl otomatikleştirebiliriz ki? Bir çok departman veri envanterine veri girdi diyelim. Bu verilerin imha süresi geldiğinde bunun nasıl takibini yapabilir? Mutlaka manuel süreçlerde bu unutulacak ve ya atlanacaktır diye düşünüyorum. @Zühtü KAYALI Bey; Çok güzel anlatmışsınız öncelikle çok teşekkür ederim. Aslında sizinde ilettiğiniz gibi piyasada kvvk adı altında ürün satmaya çalışan o kadar çok fırsatçı firma var ki anlatamam. İnanın telefonla arayan bir çok tedarikçi insanlara sanki bu ürünler kullanılmazsa cezadan başınız kalkmayacak tarzında insanları etkilemeye çalışıyor ve eminim başarılıda oluyorlar. Bahsettiğiniz gibi DLP aslında KVKK ile sık konuşulmaya başlansa da yıllar önce ciddi ve kurumsal bazı firmalar tarafından zaten kullanılıyordu. Penetrasyon konusu hazır açılmışken sormak istiyorum affınıza sığınarak. Gerçekten her yıl bir penetrasyon testi yaptırmak zorundamıyız? Bu konuda sizin yorumunuz nedir? BR. Kadir Güvener From: Liste [mailto:[email protected]] On Behalf Of Onur KARAAHMETOĞLU Sent: Monday, August 24, 2020 12:16 PM To: [email protected]<mailto:[email protected]> Subject: Re: [NetsecTR] KVKK Veri sınıflandırma ve DLP Kadir bey merhabalar Dlp çözümüne sahip olmanız gerekiyor, teknik tedarik kapsamında ama veri sınıflandırması için Kendinizde çözüm geliştirebilirsiniz. 11:56, 24 Ağustos 2020, "Kadir Güvener" <[email protected]<mailto:[email protected]>>: Merhaba Arkadaşlar; KVKK için bir veri sınıflandırma ve DLP çözümü almak zorundamıyız? Bununla ilgili çok fazla bilgi ver. Kimisi almak zorundasın diyor kimisi bunun bir pazarlama stratejsi olduğunu söylüyor. Yurtdışı merkezli bir firmayız ve O365 kullanıyoruz. Bildiğim kadarı ile O365 de DLP ve data sınıflandırma özelliği var. Bunu kullanabilir miyiz? Kullanan var mı ? teşekkürler BR. Kadir Güvener ------------------------------------------------- Üyelikten ayrılmak için [email protected]<mailto:[email protected]> adresine mail atabilirsiniz. ------------------------------------------------- Onur Karaahmetoğlu 05326707505
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
