Kadir Bey Sızma testleri ile ilgili olarak aşağıdaki notu bilginize sunuyorum. Bunu daha önce başka bir soru soran firmaya yollamıştım:
Gerçek yasal dayanak aşağıdaki linktedir. https://www.kvkk.gov.tr/Icerik/4110/2018-10 Burada şu ifadelere dikkatinizi çekerim: 3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması, ç) şıkkında "güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli yapılması / yaptırılması", yani dışarıdan mutlaka bu hizmetlerin zorunlu olarak alınması şartı yok. Saygılarımla, Zühtü Kayalı Yönetim Sistemleri Danışmanı Yönetim Sistemleri Tetkikçisi 507.378 78 80 On 25 Aug 2020 09:40 +0300, Kadir Güvener <[email protected]>, wrote: > Merhabalar, > > Öncelikle her birinize cevaplar için çok teşekkür ederim. > > @Onur KARAAHMETOĞLU Bey; DLP çözümüne direk atıfta bulunulan bir madde yok > sanırım. Bu arada veri sınıflandırması için kendimiz ne tür bir çözüm > üretebiliriz örneklendirebilirseniz çok sevinirim. > > @Erdem KAYAR Bey; Bilgi için çok teşekkürler. Genel olarak USB cihazlara veri > aktarımı yasakladık. Verinin bu durumda dışarı çıkartılması için network > kalıyor geriye. Bu durumda verinin e-posta ile gönderimini, cloud ortamlara > aktarımını şirket networkünde de yasakladık ancak kişisel bir internete > bağlandığında bunu nasıl koruyabileceğiz bu konuda net bir çözüm yok olsa > gerek. Aslında kullandığımız vpn yazılımı bir kişisel internete bağlanır > bağlanmaz otomatik connected oluyor ve şirket güvenlik kuralları bu durumda > da uygulanabiliyor. Bu durumda verinin dışa çıkarımını engellemek adına bir > tek mail tarafında çözüm üretmemiz gerekiyor diye düşünüyorum. O365 için > bildiğim kadarı ile etiketleme ve dlp çözümü var diye gördüm. Önemli olan > doğru etiketleri üretebilmek sanırım. Zira yabancı bir firma olduğumuz için > oluşturulacak tüm etiketlerin Türkçe olması gerekiyor > > @Onur Barcın Bey; Bahsettiğiniz denetim olası bir şikayet durumunda gelen > denetçi ekip mi? Yoksa bu yasa için bir denetim planımı var? E3 lisansına > sahip pakette veri sınıflandırma var ve ayrıca bildiğim kadarı ile DLP çözümü > de var (birkaç forum sitesinde okumuştum ve nasıl yapılacağı ile ilgili > makalaler var) bu arada veri sınıflandırmasını yapabilmek için tüm verilerin > aslında bir yazlım ile etiketlenmesi gerekiyor değil mi? Etiketlenmeyen bir > veriyi sınıflandırmak mümkün değil. Bu durumda oluşturulan her dosyanın > sınıflandırmasını nasıl zorunlu kılabiliriz? Atıyorum a kişisi bir excel > oluşturdu ve bu dosya çok kritik veri içeriyor. A kişisi bu dosyaya “özel” ve > ya “gizli” şeklinde bir sınıflama yapmazsa bir anlamı kalmaz diye > düşünüyorum, bu konuda düşünceniz nedir? > > @Volkan EVRİN Bey; veri sınıflandırma konusunda ne tür bir süreç > izleyeceğimizi açıkçası hala bilmiyorum. Hangi yazılımı / çözümü kullanmamız > gerekiyor, o365 ile bu süreci yürütebilir miyiz / nasıl yürütebiliriz bunu > bilmiyorum. Şirketteki tüm çalışanlarımız datalarını onedrive ile senkronize > ediyor ve dolayısı ile aslında yurtdışına aktarım sözkonusu ancak büyük/orta > ölçekli bir çok firma O365 altyapısını kullanıyor. Sizinde söylediğiniz gibi > bu konu gerçekten çok karmaşık ve bir şekilde bu konuda bir çözüm > getirilmeli. Bu doğrusunu söylemek gerekirse yerel bir çözüm ile olacak iş > değil. Bir şekilde O365 kullanımına olanak tanınmalı kanımca. Bekleyelim ve > görelim zaman ne getrecek. > > @Ömer KILINC Bey; kesinlike katılıyorum. Ayrıca Bir DLP çözümü aldık diyelim. > Ya da bir sınıflandırma yazılımı aldık diyelim. Bunu çok iyi derecede > yapılandıramadıktan sonra hiçbir anlamı yok ki? Açıkcası bir çok firmanın DLP > yi tam anlamıyla kullandığını ve yapılandırabildiğini hiç sanmıyorum. DLP var > mı? Evet var ama doğru çalışmıyor. Sırf dlp almak için da yatırım yapmak bana > çok saçma geliyor. Bahsettiğiniz Microsoft çözümü O365 ile gelen DLP ve veri > sınıflandırma mı hocam ? > > @Mehmet Tolga ERTURK Bey; Aslında veriler genel olarak İK nın kullandığı > özlük programlarında, erp programlarında genel olarak. Bunun dışında her > kullanıcının kullandığı client üzerinde tutuluyor. Veri keşif uygulamasından > kasıt nedir? Hangi yazılımlardır ve çalışma mantığı nedir biraz bilgi > verebilir misiniz rica etsem? Bir de en çok kafamı kurcayalayan soru, örneğin > bir dosyayı Word/excel olarak saklıyoruz. Diyelim ki bu dosya bir kişisel > veri içersin. İmha süresini 10 yıl düşünelim. Bu dosyanın 10 yıl sonra > silinmesini nasıl otomatikleştirebiliriz ki? Bir çok departman veri > envanterine veri girdi diyelim. Bu verilerin imha süresi geldiğinde bunun > nasıl takibini yapabilir? Mutlaka manuel süreçlerde bu unutulacak ve ya > atlanacaktır diye düşünüyorum. > > @Zühtü KAYALI Bey; Çok güzel anlatmışsınız öncelikle çok teşekkür ederim. > Aslında sizinde ilettiğiniz gibi piyasada kvvk adı altında ürün satmaya > çalışan o kadar çok fırsatçı firma var ki anlatamam. İnanın telefonla arayan > bir çok tedarikçi insanlara sanki bu ürünler kullanılmazsa cezadan başınız > kalkmayacak tarzında insanları etkilemeye çalışıyor ve eminim başarılıda > oluyorlar. Bahsettiğiniz gibi DLP aslında KVKK ile sık konuşulmaya başlansa > da yıllar önce ciddi ve kurumsal bazı firmalar tarafından zaten > kullanılıyordu. Penetrasyon konusu hazır açılmışken sormak istiyorum > affınıza sığınarak. Gerçekten her yıl bir penetrasyon testi yaptırmak > zorundamıyız? Bu konuda sizin yorumunuz nedir? > > BR. > Kadir Güvener > > From: Liste [mailto:[email protected]] On Behalf Of Onur > KARAAHMETOĞLU > Sent: Monday, August 24, 2020 12:16 PM > To: [email protected] > Subject: Re: [NetsecTR] KVKK Veri sınıflandırma ve DLP > > Kadir bey merhabalar > > Dlp çözümüne sahip olmanız gerekiyor, teknik tedarik kapsamında ama veri > sınıflandırması için > Kendinizde çözüm geliştirebilirsiniz. > 11:56, 24 Ağustos 2020, "Kadir Güvener" <[email protected]>: > > Merhaba Arkadaşlar; > > > > KVKK için bir veri sınıflandırma ve DLP çözümü almak zorundamıyız? Bununla > > ilgili çok fazla bilgi ver. Kimisi almak zorundasın diyor kimisi bunun bir > > pazarlama stratejsi olduğunu söylüyor. Yurtdışı merkezli bir firmayız ve > > O365 kullanıyoruz. Bildiğim kadarı ile O365 de DLP ve data sınıflandırma > > özelliği var. Bunu kullanabilir miyiz? Kullanan var mı ? > > > > teşekkürler > > > > > > BR. > > Kadir Güvener > > > > ------------------------------------------------- > > Üyelikten ayrılmak için > > [email protected] adresine mail atabilirsiniz. > > > > ------------------------------------------------- > > > Onur Karaahmetoğlu > 05326707505 > ------------------------------------------------- > Üyelikten ayrılmak için > [email protected] adresine mail atabilirsiniz. > > -------------------------------------------------
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
