Categories
MAKALELER

 

Geçtiğimiz ay başlattığımız teknik makale serimizin yenisiyle karşınızdayız.

Hatırlayacak olursak;

Kişisel Verileri Koruma Kanunu kapsamında yapılması gereken uyum çalışmaları hukuki boyutunun yanı sıra bilişim altyapısında da düzenlemeleri içeriyor. Veri güvenliği boyutunu ele aldığımızda uluslararası standartların (ISO 27001/27002, BS 10012) ortak noktalarını karşımızda görmekteyiz.

Bu makale serisinde gerek mevzuat, gerekse kurulun yayınladığı kararlar ve rehberler ışığında alınması gereken tedbirleri özetlemeye çalışacağız.

Dış risklerden iç risklere doğru ilerleyeceğimiz makale serimizde ilk olarak fiziksel güvenlik önlemlerinden bahsetmiştik. Bu yazımızda ise, en sık karşılaşılan “yetkisiz erişim” konusundan bahsedeceğiz.

 

Yetkisiz Erişim

 

31.1.2018 tarihli 2018/10 sayılı Kişisel Verileri Koruma Kurulu Kararı gereğince özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ise; verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması/yaptırılması gerekmektedir (Madde.3, d fıkrası).

 

Ayrıca Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) dokümanında da yer verildiği üzere;  veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.

İşletmelerde en sık karşılaşılan yetkilendirme sorunlarına örnek olarak aşağıdakileri verebiliriz:

  • Personelin yetkisi dışında alanları görmesi, hatta görmesinin yanı sıra bu verileri müşteriye iletmesi,
  • Muhasebe uygulamalarında X arkadaşının aldığı avans tutarını görmesi, varsa standart avans oranını (örn: %20) bildiğinden arkadaşının maaş bilgisini öğrenmesi,
  • Kasıt dâhilinde veya yanlışlıkla verilerin silinmesi (yapılan loglanmadığında ve yedekler düzenli alınmadığında ciddi sorun teşkil etmektedir.)

İlgili karar ve yayınlanan rehberler göz önünde bulundurulduğunda önlemleri aşağıdaki gibi özetleyebiliriz.

 

  • Kullanılan uygulamaların ve uygulama yanı sıra tüm elektronik ortamların (file server vb) belirlenerek yetki kontrollerinin yapılması
  • Yapılan kontrol sonuçlarının, yetki kapsamını netleştirme adına ilgili modül / birim sorumlularının onayına sunulması
  • İlgili modül / birim sorumlularından gelen onay / bildirimin ardından gerekiyorsa yetkilendirmelerin yeniden yapılandırılması
  • Yetki matrisi oluşturulması
  • Oluşturulan yetkiler ışığında yapılandırılan, tüm elektronik ortam erişimlerinin nasıl gerçekleşeceğine dair, mevcut veya oluşturulacak erişim politikasında yer verilmesi

Yetkilendirme ve yetkilerin geri alınması konusu önem arz ettiğinden, bir sonraki yazımızda yetkilerin alınmasına dair maddeler ve yapılması gerekenler ile devam edeceğiz.  Gelecek ay görüşmek dileğiyle!

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.