Şahsî data ihlaline karşı atılması gereken adımlar neler?

Şahsî data ihlaline karşı atılması gereken adımlar neler? 1

Ponemon Institute’nin 2020 yılı şirket içi tehdit raporuna nazaran, ortalama şirket içi tehdidin maliyeti şirketlere 10 milyon doların üzerinde oluyor. Şahsî dataların sızdırılması ve ihlali ise şirket içi tehditlerin sıklıkla oluşturduğu ziyanların başında görülüyor. Şirketlerde departmanlar ortası bilgi akışının sağlanmasının ve yetkisiz bir halde şahsî datalara erişimin olmasının şahsî bilgi ihlaline yer hazırlayabildiğini aktaran Siberasist Genel Müdürü Serap Günal, şirket içi tehditlerden oluşabilecek ferdî data ihlaline karşı yetki matrisi oluşturulması ve departmanlar ortası data akışına müsaade verilmemesi gerektiğini belirtiyor. 

Departmanlar Ortası Data Akışına Dikkat 

Başta sıhhat, finans ve turizm dalları olmak üzere birçok bölüm içerisinde yaşanan şahsî bilgi ihlalleri, şirketleri sorunun kaynağını araştırmaya yönlendiriyor. Dış tehditlere karşı idari ve teknik altyapılarını oluşturmaya başlayan şirketlerin gözden kaçırdıkları kıymetli noktayı şirket içi tehditler oluşturuyor. Şirket içi tehditlerin yaratacağı ziyanlara şirketlerin dikkat etmediğini aktaran Günal, şahsî dataların korunması ismine atılması gereken kıymetli adımlardan birinin şirket içi ferdî dataların korunması ve güvenliğine yönelik idari prosedürlerin uygulanarak departmanlar ortası bilgi akışının gerçekleşmemesi olduğunu belirtiyor. KVKK uyumluluğu sürecinde tahlil ettikleri şirketlerdeki genel yanlışın elde edilen şahsî datayı şirket içerisinde belli kurallara nazaran koruyamama olduğunu tespit ettiklerini belirten Günal, açık isteği alınan ve muhakkak bir departmanın nezaretinde olması gereken şahsî datanın alakasız bir departmana aktarılması, sonucunu büyük bir krizin meydana getireceği süreci başlattığını belirtiyor. 

Şirketlerde Yetki Matrisi Oluşturulmalı, Erişim Logları Kayıt Altına Alınmalı 

Şahsî Dataların Korunması Kanununda mevcut unsurlara terslik riskini daha da artıran departmanlar ortası data akışına karşı şirketlerde bilgi segmentasyonu gerektiğini de hatırlatan Günal, her departmanın yalnızca kendine özel tutulan bilgilere erişim sağlaması gerektiğini, aksi takdirde yetkisi olmayan kimselerin sağlayacağı yetkisiz erişimlerle ihlallerin yaşanmaması için bir nedenin kalmayacağını tabir ediyor. Şirketlerde paylaşılan her türlü evrak ve bilgi tabanı için kimin erişim yetkisi olduğu, kimin ne vakit ne biçimde hangi aygıttan erişim sağladığı ya da erişim yetkisinin olduğunu bilmenin ve belirlemenin gerekliliğini kıymetli bir adım olarak gören Günal, erişim yetkisi verilen bireylerin de ayrıyeten kaydının tutulmasını gerektiğini, bu yüzden oluşturulan yetki matrisinin fonksiyonelliğini ve verilen yetkilerin berbata kullanılıp kullanılmadığının da tutulan erişim logları ve log kayıtları ile ölçülebileceğini söz ediyor.

Bir Cevap Yazın