Kurumsal Dijital Güvenlik
Kurumunda binlerce kişisel veri işleniyor. Müşteri kimlikleri, çalışan kayıtları, sözleşmeler, finansal veriler. Bir gün bir çalışan, “kargonuzu takip edin” başlıklı bir e-postadaki linke tıklıyor. Tek tıklama. O tıklama, tüm ağı yazılımınıza sızdıran bir kapı açıyor. Veriler karaborsada satılıyor. KVKK Kurumu kapınızda. Gazetelerde kurumunuzun adı. Müşteriler güvenini kaybediyor. Bu senaryo kurgu değil: her gün bir kurumda yaşanıyor.
Özlü kural: Kurumsal güvenlik bir BT projesi değil, yönetişim meselesidir. Yazılım ve donanım, insan ve süreç olmadan hiçbir şey ifade etmez.
Bu sayfa, BT ve kurumsal güvenlik sorumluluğu taşıyan herkes için role özgü rehberdir. Risk yönetimi, tehdit modelleme ve KVKK’nin ayrıntılı teknik anlatımı ana kılavuz bölümlerinde (41-50) bulunur.
Tehdit Profilin
Bir kurumun tehdit yüzeyi, bireysel tehdit yüzünden çok daha geniştir. Sadece senin cihazların değil, yüzlerce çalışanın cihazları, sunucular, bulut servisleri, üçüncü taraf tedarikçiler, hatta çalışanların kişisel telefonları birer saldırı vektörüdür.
İnsider tehditleri: Kötü niyetli bir çalışan veri sızdırabilir. Ama daha yaygın olanı: iyi niyetli ama bilinçsiz bir çalışanın hatasıdır. Parolasını paylaşan, yetkisiz bulut servisi kullanan (Shadow IT), şüpheli e-postaya tıklayan çalışan kurumun en zayıf halkasıdır.
Dışsal saldırılar: Fidye yazılımı, tedarik zinciri saldırıları, kimlik avı kampanyaları, DDoS saldırıları. Kurumların finansal kaynakları ve veri miktarı, saldırganlar için prim hedef oluşturur.
Yasal ve düzenleyici tehditler: KVKK uyumsuzluğu, idari para cezaları, itibar kaybı, lisans iptali. Teknik bir güvenlik açığı kadar, yasal bir boşluk da kurumu yıkabilir.
Shadow IT: Çalışanların BT departmanından habersiz kullandığı bulut servisleri, uygulamalar ve araçlar. Gölge BT, kurumun veri akışını görmezden geldiği ve denetleyemediği alanlar yaratır. Detaylı bilgi: Shadow IT
Kimler Bu Kategoride?
| Rol | Sorumluluk | Risk seviyesi |
|---|---|---|
| BT Yöneticisi | Altyapı güvenliği, erişim yönetimi, yedekleme | Yüksek |
| Sistem/Network Uzmanı | Güvenlik duvarı, izleme, yama yönetimi | Yüksek |
| KVKK Sorumlusu / Veri Sorumlusu | Uyum süreci, VERBİS kaydı, ihlal bildirimi | Kritik (yasal) |
| Karar Verici (Yönetim Kurulu, GM) | Bütçe, politika onayı, risk kabulü | Stratejik |
| Departman Yöneticisi | Ekibin güvenlik bilinci, erişim talepleri | Orta |
Kurumsal Güvenlik Yönetişimi
Güvenlik Bir BT Departmanı İşidir Yanılgısı
En yaygın hata: güvenliği sadece BT departmanının sorunu olarak görmek. Oysa güvenlik üç ayağı vardır:
- İnsan: Çalışan eğitimi, güvenlik bilinci, rol bazlı yetkilendirme
- Süreç: Politika, olay müdahale planı, denetim, iyileştirme döngüsü
- Teknoloji: Güvenlik duvarı, EDR, DLP, log toplama, yedekleme
Üçünden biri eksikse, diğer ikisi ne kadar güçlü olursa olsun güvenlik çöker.
KVKK Madde 12(5): Kişisel veri ihlallerini Kişisel Verileri Koruma Kurumu’na ve ilgili kişilere en kısa sürede bildirmek zorunludur. İhlal bildirimi sürecini önceden tanımlamamış bir kurum, kriz anında gecikir ve ek ceza alır.
Olay Müdahale Planı
Bir güvenlik olayı olduğunda panik yapmamak için önceden bir planın olsun:
- Tespit: İzleme sistemleri (SIEM, EDR) sayesinde anormal aktiviteyi fark et
- Kontrol: Sızıntıyı durdur, etkilenen sistemleri izole et
- İyileştirme: Sistemleri güvenli duruma geri yükle, yedekten dön
- Bildirim: KVKK ihlal bildirimi (en kısa sürede), gerekirse ilgili kişilere ve kamuya
- Sonuç Çıkarma: Olay sonrası analiz, kök neden tespiti, iyileştirme
Detaylı bilgi: KVKK: İdari Tedbirler ve KVKK: Teknik Tedbirler
KVKK Uyumunda Kritik Noktalar
KVKK uyumu tek seferlik bir proje değil, sürekli bir süreçtir. İşte kritik başlıklar:
VERBİS kaydı ne zaman yapılmalı?
Kişisel veri işleyen her veri sorumlusu, VERBİS’e (Veri Sorumluları Sicili) kayıt yaptırmak zorundadır. Kayıt süresi dolmadan önce mutlaka tamamlanmalıdır. Kayıt yaptırmamanın idari para cezası vardır. Detaylı bilgi: KVKK: İdari Tedbirler
Özel nitelikli kişisel veri nedir ve nasıl korunur?
Sağlık, biyometrik, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer cüzdan bilgileri özel nitelikli veridir. Bu veriler KVKK Madde 6 kapsamında ek koruma gerektirir. Yetersiz önlem alarak işlenmesi yasaktır. Detaylı bilgi: KVKK: Teknik Tedbirler
İdari para cezaları ne kadar?
KVKK ihlallerine uygulanan idari para cezaları her yıl yeniden değerlendirilir. Güncel tutarları Kişisel Verileri Koruma Kurumu’nun resmi sitesinden takip et. Ceza miktarı, ihlalin niteliğine ve kurumun kusuruna göre değişir.
Risk Yönetimi Yaklaşımı
Kurumsal güvenliğin temeli risk yönetimidir. Tüm riskleri sıfıra indirmek imkansızdır; ama riskleri tanımlayıp önceliklendirmek ve kabul edilebilir seviyeye indirmek mümkündür.
Süreç şöyle işler:
- Varlık envanteri: Korunacak veriyi ve sistemleri tanımla
- Tehdit tanımlama: Bu varlıklara kim, nasıl saldırabilir?
- Risk değerlendirme: Her riskin olasılığı ve etkisini ölç
- Risk yanıtı: Kabul et, azalt, devret, kaçın
- İzleme ve güncelleme: Riskler statik değildir, düzenli güncelle
Detaylı bilgi: Risk Temelleri, Risk Kategorileri, Risk Yanıtları
Tehdit Modelleme
Kurumsal tehdit modelleme, bireysel tehdit modellemeden farklıdır. Sistem mimarisini, veri akışını, güven sınırlarını ve çoklu aktörleri kapsar. DFD (Veri Akış Diyagramı) çizerek sistemi görselleştir, STRIDE veya PASTA çerçeveleriyle tehditleri sınıflandır.
Temel tehdit modelleme kavramları için: Tehdit Modelleme. Kurumsal çerçeveler için: Tehdit Modelleme Çerçeveleri ve STRIDE ve PASTA.
- Risk değerlendirmesini yılda en az bir kez güncelle
- Çalışanlara düzenli güvenlik farkındalık eğitimi ver
- Erişim yetkilerini rol bazlı ve en az yetki ilkesiyle yapılandır
- Olay müdahale planını kağıt üzerinde bırak, tatbikatla
- Güvenliği sadece BT departmanının sorunu olarak gör
- KVKK uyumunu tek seferlik proje olarak ele al
- Çalışanların kullandığı gölge BT servislerini görmezden gel
- Yedeklemeyi yap ama geri yükleme testi yapma
- Varlık envanteri güncel mi?
- Risk değerlendirmesi yapıldı mı, ne zaman güncellendi?
- VERBİS kaydı tamam mı?
- Açık veri ihlali nedir, bildirim süreci tanımlı mı?
- Erişim yetkileri rol bazlı mı, ayrılan çalışanların yetkileri geri alınıyor mu?
- Yedekleme çalışıyor mu, geri yükleme testi yapıldı mı?
- Çalışan güvenlik eğitimi ne zaman yapıldı?
- Shadow IT taraması yapıldı mı?
- Tehdit modelleme çalışması yapıldı mı?
- Güvenlik duvarı, EDR, log toplama aktif mi?
Başlaman Gereken Bölümler
Tüm bölümler bu kılavuzda herkes için geçerlidir. BT ve kurumsal güvenlik için kritik öncelik sırası:
- Risk Temelleri →: Risk yönetimi kavramları, varlık-envanter yaklaşımı
- Risk Kategorileri ve Değerlendirme →: Risk sınıflandırma, değerlendirme yöntemleri
- Risk Yanıtları ve İzleme →: Risk yanıtı stratejileri, sürekli izleme
- Tehdit Modelleme Çerçeveleri →: Kurumsal çerçeveler (PASTA, TRIKE, Attack Tree)
- STRIDE ve PASTA →: Uygulamalı tehdit sınıflandırma
- Tehdit Modelleme Pratiği →: Oturum planlama, uygulama
- Shadow IT →: Gölge BT tespiti ve yönetimi
- KVKK: İdari Tedbirler →: VERBİS, süreçler, politika, ihlal bildirimi
- KVKK: Teknik Tedbirler →: Şifreleme, erişim kontrolü, log, yedekleme
- Kurumsal Kontrol Kartları →: Hazır kontrol şablonları
Ayrıca bireysel güvenlik bölümleri (1-40) tüm çalışanlar için geçerlidir. Kurumunuzu korumak için önce kendinizi ve ekibinizi koruyun.
İlgili Kaynaklar
- Kurumsal Kontrol Kartları →: Yazdırılabilir kontrol kartları
- Tehdit Modelleme →: Bireysel tehdit modelleme temelleri
- Temel Kavramlar →: CIA üçgeni, temel güvenlik kavramları
- Kriz Karar Ağacı →: Acil durum protokolü
- Sözlük →: Dijital güvenlik terimleri
- Güvenlik Eğitimleri →: Kurumsal güvenlik için online kurs