KVKK Teknik Tedbirler : Yetki Kontrol ve Kullanıcı Hesap Yönetimi

0
65

 

Bir önceki yazımızda 6698 sayılı Kişisel Verilerin Korunması Kanunu’ nun (KVKK) ne anlama geldiğini, amacını ve kimleri kapsadığı konularına kısa bir özet ile değinmiştik. Kurumların, bu kanun kapsamında verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve ayrıca hukuka uygun bir şekilde muhafazasını sağlamak adına bazı teknolojik çözümlerden de yararlanmaları gerekliliklerinden bahsetmiştik.

Bu yazımızda da KVKK Kurulu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi’ ndeki teknik tedbirler tablosunda yer alan maddelerin ne anlama geldiğini ve kurumların bu maddelere yönelik ne gibi teknolojik çözümlerden yararlanılabileceğine bahsetmeye devam edelim.

Öncelikle Rehber’ de yayımlanan teknik tedbirler tablosuna tekrar bir göz atalım.

Bir önceki yazımızda Yetki Matrisi’ nin ne anlama geldiği kısa örneklerle anlatmaya çalışmıştık. Şimdi ise Yetki Kontrolü ve Kullanıcı Hesap Yönetimi konularına yakından bakalım. Kurumların bu tedbirleri sağlamak adına hangi teknolojik çözümlerden yararlanabileceğine bir göz atalım.

Yetki Kontrolü ve Kullanıcı Hesap Yönetimi

Rehber’de yayımlanan bu teknik tedbirler ile;

Kişisel veri içeren sistemlere erişimin sınırlı olması; çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanılması gerekliliği belirtilmiş.

Bunu Yetki Matrisi’ nin devamı gibi düşünebilirsiniz. Aslında burada aksiyon almaya başlıyoruz. Yetki Matrisi yazısında bahsettiğimiz örnekten yola çıkarak anlatmak gerekirse; insan kaynakları departmanı, ik verilerinin bulunduğu klasöre veya bir excel dosyasına haliyle erişim sağlarken, satış veya teknik çalışanların Yetki Matrisi’ ne göre erişim yetkisi yok ise bu klasöre erişim yetkilerinin kısıtlanması gerekmektedir. Dolayısıyla hesap yönetimini gerçekleştirirken periyodik olarak yetki kontrollerinin yapılması, verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarının ve sürelerinin net olarak tanımlanması ve verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanılması gerekliliği belirtilmiştir.

Peki bunu sağlamaya çalışırken nasıl bir teknolojik çözümden yararlanabiliriz?

İki kademeli Kimlik Doğrulama Sistemi (2FA/multi-factor) Nedir?

Bu yazıda İki Kademeli Kimlik Doğrulama Sistemi’ nin (2FA) ne anlama geldiğini, çalışma prensibini ve ne amaçla kullanabileceğimizi kısa örneklerle bahsetmeye çalışacağız. Google’ ın ücretsiz olarak sunduğu Google Authenticator gibi sistemlerin yanında ücretli ve daha kapsamlı kullanılmak üzere birçok üreticinin geliştirdiği yazılımlardan da faydalanabilirsiniz.

Nedir, Nasıl Çalışır?

İki Kademeli Kimlik Doğrulama (2FA), hesabınıza giriş yaparken sizden ekstra bir şifre veya kod girmenizi ister. Bu sayede izniniz olmadan hesabınıza başkalarının erişmesini engeller.

Basit bir örnek ile anlatmak gerekirse; cep bankacılığı kullanırken müşteri numaranızı ve internet bankacılığı şifrenizi giriyorsunuz. Tabi yalnızca bu bilgiler ile giriş yapmanız yetmiyor, bankanız size SMS ile ayrıca bir şifre daha yolluyor ve ancak siz o şifreyi girdikten sonra başarılı bir şekilde giriş sağlıyorsunuz. İşte buna İki Kademeli Kimlik Doğrulama Sistemi (2FA) diyoruz.

Peki biz kurumda bu sistemi nerelerde kullanabiliriz?

Örneğin kurumunuzda bir güvenlik duvarı kullanıyorsunuz ve dışarıdan yerel ağınızdaki kaynaklara erişim sağlamak istiyorsunuz. Bunun için SSL VPN (yani özel şifreli bağlantı ile uzak erişim) yazılımı ile erişim sağlıyorsunuz. İşte KVKK size şunu söylüyor; tamam bunu yapmalısın fakat şifrenizin bir başkasının eline geçme senaryosuna karşı burada ilave güvenlik önlemi almalısın. Yani bağlantı sağlarken bunun yanına en az ikinci bir güvenlik metodu daha eklemelisin. İşte burada İki Kademeli Kimlik Doğrulama Sistemi (2FA) sistemi çözümü ile bunu sağlayabilirsiniz.

Bu sistemi kurumunuzda birçok yerde kullanabilirsiniz. Mesela kullanıcı bilgisayarlarında oturum açarken kullanıcıdan domain kullanıcı adı ve şifresinin yanına 2FA şifresini de girmesini isteyebilirsiniz. Yine kurumunuzdaki cihazlara (sunucular olabilir) uzak erişim (RDP) erişim sağlarken de mevcut şifrenin yanına 2FA şifresinin girilmesini isteyebilirsiniz. Örnekleri artıracak olursak, networkünüzdeki Switch’ lere, Router’ lara, Firewall’ a, Radware, F5 veya Citrix gibi load-balancer cihazlarına, kısacası Radius protokolü ile çalışan tüm cihazlara multi-factor ile giriş yapılabilir. Bu sayede statik parolalardan kaçınarak, dinamik parolalara da geçiş sağlamış olursunuz. Hem KVKK regülasyonu hem de siber güvenlik alanındaki seviyenizi bir kademe daha artırmış oluyorsunuz.

Bu yazıda kısaca Yetki Kontrol ve Kullanıcı Hesap Yönetimi teknik tedbirlerinden bahsetmeye çalıştık. Bir sonraki yazımızda Erişim Logları ve Log Kayıtları konularından bahsederek konularımıza hızlıca devam edeceğiz.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz