KVKK’ya uyum sağlama ve bu uyumu sürdürebilme konusu gün geçtikçe daha karmaşık bir hal alıyor. Kişisel Verileri Korumu Kurumu’nun periyodik olarak yayınladığı duyuruları takip etmek ve süreçleri bu doğrultuda güncellemek iş gücü ve odaklanma gerektiriyor. Veri sorumlusu olan tüzel kişilerin bu konuya önem vermemesi ise hem para cezası hem de itibar kaybı gibi sonuçlarla beraber veri ihlallerine sebep oluyor.

KVKK Teknik Tedbirler Rehberi’nin 2.1 maddesinde belirtildiği gibi; kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

Yine KVKK Teknik Tedbirler Rehberi’nin 3.2 maddesinde sızma testi konusuna ayrıca değinilerek şu şekilde bir süreç tarif edilmektedir: “Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.”

Veri sorumluları sistemleri fark etmeseler de hem içeriden hem dışarıdan gelen saldırılara maruz kalmaktadır. Daha da önemlisi bu durum uzun süre fark edilememekte ve sızıntı ortaya çıktığında müdahale etmek imkânsız hale gelmektedir. Periyodik olarak (en azından 6 ayda bir) sızma testlerini kurumun tüm uç noktalarını ve tüm altyapılarını kapsayacak şekilde yapmak en iyi uygulamalardan biri olarak önerilmektedir . Bu sayede, henüz veri ihlali vakası yaşamadan sistem açıklarının belirlenerek kapatılması ile tüzel kişiliğin itibar ve maddi kayıp yaşamadan iş süreçlerinin devam etmesine önemli bir katkı sağlanabilir.