10 Ağu, 2021

KVKK Açısından Sızma Testinin Önemi

KVKK’ya uyum sağlama ve bu uyumu sürdürebilme konusu gün geçtikçe daha karmaşık bir hal alıyor. Kişisel Verileri Korumu Kurumu’nun periyodik olarak yayınladığı duyuruları takip etmek ve süreçleri bu doğrultuda güncellemek iş gücü ve odaklanma gerektiriyor. Veri sorumlusu olan tüzel kişilerin bu konuya önem vermemesi ise hem para cezası hem de itibar kaybı gibi sonuçlarla beraber veri ihlallerine sebep oluyor.

KVKK Teknik Tedbirler Rehberi’nin 2.1 maddesinde belirtildiği gibi; kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.

Yine KVKK Teknik Tedbirler Rehberi’nin 3.2 maddesinde sızma testi konusuna ayrıca değinilerek şu şekilde bir süreç tarif edilmektedir: “Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarılar üzerine harekete geçilmesi, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.”

Veri sorumluları sistemleri fark etmeseler de hem içeriden hem dışarıdan gelen saldırılara maruz kalmaktadır. Daha da önemlisi bu durum uzun süre fark edilememekte ve sızıntı ortaya çıktığında müdahale etmek imkânsız hale gelmektedir. Periyodik olarak (en azından 6 ayda bir) sızma testlerini kurumun tüm uç noktalarını ve tüm altyapılarını kapsayacak şekilde yapmak en iyi uygulamalardan biri olarak önerilmektedir . Bu sayede, henüz veri ihlali vakası yaşamadan sistem açıklarının belirlenerek kapatılması ile tüzel kişiliğin itibar ve maddi kayıp yaşamadan iş süreçlerinin devam etmesine önemli bir katkı sağlanabilir.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram