Kişisel Verileri Koruma Kurumu, her yeni kararıyla birlikte, kuruluşların kişisel verileri nasıl ele almaları gerektiği konusunda daha da anlaşılır ve açıklayıcı olmakta. 4 Mayıs 2020 tarihinde yayımlanan 27/02/2020 tarihli karar özetinde açıkça görülen şeylerden birisi; Kurum’un, kararlarında Avrupa Veri Koruma Kanunu olan Genel Veri Koruma Yönetmeliği’ni (GDPR) göz önünde bulundurması.

KVKK ve GDPR, kuruluşların kişisel verileri nasıl ele alması gerektiğiyle ilgili sorumlulukları belirler ve bu da ek bilgi güvenliği yatırımları gerektirir. Hem KVKK hem de GDPR açısından baktığımızda, bu ek güvenlik ve yatırımların en başında gelen konu ise; Kimlik ve Erişim Yönetimi.

Kimlik ve Erişim Yönetimi, kritik bilgilere erişimi en aza indirmeyi ve KVKK ve GDPR’ın ana odağı olan kişisel verilerin ifşa olmamasını doğrudan amaçlaması bakımından oldukça önemlidir. Bu nedenle de KVKK Teknik Tedbirler başlığında rahatlıkla ilk sıraya yerleştirilebilir.

Veri gizliliği açısından bilgi güvenliğinin üç temel direği gizlilik, bütünlük ve erişilebilirliktir. Bütünlük, verilerin saklandıktan sonra yetkisiz bir şekilde düzenlenmemesini veya değiştirilmemesini sağlarken; Erişilebilirlik, bilgilerin yalnızca yetkili kişiler tarafından ihtiyaç duyulduğunda ve gerekli formda mevcut olması için gereksinimi ifade eder. Gizlilik, kimin bilmesi gerektiğine bağlı olarak bilgilere erişimlere ilişkin sınırlar koymakla ilgilidir ve verinin yetkisiz erişime karşı korunmasıdır.

KVKK Uyumluluğu için, toplanan kişisel verilerin aydınlatma ve açık rıza metinlerine uygun şekilde ve gerekli olduğu süre boyunca yalnızca doğru kişiler tarafından, doğru muhafaza yöntemleriyle erişilebildiğinden emin olmanız gerekir. Gizlilik, Bütünlük ve Erişilebilirlik ilkeleriyle beraber Veri azaltma (Data Minimization) düzenlemenin ana temasıdır. Uyumluluk için yalnızca işlenme amacına uygun olarak, olabildiğince az veri tutmak en önemli noktalardan birisidir ki: bu da bizi Kimlik ve Erişim Yönetimine getirir: Görev ve sorumlulukları kapsamında, çalışanlarınıza minimum erişimi sağlamak…

Çoğu kuruluş için, Kimlik ve Erişim Yönetimi stratejisinin üç unsuru olacaktır:

Çalışanlar

Hangi kişisel verilere sahip olduğunuzu ve hangi çalışanların/departmanların bunlara erişim hakkına sahip olduğunu bilmek yeterli değildir. GDPR gibi KVKK Kapsamında Kimlik ve Erişim Yönetimi de çok daha ayrıntılı olmalıdır. Tüm hassas verilerinizin nerede depolandığını, kişisel verilere kimlerin erişebileceğini ve sahip oldukları erişim düzeyini bilmeniz gerekir. Bir kullanıcının rolünün değiştiği ve/veya eski erişim haklarını kapatmadan yeni erişim izni verilen “yetkilendirme karmaşasının” üstesinden gelmek için durum değişikliğini hızlı bir şekilde yönetebilmeniz gerekir. Ayrıca, “hayalet hesapları” tanımlamalı ve ortadan kaldırmalısınız. Sektör araştırmaları, tüm hesapların dörtte biri kadarının etkin olmadığını ve bunun bilgisayar korsanları için artan bir hedef haline geldiğini göstermektedir.

İş Ortakları / 3. Taraflar / Veri İşleyenler

Günümüzde kişisel verilerin kendi dört duvarının içinde kaldığı neredeyse hiçbir şirket kalmamıştır. Veri paylaşımı ve işbirliği yapmak, karmaşık iş ortakları ekosistemleriyle çalışan birçok kuruluş için çok önemlidir. Ayrıca, birçok şirket giderek daha fazla sözleşmeli personel ve mobil çalışanla iş süreçlerini yönetmekte. Özellikle bir Veri Sorumlusuysanız o zaman şirket güvenlik duvarınızın ötesinde tutulan veriler için de doğru erişimi sağlayabilmeniz gerekir. Bu, yalnızca tüm kişisel verileri değil, aynı zamanda bu verilere erişimi olan kullanıcılar arasındaki etkileşimleri de yönetebilmenizi gerektirir ve bunun için gereken en etkili yöntem yine Kimlik ve Erişim Yönetimidir.

Müşteriler

Çevrimiçi hizmetler sunan herhangi bir kuruluş – devlet ve özel – müşterilerinin dijital kimlikler oluşturmasını sağlar. Bunların bir çoğu self servis özellikleri içerir ve çoğunlukla basit şifre doğrulaması kullanarak çalışır. Bu bir güvenlik açığıdır ve yine GDPR da olduğu gibi KVKK’da da veri minimizasyonu ve güvenli kullanıcı kimlik doğrulaması kavramlarını buralara uygulamanız gerekir.

Geçmişte, birçok kuruluş kurumsal Kimlik ve Erişim Yönetimi stratejisi uygulamakta yavaş kalmıştır ancak günümüzde KVKK ile bu durumun değişmesi oldukça önemlidir. Kişisel verilerin korunmasında çalışanların ötesine geçerek, iş ortaklarını, tedarikçileri,  mobil iş gücünü ve müşterileri kapsayacak şekilde Kimlik ve Erişim Yönetimi önlemleri alınmalıdır. Bir kuruluşun bu yaklaşımı benimsemeden KVKK’ya uyumlu olduğunu görmek zordur.

Active Directory Yeterli Değil…

Geleneksel yaklaşımlar genellikle gruplar oluşturmak için Active Directory kullanma gibi basit manuel erişim kontrol süreçleri etrafında dönmüştür. Dezavantajı, bu süreçlerin yavaş, hantal ve maliyetli olmasının yanı sıra, iyi ölçeklenmedikleri ve genellikle gerçek kullanıcı erişimini izleyemedikleri veya yönetemedikleri gerçeğidir. Active Directory hizmetleri, yalnızca AD grup kullanıcı üyeliklerine genel bakış sağlar, atanan gerçek erişim / erişim ayrıcalıklarına genel bakış sağlamaz. AD grup atamalarına dayalı kullanıcı erişim listelerinin gözden geçirilmesi, genellikle “o işin/departmanın yöneticisi” tarafından yapıldığından yanlış bir güvence sağlar.

Kimlik ve Erişim Yönetimi tüm kuruluşlar için stratejik bir hedef haline gelmelidir. Tüm şirketler, dinamik ve kapsamlı yetkilendirme ve kimlik doğrulama özellikleri sağlayan bir Kimlik ve Erişim Yönetimi platformu ve yönetişim programı oluşturmalı ve sürekli olarak güncelleme ihtiyacını göz önünde bulundurmalıdır.

Bu şekilde, kuruluşunuzdaki kişisel bilgilere erişimi koruyarak veri ihlali riskini en aza indirebilir ve KVKK cezalarına maruz kalma riskinizi azaltabilirsiniz.

 

Kaynak: https://blogs.opentext.com/identity-and-access-management-is-pivotal-for-gdpr-compliance/

---