NedirYazılar

KVKK – Alınması Gereken Teknik Tedbirler

Reklam

Teknik Tedbirler: Yetki Kontrol ve Kullanıcı Hesap Yönetimi

Geçen haftaki yazımızda (İlk Bakışta KVKK) 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) ne anlama geldiğini, amacını ve kimleri kapsadığı konularına kısa bir özet ile değinmiştik. Kurumların, bu kanun kapsamında verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve ayrıca hukuka uygun bir şekilde muhafazasını sağlamak adına bazı teknolojik çözümlerden de yararlanmaları gerekliliklerinden bahsetmiştim.

Bu yazımızda da KVKK Kurulu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi’ndeki teknik tedbirler tablosunda yer alan maddelerin ne anlama geldiğini ve kurumların bu maddelere yönelik ne gibi teknolojik çözümlerden yararlanılabileceğine bahsetmeye devam edelim.

Öncelikle Kişisel Veri Güvenliği Rehberi’nde yayımlanan teknik tedbirler tablosuna tekrar bir göz atalım.

KVKK Teknik Tedbirler

Bir önceki yazımızda Yetki Matrisi’nin ne anlama geldiği kısa örneklerle anlatmaya çalışmıştım. Şimdi ise “Yetki Kontrolü ve Kullanıcı Hesap Yönetimi” konularına yakından bakalım. Kurumların bu tedbirleri sağlamak adına hangi teknolojik çözümlerden yararlanabileceğine bir göz atalım.

Yetki Kontrolü ve Kullanıcı Hesap Yönetimi

Kişisel Veri Güvenliği Rehberi’nde yayımlanan bu teknik tedbirler ile; kişisel veri içeren sistemlere erişimin sınırlı olması; çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanılması gerekliliği belirtilmiş.

Yetki Kontrolü ve Kullanıcı Hesap Yönetimi

Peki bunu sağlamaya çalışırken nasıl bir teknolojik çözümden yararlanabiliriz?

İki kademeli Kimlik Doğrulama Sistemi (2FA/multi-factor) Nedir?

Bu yazıda İki Kademeli Kimlik Doğrulama Sistemi’nin (2FA) ne anlama geldiğini, çalışma prensibini ve ne amaçla kullanabileceğimizi kısa örneklerle bahsetmeye çalışacağım. Google’ın ücretsiz olarak sunduğu “Google Authenticator” gibi sistemlerin yanında ücretli ve daha kapsamlı kullanılmak üzere birçok üreticinin geliştirdiği yazılımlardan da faydalanabilirsiniz.

İki Aşamalı Kimlik Doğrulama Sistemi

İki Aşamalı Kimlik Doğrulama Nedir, Nasıl Çalışır?

İki Kademeli Kimlik Doğrulama (2FA), hesabınıza giriş yaparken sizden ekstra bir şifre veya kod girmenizi ister. Bu sayede izniniz olmadan hesabınıza başkalarının erişmesini engeller.

Basit bir örnek ile anlatmak gerekirse; cep bankacılığı kullanırken müşteri numaranızı ve internet bankacılığı şifrenizi giriyorsunuz. Tabi yalnızca bu bilgiler ile giriş yapmanız yetmiyor, bankanız size SMS ile ayrıca bir şifre daha yolluyor ve ancak siz o şifreyi girdikten sonra başarılı bir şekilde giriş sağlıyorsunuz. İşte buna “İki Kademeli Kimlik Doğrulama Sistemi” (2FA) diyoruz.

Peki biz kurumda bu sistemi nerelerde kullanabiliriz?

Örneğin kurumunuzda bir güvenlik duvarı kullanıyorsunuz ve dışarıdan yerel ağınızdaki kaynaklara erişim sağlamak istiyorsunuz. Bunun için SSL VPN (yani özel şifreli bağlantı ile uzak erişim) yazılımı ile erişim sağlıyorsunuz. İşte KVKK size şunu söylüyor; tamam bunu yapmalısın fakat şifrenizin bir başkasının eline geçme senaryosuna karşı burada ilave güvenlik önlemi almalısın. Yani bağlantı sağlarken bunun yanına en az ikinci bir güvenlik metodu daha eklemelisin. İşte burada “İki Kademeli Kimlik Doğrulama Sistemi” (2FA) sistemi çözümü ile bunu sağlayabilirsiniz.

Bu sistemi kurumunuzda birçok yerde kullanabilirsiniz. Mesela kullanıcı bilgisayarlarında oturum açarken kullanıcıdan domain kullanıcı adı ve şifresinin yanına 2FA şifresini de girmesini isteyebilirsiniz. Yine kurumunuzdaki cihazlara (sunucular olabilir) uzak erişim (RDP) erişim sağlarken de mevcut şifrenin yanına 2FA şifresinin girilmesini isteyebilirsiniz. Örnekleri artıracak olursak, Network’ünüzdeki Switch’lere, Router’lara, Firewall’a, F5 veya Citrix gibi load-balancer cihazlarına, kısacası Radius protokolü ile çalışan tüm cihazlara multi-factor ile giriş yapılabilir. Bu sayede statik parolalardan kaçınarak, dinamik parolalara da geçiş sağlamış olursunuz. Hem KVKK regülasyonu hem de siber güvenlik alanındaki seviyenizi bir kademe daha artırmış oluyorsunuz.

Bu yazıda kısaca “Yetki Kontrol ve Kullanıcı Hesap Yönetimi” teknik tedbirlerinden bahsetmeye çalıştım. Gelecek hafta “Erişim Logları ve Log Kayıtları” konularından bahsederek konularımıza hızlıca devam edeceğim.

Reklam
Etiketler
iki aşamalı doğrulama kullanıcı hesap yönetimi kvkk nedir nevzat çelik teknik tedbirler yetki kontrol

Nevzat Çelik

Abant İzzet Baysal Üniversitesi Fizik Bölümü'nden mezun olduktan sonra sistem ve ağ çözümleri danışmanı olarak bilişim sektöründe çalışmaya başladı. Yaklaşık 10 yıldır teknik anlamda saha tecrübesine sahip olmakla birlikte bir çok ağ ve veri güvenliği projelerinde görev aldı. Solid Bilişim Teknolojileri'nde ağ çözümleri danışmanı olarak iş hayatını sürdürmeye devam etmektedir.

2
Kim ne demiş?

avatar
2 Yorum Sayısı
0 Cevap Sayısı
0 Takipçiler
 
En çok puan alan
İlgi çeken yorum
  Takibe al  
En Yeniler Eskiler Beğenilenler
Bildir
Kemal
Ziyaretçi
Kemal

Teşekkürler Nevzat Bey. Konu hakkında güzel bir kaynak olmuş. Emeğinize sağlık.

Kenan
Ziyaretçi
Kenan

Merhaba Nevzat Bey. Yine inci gibi ve son derece net bir yazı olmuş. Ayrıca yorumumu dikkate aldığınız için de tesekkur ederim. Elinize sağlık.

Başa dön tuşu
Kapalı