KVKK Danışmanlığı
Günümüzde bilgi ve veriler şirket ve kurumların vazgeçilmez bir parçası haline gelmiş bulunmaktadır. Şirketlerin iş sürekliliği ve bilgi yönetimi sağlayabilmesi için gereken en önemli konu bu verileri devamlı olarak koruyabilmesi ve saklayabilmesidir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsamaktadır. Kişisel veriler kurum ya da şirketlerce anlık olarak işlenmektedir. Bu veriler değişik süreçlerde işlenmekte ve bu süreçler daima farklılık göstermektedir.
Kişisel verilerin korunması 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı kanun ile resmiyet kazanmıştır. Kişisel verileri koruma kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel Verilerin Korunması Kanunu Danışmanlığı
- Hukuki Danışmanlık
- Süreç Danışmanlığı
- Teknik Danışmanlık
KVKK Hukuk Danışmanlığı
Hukuk danışmanlığı kurumunuzun tüm süreçlerinin hukuki analize tabi tutulması kısmıdır. Aslında tüm departmanların günlük olarak işledikleri kişisel verilerin hukuk profesyonelleri tarafından gerçekleştirilen hukuki analiz ile tanımlanması işlemidir de denilebilir. Hukukdanışmanları veri sorumlusu ile birlikte gerekli politikaları oluşturmaktadır.
İdari Tedbirler
- Kişisel Veri Envanteri Hazırlanması
- Kurumsal Politikalar
- Sözleşmeler
- Gizlilik Taahhütnameleri
- Kurum içi Peridyotik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmesi, Disiplin Yönetmeliği
- Kurumsal İletişim
- Eğitim ve Farkındalık Faaliyetleri
- Veri Sorumluları Sicil Bilgi Sistemine (VERBIS) Bildirim
Veri sorumlusu kişisel verileri işleme amaçlarını ve ne şekilde işleneceğini belirleyen veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu kişidir. Sorumlular şirketin üst düzey yönetiminde bulunan kişilerden seçilmelidir. Bu kişi kanunun uygulanması yönünde koordinasyonu sağlamak ve gerekli bilgileri hassas bir şekilde tutmakla görevlidir.
Bu süreçte veri işleme envanteri de oluşturulmaktadır. Kayıt olunması gereken sistemler, hukuki olarak uyarlanması gereken tüm süreçler bu safha da hazırlanmaktadır. Bu çalışmalarla birlikte uyum için temel şartlardan biri olan Veri İşleme Envanteri de hazırlanmış olur.
KVKK Süreç Danışmanlığı
Hukuk profesyonellerinin oluşturduğu politikalar doğrultusunda iç süreçlerin tasarlanması ve düzenlenmesi safhasıdır. Teknik olarak gerekli olan tüm süreçler de bu aşamada tespit edilmektedir.
Veri envanter raporu detaylı şekilde oluşturulmalı, oluşturulan rapor doğrultusunda veriler sınıflandırılmaya hazır hale getirilmelidir.
Kurum ya da kuruluşun yayıma alması gereken kişisel verilerin korunması ile ilgili saklama silme vb. politikaların içeriğinin hazırlanması, kurumun sahip olduğu hukuki anlaşmaların, formların vb. dokümanların gözden geçirilerek KVKK uyumlu hale getirilmesi, açık rıza metinlerinin ve aydınlatma metinlerinin oluşturulması gibi süreçler de son hale getirilmektedir.
Son olarak tıpkı ISO27001 ‘de olduğu gibi gerekli tüm dokümantasyon sağlanarak teknik aşmaya geçilecek hale getirilecektir.
KVKK Teknik Danışmanlık
Hukuk ve Süreç danışmanlığı safhalarında oluşturulan tüm ilke ve politikaların ilgili otomasyonlar ile kullanıcı hatalarından bağımsız hale getirilmesi aşamasıdır. Bu aşamanın en büyük özelliği tamamen teknik bilgi gerektiriyor ve tamamlayıcı rol oynuyor olmasıdır.
Teknik Tedbirler
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
- Ağ güvenliği
- Uygulama Güveliği
- Şifreleme
- Sızma Testi
- Saldırı Tespit ve Önleme Sistemleri
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları
- Yedekleme
- Güvenlik Duvarı
- Güncel Antivirüs Sistemleri
- Silme, yok etme, anonim hale getirme.
- Anahtar Yönetimi
Zira oluşturulan ilke ve politikalar, insan denetimine bırakıldığında gözden kaçmaya ve sızıntılar yaratmaya mahkumdur. Sebebi ise şirketlerdeki en dinamik yapının veri olmasıdır.
Maksimum düzeyde dinamik hareket eden verilerinizin tespiti ve sızmaların önlenmesi bu aşamanın ne kadar doğru implemente edileceğine bağlıdır. Teknik danışmanlığın kaçınılmaz hale geldiğini ise yine kanunun şu maddesinden öğreniyoruz.
“Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibarıyla kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine oy birliğiyle karar verilmiştir.”
KVKK Teknoloji Danışmanlık
KVKK talepleri kapsamında çıkacak olan teknolojik altyapının firmaya uygulanması kısmıdır. Mevcut maddeleri karşılayan teknolojik yazılım ve donanım ürünlerinin kurum veya şirkete uygulanması kısmıdır.
Teknolojik Gereksinimler
- Identity Access Management
- SIEM
- Firewall
- Data Encryption
- Uygulama Güvenliği
- Veri Maskeleme Çözümleri
- Veri Sınıflandırma
- DLP Çözümleri
- Network Access Control ( NAC)
Kişisel Verileri Koruma Kanununun Kazandırdığı Avantajlar
- Farkındalık: İnsan kaynaklarının daha doğru, düzenli ve efektif kullanımı.
- Bilinç: İş ilişkilerinde yaşanabilecek olumsuz senaryoların azalması. Bu konuya bir örnek de vermek gerekirse şirket içerisindeki verilerin dışarı sızdırılmaya çalışılmasının engellenmesi.
- Veri Bulma: Kurumların en değerli varlığı olan veriye erişimin hızlanması.
- Veri Sınıflandırma: Verilerin değerinin tespiti ve hassas verilerin sınıflandırılarak güvenliğinin artırılması.
- İş sürekliliği: İş sürekliliği ve devamlılığının sağlanabilmesi için gerekli olan temel taşın yani verinin alternatifli olarak saklanması.
PENTEST HİZMETİ
Bilişim sistemlerindeki mantıksal hataları ve zafiyetleri tespit ederek, hata ve zafiyetlerin istismar edilip kötü niyetli kişilerin lehine kullanılımını önlemek amaçlı yapılan güvenlik testine ‘Pentest‘ denir. Bu işlemi yapan kişiye ‘Pentester‘ denir.
Pentester olmak için Linux’a hakim olmanız ve sistemi bozmaktan korkmayıp farklı bir düşünce yapısında bulunmanız gerekiyor. Tabiri caizse kedi kadar meraklı bir yapıya sahip olmalısınız. Ben şeytana pabucunu ters giydiririm diyorsanız bu iş tam size göre diyebilirim.
Pentest aşamaları ise şunlardır:
1.Adım: Bilgi Toplama
Bu adımda test yapılacak sistem üzerinde aktif tarama yapmadan pasif bir şekilde bilgi toplanır.
2.Adım: Tarama ve Sınıflandırma
İlk aşamada bir sorunla karşılaşılmaz ise sistem üzerinde aktif tarama yapılır.
3.Adım: Erişimi Elde Etmek
Bu aşamada sistem açığına erişmeyi hedefleriz.
4.Adım: Erişimi Yönetmek
Üçüncü aşama sağlanırsa açığını bulduğumuz sistemi yönetiriz.
5.Adım: İzleri Gizleme
Bu aşamada gerçekleştirdiğimiz işlerimleri yani arkamızda bıraktığımız izleri sileriz.
Gelelim asıl olaya Pentest çeşitleri:
İç Ağ (Internal) Sızma Testi: İlgili kurumun içeriye açık sistem veya sistemlerinin hangi verilerine erişilebilir olduğunu tespit etmek için yapılır.
Dış Ağ (External) Sızma Testi: Bu testin içeriği ise dışa açık sistem veya sistemlerin hangi verilerine erişilebilir olduğunu tespit etmek için yapılır.
Web Uygulama Sızma Testi: Dış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır fark ise odak noktasının web uygulamaları olmasıdır.
Pentest Yöntemleri ise:
Temel olarak kabul görülen üç yöntem şunlardır:
Black Box: Bu yöntemde başlangıçta test yapacak ekibe sistem hakkında hiç bilgi verilmez, ekip sistem hakkında bilgi sahibi olmadan sistemde mantık hatası ve zafiyet arar. Sisteme zarar gelme olasılığı yüksektir. Sistemi çözmeye çalışan ekip sistem hakkında hiç bir şey bilmediğinden, bilgi toplama aşaması uzun süren bir yaklaşımdır.
Gray Box: Bu yöntemde ip adresi, sunucu sisteminin versiyonu gibi bilgiler testi gerçekleştirecek ekibe verilir. BlackBox yaklaşımına nazaran daha kısa sürer ve sisteme zarar verme olasılığı daha düşüktür.
White Box: Bu yöntemde ise ekip sistem ve sonradan eklenmiş donanımsal malzemeler hakkında biliglendirilir. Hem test sonucunda sorunları çözümleme açısından hem de sistemin zarar görme durumu açısından daha avantajlıdır.
SUNUCU BARINDIRMA HİZMETLERİ
- Sunucularınızı FZL Veri Merkezi’nde barındırarak pahalı altyapı yatırımlarından, bakım ve onarım masraflarından tasarruf sağlarsınız.
- Cihazlarınızın yönetimi yine sizin kontrolünüzde olacağı için siz sadece uygulamalarınızla ilgilenirsiniz bu da verimliliğinizi artırır.
- FZL Veri Merkezi’nin kalitesi uluslararası veri merkezi otoritesi Uptime Enstitüsü tarafından Tier III sertifikası ile belgelendirilmiştir. Kesintisiz enerji, uygun iklimlendirme ortamı, altyapı yedekliliği ve yüksek kapasiteli bağlantı hızı ile sunucularınıza her zaman erişebilirsiniz.
- Sunucularınızı manyetik kartlı ve parmak izi kontrollü giriş sağlanan yüksek güvenlik standartlarına sahip FZL Veri Merkezi’nde güvenle barındırırsınız.
- Şirketinizin sunucusuna 7/24 bina güvenliği, 7/24 gözlemleme, yangın tespit ve önleme sistemi bulunan bir fiziksel ortam sağlanır.
- 7/24 müşteri desteği ile FZL Bilişim hep yanınızdadır.
ISO 27001 BGYS
Uluslararası bir standart olan ISO 27001, Bilgi Güvenliği Yönetim Sistemi (ISMS) gereksinimlerini ortaya koymaktadır. 27001 ile önemli bilgileri; insanları, süreçleri ve BT sistemlerini kapsayan sistematik bir yaklaşım kullanarak güvenceye alabilirsiniz.
SOC 7/24 İzleme
Son yıllarda artış gösteren siber saldırılarla birlikte şirketler, hükümetler ve organizasyonlar için daha önemli bir konu haline gelmeye başlayan saldırılar ve bu saldırılara oluşturan tehditler için önlemler alınmaya başlandı. Güvenlik operasyon merkezleri de siber güvenlik olaylarının tespiti ve analizi için bu saldırılara karşı aksiyon almaya başladı. Peki bu merkezler nasıl oluşur ve sistemleri nelerdir? Detayları birlikte inceleyelim.
İnternet korsanlarının artması ve daha bilgili hale gelmesi ile birlikte şirketlerin güvenlik açıklarının yakalanması ve hemen hemen her firmanın bu tür tehditler altında kalması kaçınılmaz bir hal alıyor. Siber saldırılarla birlikte şirketler hem bilgi ve hem de maddi kayıplar yaşıyor. Kimi eski sistemleri kullanan şirketler, güvenlik sistemlerinin güncellememesi ile internet korsanlarının işlerini kolaylaştırıyor. Siber saldırıların önceden analiz edilmesi ve buna karşı koymak için önlemlerin alınmasına yönelik çalışmaları yapan ekipler güvenlik operasyon merkezlerinde bulunur bir iş birliği içinde çalışırlar. Peki SOC nedir ve bu kuruluş ne iş yapar?
SOC, Güvenlik Operasyonları Merkezi (Security Operations Center) bir kuruluşun güvenliğini devamlı olarak izleyen ve güvenlik olaylarının analizinden sorumlu bir bilgi güvenliği ekibinin bulunduğu yerdir. Bu ekip, teknolojik çözümleri kullanarak iyi bir süreç yönetimi yapar ve siber güvenlik olaylarının tespit edilmesini sağlayıp analizini sunar. Siber saldırılara karşı aksiyon alır. Güvenlik operasyonları merkezleri genellikle güvenlik analistleri, güvenlik mühendisleri ve güvenlik işlemlerini denetleyen yöneticilerden oluşur ve güvenlik operasyonlarını denetleyen yöneticileriyle birlikte çalışır.
Bir SOC, merkezi komuta merkezi gibi davranır; ağları, cihazları bilgi depoları dahil olmak üzere bir kuruluşun BT altyapısını göz önüne alarak hareket eder. Temel olarak, SOC, izlenen organizasyonda kaydedilen her olay için bir benzerlik noktasıdır. Bu olayların her biri için, SOC nasıl yönetileceği ve nasıl davranılacağına karar vermelidir. Bu kararların alınması ile saldırıların önceden tespit edilmesini sağlar.
Siber Güvenlik Operasyon Merkezleri Nasıl Çalışır?
Bir SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gerekmektedir. SOC işlemlerinin temeli, kurumun sahip olduğu cihaz ve sistemlerden gönderilen log kayıtlarını yani sistemin dijital hareket verilerini ve bu verileri analiz edip, uygun sonuçlar ve tepkiler üreten SIEM ve SOAR sistemleridir.
SIEM (Güvenlik Bilgisi ve Etkinlik Yönetimi) sistemler; dijital hareketlerde logları toplar, anlamlandırır ve bunlara uygun alarmlar üretir. SIEM sistemler aslında birer hesap makinası gibidir. Sisteme doğru bilgiler girildikten sonra buna uygun analizleri gerçekleştirir.
SOAR (Güvenlik Düzenleme, Otomasyon ve Müdahale) sistemler ise; bir kuruluşun birden fazla kaynaktan gelen güvenlik tehditleri hakkında veri toplamasına ve düşük seviyeli güvenlik olaylarına insan yardımı olmadan yanıt vermesine izin veren yazılım programlarının bir çözümüdür. SOAR kullanmanın amacı, fiziksel ve dijital güvenlik işlemlerinin verimliliğini arttırmaktır.
►SOC Ekibi nasıl oluşur ve görevleri nelerdir?
-SOC yöneticisi, operasyonları ve ekibi yönetir.
-Güvenlik analisti, olası tehditleri analiz eder ve tehditlere yönelik önlemler alır.
-Güvenlik mühendisi, sistemin güncellenmesinden ve oluşmasından sorumludur.
-Olay yanıt sorumlusu, oluşan olayları yönetir ve bilgi teknolojileri ekibiyle birlikte koordinasyon sağlar.
-Kurumun sahip olduğu korunması gereken yazılım ve donanımların tespit edilmesi,
-Sahip olunan envanterlerin değerlendirilmesi,
-Sistemin sahip olduğu normal davranışlarının belirlenmesi ve buna göre normal olmayan davranışların tespit edilmesi,
-Sızma ve girişimlerini tespit etme
-SIEM, dijital hareketlerin kayıt altına alınması, katagorize edilmesi ve sonuçların elde edilmesi,
-SOAR, elde edilen verilerin birleştirilmesi ve yazılımsal otomatik cevap verebilecek hale getirilmesi, güvenlik operasyon merkezinin tehditlere karşı alabileceği iş akış çözümleridir. Güvenlik işlemlerinde bir optimizasyon planı oluşturulmalıdır.
SOC ekipleri, ortaya çıkan riskleri tespit etmenin yanı sıra bu risklere karşı savunma mekanizmaları geliştiriyor. Herhangi bir saldırıya karşı etkili kalabilmek ve zararı en aza indirmek için çeşitli planlar hazırlıyor. Bilgi Güvenliği Enstitüsü’nün belirttiği gibi, SOC veriyi kurumun içinden tüketir ve onu tehditlere ve güvenlik açıklarına ilişkin bilgi veren bir dizi dış kaynaktan gelen bilgilerle ilişkilendirir. SOC personeli güncel tehtitlere karşı tehdit istihbaratını sürekli olarak SOC izleme araçlarını beslemek için kullanmalı ve SOC, gerçek tehditler ve tehditler arasındaki ayrımı yapmak için gerekli süreçlere sahip olmalıdır.
SOC Modelleri
SOC, güvenlik açıklarını keşfetmek ve tanımlamak için merkezi izleme yetenekleri sağlamanın yanında bir organizasyonun yapısına, servislerine ve hatta müşterilerine zarar verebilecek güvenlik olaylarına müdahale eder.
►Dahili Model SOC
Dahili SOC kurmayı düşünen firmaların 7/24 izlemeyi desteleyecek bir bütçeye sahip olması gerekir. Büyük ölçekli şirketlerin dahili SOC kurması önerilir.
Dahili SOC şirket içerisinde ağı daha belirgin görmeye imkan sağlar. SOC ekibinin içerdeki cihazları, log kaynaklarını görmesini ve tehdit oluşturacak olaylara karşı perspektif kazanmasını sağlar. Dahili SOC’larda bazı tehditler gözden kaçabilir ve büyük bir maliyet gerektirir.
Modelin geliştirilmiş hali ise; “Fusion Center” olarak adlandırılır. Tespit, yanıt, tehdit avı ve bilgi paylaşımı CIRT (Computer Incident Response Team) ve OT (Operational Team) ile paylaşılır. CIRT ve OT fonksiyonları SOC çatısı altında entegreli çalışır.
►Sanal Model SOC
Bir çok kuruluş için sanal SOC’lar, bütçe kısıtlaması ve sınırlı çalışma alanından dolayı dahili SOC kuramadığı durumlarda önerilir. Bu modelin en büyük avantajı ise fiyat performans açısından SOC hizmetini en kısa ve etkili düzeyde kurulmasına imkan sağlar.
Bir çok firma için önerilse de kimi noktalarda dezavantajlara sahiptir. Bu hizmeti alan firmalar, tehditin ne pozisyonda olduğunu bilemeyebilir ve daha önemli kısmı ise organizasyon yapısından dolayı SOC hizmeti veren üçüncü bir firma tarafından bazı gizli bilgiler bilinebilir. Fakat yine de bu gizli bilgiler sözleşmeler aracılığıyla güvence altına alınır. Sanal SOC modelinde izleme ve tespit alanında uzman kişiler tarafından yapılır.
►Hibrit Model SOC
Hibrit model hem dahili hem de sanal SOC modellerin birlikte kullanılmasıyla oluşur. Hem firma hem de hizmet alınan kuruluş ile birlikte eş zamanlı olarak çalışılır. İzleme, tespit ve alarm üretmede daha etkili çözümler sunar.
Bu modelde sistemler, alarmalar, tehditler her iki taraftan da izlenir ve çift taraflı kontrol yapılmış olur. Bu modeli seçen firmalar SOC ekibine sahip ve bu işi yapabilecek yetkinliğe sahip olması gerekir ancak bütçe kısıtlamasından ötürü dahili SOC gibi 7/24 izleme yapabilecek dahili SOC kadar gelişmiş değillerdir.
Avantaj olarak azleme ve tespit açısından en güvenli model olmasının yanı sıra, organizasyonun kurumsal bilgileri üçüncü bir firma tarafından da bilinir ve ekstra donanım gerektirir.
PROJELENDİRME
Proje hizmetlerinde zamanlama iletişim önceliklerimizdendir.
Proje yapımımız; proje hizmetlerinde, işin ilgili standartlar ve yönetmelikler doğrultusunda projelendirilmesi gerekmektedir. Öncelikle projenin analizi yapılır, tasarım kriterleri, sistem seçimleri belirlenerek öneri raporu hazırlanıp sunulur. Proje yönetimi veya işveren tarafından onaylanmasını takiben ön tasarım çalışmaları başlar. Onay alındıktan sonra uygulama ve detay projeleri hazırlanır.
BT Proje ekibimiz, çağımızın enerji gereksinimlerini göz önünde bulundurarak, ekolojik yönden olumlu ve işletme ekonomisini en üst düzeyde tutacak sistem tasarımlar yapmak hedefindedir.