Forcerta Siber Güvenlik Danışmanlığı Direktörü Ayşim Niksarlı: “PAYLAŞIMLAR YAKIN TAKİPTE OLMALI”

“26 sene boyunca masanın müşterilerimizle aynı tarafındayken, 3 yılı aşkın süredir de şirketimizde danışmanlık ekibinin bir parçası ve yöneticisi olarak çalışıyorum. O yüzden sektörde yaşanan sıkıntıları yakından biliyorum. Özellikle son dönemin ekonomik koşulları ve salgının etkileri de üzerine eklenince dar bütçelerle ve sınırlı kaynaklarla çok iş çıkartma çabası söz konusu. Bu işlerin içinde en önemlilerden biri de şirket kaynaklarımıza yetkisiz erişimleri önlemek. Bu yönde etkili kontroller sağlamak için, kimliklerin ve erişimlerinin yönetimi, ve kimliğin yaşam döngüsü boyunca akışların doğru tesis edilmesi gerekiyor. Kimlik yönetim sistemleri İK sistemi ile ne derece senkron çalışsa o kadar iyi. Çünkü çalışan farklı bir pozisyona geçtiğinde veya şirketten ayrıldığında bu yetkilerin düzenlenmesi ya da tamamen kaldırılması gibi akışlar, belli pozisyonlar için belli erişim yetkilerinin rol bazlı verilmesi gibi konular var. Siber güvenlik ekipleri olarak, kıymetli verilerimizin hangi uygulamalarda kullanıldığı, bu uygulamaların hangi veritabanlarına bağlı olduğu, ilgili veritabanlarının hangi sistemlerde yer aldığı gibi konuları bir zincir şeklinde tespit edip, korumaya ve bu sistemlere erişimler için en az yetki prensibini dikkate almak önemli. Bahsettiğimiz etkiler şirketlerin dijitalleşme ivmesini de arttırdığı için şirketler birçok 3.partiyle entegre çalışıyor. Bu noktada şirketlerin entegre olduğu ya da hizmet aldığı üçüncü partilerin şirketin dijital varlıklarına erişimleri ve kendi sistemlerdeki güvenlik tedbirlerinin etkinliği de önem kazanıyor. KVKK hayatımıza girdiğinden beri tüm şirketlerin belli teknik ve idari tedbirleri alması da zaten bekleniyor. Bu tedbirleri konu alan, kurulun yayınladığı bir rehber de mevcut. Rehberin teknik tedbirleri arasında erişim matrisleri ile ilgili konulara da yer verilmiş durumda. Özellikle kişisel verilerin saklanmasını, transferini, işlenmesini sağlayan uygulamalarda kişisel veri üzerindeki işlemlerin görünürlüğü artırmak ve verinin kaynaktaki ve dolaştığı yerlerdeki log yapılarını da tasarlayarak, olası bir veri ihlali durumda da o kayıtlardan ne zaman kimin tarafından nereye doğru bir kaçak oluştuğunu, hangi verilerin buna konu olduğunu doğru tespit etmek önemli. Zira ihlal olayını detaylarıyla birlikte 72 saat içinde kurula bildirmek gerekiyor.  Kimlik yönetim araçları yetkilerin doğru kullanımı ve kontrol yapısı açısından oldukça kritik çözümler.”