Murat Lostar

KVKK – BT UyumuKişisel Verilerin Korunması Kanunu’na Kurumsal Bilgi Teknolojileri Uyumu

1998 – … Privately owned

PEOPLE30+

OFFICESIstanbul HQSakarya R&D

FIRST• Security services

company in Turkey• Certification in Turkey

(CISSP, CCSP, ISSMP, CSSLP)

• ISMS (ISO 27001) consultancy in Turkey

ISO 9901 CertifiedISO 27001 Certified

Customers inEurope & Middle East

SERVICES

ConsultancyInformation Security Management System, Credit Card (PCI), IT Governance, Business Continuity, IT Privacy Alignment

TrainingSecure Software DevelopmentISO standardsSecurity Awareness

AuditingSecurity Checkups, Penetration Testing, Application Security,IoT Security, SCADA/ICS Security

SpecialSecurity Related R&D, Security outsourcing

Vendor agnostic (no reselling agreements with vendors)

GIVES BACK

• ISACA-Istanbul – Founding President

• CloudSecurityAlliance – Turkish Chapter Founding Leader

• Weekly radio show 2005-2015

Bilgi University – Joint Program / Cyber Security Academy/ appx 100 students/year

• Yearly Free Thesis & school project support contest

• Yearly Security Awareness contest

• Cyber security camps (summer & winter)

• Industry Sponsorships

Gündem• Uyum Hiyerarşisi• Kişisel Veri Envanteri• Süreç ve BT Uyumluluk Yaklaşımları• Veri Silme, İmha ve Anonimleştirme• Kalıcı Uyumun Sağlanması

Uyum Hiyerarşisi

Hukuk

• Ne• Mevzuat, Sözleşmeler, Politikalar

Süreç

• Nasıl• İş Süreçleri, Prosedürler

Teknoloji

• Altyapı• Veritabanı, Kayıtlar (log), Yazılımlar, Çözümler

Kişisel Veri EnvanteriYapısal• Veritabanları, tablolar, kolonlar• Özel uygulamalar• Seçimli alanlar

• Örn: İnsan kaynakları yazılımı, doğum günü alanı

Veri sınıflama / Uygulama sınıflama• Halka açık, şirket içi gizli, çok gizli• Kişisel olmayan, kişisel, özel nitelikli

Yapısal Olmayan• Ofis dosyaları (Word, Excel, PDF,

vb)• Epostalar• Mesajlaşma uygulamalar

(Whatsapp, vb)• Taranmış dokümanlar• Multimedya dosyaları (fotograf,

video, vb)• Ses kayıtları (çağrı merkezi, vb)• Yapısal uygulamalardaki serbest

alanlar (açıklama, vb)

Süreç ve BT Uyumluluk Yaklaşımları

Hukuk-Süreç Kararı BT Uygulama Yaklaşımı

Beyan yükümlülüğü Beyan verisinin toplanması, kayıtlarının saklanması (örn: web sitesi, giriş uyarı sayfası, çerez kullanımı)

Açık rıza alınması Açık rıza kararının toplanıp, saklanması(örn: Kullanım sözleşmesi, gizlilik sözleşmesi,

)✅Kişisel verileri toplamama, işlememe İlgili alanların kaldırılması, kullanıcı uyarıları

Eskiyen veri Veri yaratma, güncelleme tarihleriVeri paylaşımı (Üçüncü taraflara aktarma) Güvenli aktarım (kripto), erişim kontrol

listeleri vb ile politikaların uygulanmasıVerinin, işleyenlere aktarılma kuralları Güvenlik, kriptolama, bulut hizmet sağlayıcı

ilişkileriVeri güvenliği, koruma Teknik güvenlik yaklaşımları, erişim

kontrolleri, kimlik doğrulama, yetkilendirme, hesap tutma(AAA)

Kişisel veri sorgulama Kayıtlar (log)

Veri Silme, İmha, Anonimleştirme• Veri Silme/İmha

– Yerel cihazlar (silme)– Çevrimdışı yedekler

(rotasyon)– Bulut bilişim (şifreleme,

anahtar imhası)

– Silinebilir, ayrıştırılabilir teknolojilerin kullanımı

• Anonimleştirme– Veri ile kişi arasındaki bağı

kaldırma– Kurumsal hafızanın

korunması• Veriambarları • Karar destek ağaçları

– Farklı veri kaynakları kullanılarak de-anonimleştirmenin engellenmesi

Kalıcı Uyumun Sağlanması• Kurumsal Değişiklikler• Mahremiyet Etki Analizi• Veri sınıflaması/envanter

kontrolü• Veri sahipliği ve yönetimi

– Merkezi kural, merkez kontrol

– Ortak kural, dağıtık kontrol

• Denetim– Türleri:

• Birinci taraf (İç denetim)• İkinci taraf (Dış

denetim/tedarikçi denetimi)• Üçüncü taraf (Dış

denetim/sertifikasyon) - ISO, vb

– Denetim - Kontrol

Teşekkür ederimMurat Lostarlinkedin.com/in/lostar@MuratLostar

Lostar Bilgi Güvenliği A.Ş.linkedin.com/company/Lostar@Lostar

Güvenli Günler BülteniKişisel Güvenlik BilgileriHer ayın 15’inde yayımlanırHer ay farklı bir konu ve konuk yazarhttp://tiny.cc/GuvenliGunler