Veri Güvenliği Nedir? Kurumsal Kontroller, En İyi Uygulamalar ve İhlal Müdahalesi
Veri güvenliği; saklanan ve işlenen verilerin yetkisiz erişim, ifşa, silinme, bozulma veya değiştirilme gibi risklere karşı korunmasını sağlayan teknik ve idari düzeneklerin bütününü ifade eder. Kurumsal ölçekte veri güvenliği; yalnızca “sistem kurma” değil, aynı zamanda verinin yaşam döngüsü boyunca (toplama, işleme, saklama, paylaşım, imha) kontrol edilmesidir.
Bu rehber; veri güvenliği öğeleri olan bütünlük, gizlilik ve kullanılabilirlik ekseninde; erişim kontrolü, şifreleme ve anahtar yönetimi, veri maskeleme, ayrıcalıklı kullanıcı yönetimi (PAM), denetim/izleme ve KVKK kapsamında veri ihlali müdahale planı kurgusunu uygulamaya dönük şekilde ele alır.
Veri güvenliği: Verinin yetkisiz erişim ve ifşadan korunması, bütünlüğünün bozulmaması ve ihtiyaç halinde erişilebilir olmasıdır.
Temel kontroller: Erişim kontrolü, şifreleme/anahtar yönetimi, maskeleme, PAM, denetim/izleme.
İhlal yönetimi: Hazırlık → Tespit → Müdahale → Onarım/İyileştirme → Olay sonrası takip.
KVKK: İhlal halinde Kurul’a 72 saat içinde bildirim ve yüksek riskte ilgili kişilere gecikmeksizin bilgilendirme.
1. Veri Güvenliği Nedir?
Veri güvenliği; verinin yetkisiz kişiler tarafından erişilmesini engelleyen, verinin izinsiz şekilde ifşa edilmesini önleyen, verinin yanlışlıkla veya kötü niyetle silinmesi/bozulması/değiştirilmesi risklerini yöneten; aynı zamanda veriye ihtiyaç duyulduğunda süreklilikle erişilmesini sağlayan kontroller bütünüdür.
Kurumlar açısından veri güvenliği; hangi verinin nerede tutulduğunun, kimlerin eriştiğinin, hangi işlemlerin yapıldığının izlenebilir ve denetlenebilir olmasıdır. Bu çerçevede; saklanan veriler, olası saldırı senaryoları, koruma tedbirleri, anlık zafiyet tespiti ve olay çözüm süreçleri uçtan uca ele alınır.
Kurumsal Risk Perspektifi
- Yetkisiz erişim: Kimlik bilgisi ele geçirilmesi, içeriden suistimal, zayıf yetkilendirme.
- İfşa ve sızıntı: Yanlış yapılandırma, yedek sızıntısı, üçüncü taraf aktarımı, log/rapor ifşası.
- Bütünlük kaybı: İzinsiz güncelleme, veri manipülasyonu, kayıtların bozulması.
- Hizmet kesintisi: Ransomware, DDoS, kritik sistem arızası, yedekleme eksikliği.
2. Veri Güvenliği Çözümleri ve Kontroller
Veri ihlali riskini azaltmak ve denetlenebilirliği artırmak için; anahtar yönetimi, şifreleme, ayrıcalıklı kullanıcı erişim kontrolleri, veri maskeleme ve etkinlik izleme gibi kontroller bir bütün halinde uygulanmalıdır. Aşağıdaki yapı; yaygın kurumsal veri güvenliği programlarının omurgasını oluşturur.
Veri Erişim Kontrolü
Veri tabanı sisteminin güvenliğini sağlamanın temel adımı; veri tabanına erişen kullanıcının kimliğini doğrulamak ve hangi işlemleri gerçekleştirebileceğini net kurallarla sınırlandırmaktır. Güçlü kimlik doğrulama ve yetkilendirme kontrolleri, verilerin dış faktörlerden ve zararlı yazılımlardan korunmasına yardımcı olur.
- Güçlü kimlik doğrulama: MFA, şartlı erişim, oturum zaman aşımı, risk tabanlı doğrulama.
- Yetkilendirme modeli: RBAC/ABAC, en az ayrıcalık (least privilege), ihtiyaç kadar yetki.
- Görev ayrılığı (SoD): Tekil kullanıcıya uçtan uca kritik yetkilerin verilmemesi.
- Ayrıcalıklı erişim yönetimi (PAM): Admin hesap kasası, oturum kaydı, komut kısıtları, onay akışı.
Veri Koruması
Şifreleme, anahtar yönetimi, maskeleme ve düzeltme (redaction) gibi kontroller; veri ihlali etkisini azaltır ve uyumsuzluk riskini düşürür. Kritik nokta; veriyi yalnızca “depolamada” değil, aktarırken ve mümkünse işlenirken de korumaktır.
- Şifreleme: At-rest (disk/DB) ve in-transit (TLS) şifreleme; kritik alanlar için alan bazlı şifreleme.
- Anahtar yönetimi: KMS/HSM, anahtar rotasyonu, erişim ayrıştırma, anahtar yaşam döngüsü yönetimi.
- Veri maskeleme: Üretim dışı ortamlarda (test/analiz) maskeleme; dinamik maskeleme ile rol bazlı görünürlük.
- Tokenizasyon: Hassas tanımlayıcıların token ile temsil edilmesi ve tekrar çözümlemeye sıkı kontrol.
Denetleme ve İzleme
Tüm veri tabanı aktiviteleri denetim amacıyla kaydedilmelidir. Buna; ağ üzerinden gerçekleşen aktiviteler, veri tabanı içinde tetiklenen ve ağ izlemeyi atlayabilen aktiviteler de dahildir. Denetim, ağ trafiği şifreli olsa dahi çalışmalı ve olay müdahalesinde delil üretmelidir.
- Kapsamlı audit log: İstemci, kullanıcı, kaynak IP, işlem ayrıntıları, SQL/komut izleri.
- Merkezi izleme: SIEM entegrasyonu, korelasyon kuralları, alarm eşikleri.
- Log bütünlüğü: Zaman damgası, değişmez log depolama (WORM), yetkisiz silme önleme.
- Anomali tespiti: Olağandışı sorgu yoğunluğu, veri çıkarma paterni, yetki yükseltme denemeleri.
| Kontrol | Ne Sağlar? | Hedeflediği Risk |
|---|---|---|
| Erişim Kontrolü (IAM/RBAC) | Kim erişir, ne yapar sınırları | Yetkisiz erişim, suistimal |
| Şifreleme + Anahtar Yönetimi | Verinin okunamaz hale gelmesi | Sızıntı etkisi, veri ifşası |
| PAM | Ayrıcalıklı hesapların kontrolü | Admin suistimali, yatay hareket |
| Maskeleme/Tokenizasyon | Üretim dışı veri güvenliği | Test ortamı sızıntısı |
| Denetim/İzleme (SIEM) | Delil ve erken uyarı | Gecikmeli tespit, zafiyet istismarı |
3. Veri Güvenliğindeki Öğeler Nelerdir?
Veri güvenliği, klasik olarak “CIA üçlüsü” ile yönetilir. Veriler gerektiği kadar korunmuyorsa; izinsiz erişimlere açık hale gelir, kurumlar maddi kayıp, operasyonel kesinti ve hukuki risklerle karşı karşıya kalır.
Bütünlük (Integrity)
Verinin yetkisiz şekilde değiştirilememesi ve doğruluğunun korunmasıdır. Bütünlük; finansal kayıtlar, müşteri hesapları, işlem logları ve raporlamalarda kritik önem taşır.
- Hash/İmza, değişmez log depolama, çift kontrol (4 göz prensibi)
- Yetki ayrıştırma, kritik alanlarda değişiklik izleme
- Veri doğrulama kuralları, referans bütünlüğü
Gizlilik (Confidentiality)
Veriye yalnızca yetkili kişilerin erişebilmesidir. Gizlilik ihlali; çoğu zaman veri sızıntısı, yanlış paylaşım, erişim açıkları ve üçüncü taraf zafiyetleri ile ortaya çıkar.
- RBAC/ABAC, MFA, PAM, DLP, şifreleme
- Veri sınıflandırma ve etiketleme
- Üçüncü taraf sözleşmesel ve teknik kontroller
Kullanılabilirlik (Availability)
Veriye ve sistemlere ihtiyaç duyulduğunda erişilebilmesidir. Kullanılabilirlik; özellikle kritik hizmetlerde iş sürekliliğinin temel bileşenidir.
- Yedekleme (3-2-1), felaket kurtarma (DR), iş sürekliliği (BCP)
- Yama yönetimi, kapasite planlama, DDoS koruma
- Ransomware dayanıklılığı, geri dönüş testleri
4. Veri İhlalinde Uygulanacak Müdahale Planının Hazırlanması
KVKK kapsamında; işlenen verilerin hukuka aykırı şekilde başkaları tarafından elde edilmesi halinde, veri sorumlusunun durumu Kurul’a 72 saat içinde bildirmesi gerektiği yönünde uygulamada standardizasyon sağlayan yaklaşım bulunmaktadır. İhlalin ilgili kişilerin temel hak ve özgürlükleri açısından ciddi risk doğurduğu durumlarda; ilgili kişilerin de en kısa sürede bilgilendirilmesi beklenir. Bu nedenle “ihlal müdahale planı” yalnızca IT dokümanı değil, kurum içi sorumluluk akışını tanımlayan yönetim aracıdır.
Müdahale Planının Kapsamı
Veri ihlali durumu için hazırlanacak plan; hazırlık, tespit, cevap geliştirme, onarım/iyileştirme ve olay sonrası takip başlıklarını içermelidir.
Operasyonel Adımlar (Kurumsal Checklist)
- İhlalden haberdar olunan zamanın netleştirilmesi: İlk tespit anı, log zamanı, bildirim kanalı (SOC, kullanıcı bildirimi, tedarikçi bildirimi).
- Hasar ve kapsam tespiti: Hangi veri türleri etkilendi? Kaç kayıt? Hangi sistem/ortam? Hangi kullanıcılar?
- Hukuka aykırı işleme/erişim analizi: Yetki dışı erişim mi, yanlış paylaşım mı, kötü niyetli sızıntı mı?
- Kök neden analizi: Fiziksel mi yazılımsal mı? Zafiyet, yanlış yapılandırma, kimlik bilgisi sızıntısı, insider risk?
- İç raporlama ve komuta zinciri: Yönetim, hukuk, IT, DPO/kvk ekibi, iletişim/PR ve tedarikçi koordinasyonu.
- Bildirim hazırlığı: Kurul bildirimi için gerekli veri seti, delil ve açıklamaların toplanması; kademeli bilgi yönetimi.
- İlgili kişilere bilgilendirme: Yüksek riskte; açık, anlaşılır, aksiyon alınabilir içerikle bilgilendirme (parola yenileme, dikkat edilmesi gereken dolandırıcılık vb.).
- İyileştirme ve kalıcı önlem: Yama/konfigürasyon düzeltme, erişim revizyonu, anahtar/şifre rotasyonu, DLP, izleme kural güncellemesi.
- Olay sonrası takip: Süreç değerlendirmesi, eğitim, denetim, politika güncellemesi ve tekrar test (zafiyet taraması/sızma testi).
Plan Tasarımında Kritik Noktalar
- Veri sınıflandırması: Hangi verinin nerede tutulduğu, hangi sistemde işlendiği net olmalıdır.
- Rol ve sorumluluklar: IT, hukuk, yönetim, müşteri iletişimi ve tedarikçi yönetimi görevleri yazılı olmalıdır.
- Karantina senaryoları: Sızıntı şüphesinde hangi sistem izole edilir, hangi hesaplar askıya alınır, nasıl geri dönüş yapılır?
- Eski hesaplar ve yetkiler: Sisteme erişimi devam eden eski kullanıcı/servis hesapları düzenli gözden geçirilmelidir.
- İletişim planı: İç iletişim, dış iletişim, tedarikçi iletişimi ve müşteriye bildirim kurgusu önceden hazırlanmalıdır.
5. Sık Sorulan Sorular (SSS)
Veri güvenliği sadece IT’nin sorumluluğu mudur?
Hayır. Veri güvenliği; süreç sahipleri, hukuk/uyum, insan kaynakları, tedarikçi yönetimi ve üst yönetim dahil çok disiplinli bir yönetişim alanıdır.
Şifreleme tek başına yeterli olur mu?
Yeterli değildir. Şifreleme; erişim kontrolü, anahtar yönetimi, denetim/izleme ve ayrıcalıklı erişim yönetimiyle birlikte çalıştığında etkin koruma sağlar.
Denetim logları neden bu kadar kritik?
Çünkü tespit, delillendirme ve olay sonrası iyileştirme loglara dayanır. Log bütünlüğü yoksa, olayın kapsamı ve sorumluluk zinciri sağlıklı kurulamaz.
KVKK kapsamında ihlal bildirimi neye göre yapılır?
İhlalin niteliği, veri türü, etkilenen kişi sayısı ve risk seviyesi değerlendirilir. Kurul’a bildirim ve yüksek riskte ilgili kişilere bilgilendirme yaklaşımı bu çerçevede yönetilir.
Müdahale planı hangi aralıklarla test edilmelidir?
Kritik sistemler için düzenli periyotlarla masa başı tatbikatı ve teknik testler yapılmalı; değişen altyapı, tedarikçi ve süreçlere göre plan güncellenmelidir.
Hangi verileri önceliklendirmeliyim?
Özel nitelikli veriler, finansal veriler, kimlik verileri ve kimlik doğrulama bilgileri (parola/anahtar/token) öncelikli risk alanlarıdır. Veri sınıflandırma ile öncelik netleşir.

