Siber Güvenlik Risk Analizi ile KVKK Uyum Süreci Nasıl Başlatılır?
6698 sayılı KVKK, kişisel verilerin işlenmesini kurallara bağlayarak temel hak ve özgürlükleri, özellikle de özel hayatın gizliliğini korumayı amaçlar. Buradaki hedef, veri işlemeyi yasaklamak değil; meşru zemin ve ilkelere göre yürütmektir.
Bu sayfa; KVKK uyumunu belge odaklı değil, risk temelli başlatmak isteyen kurumlar için, temel kavramlar → siber güvenlik analizi → risk analizi → teknik/idari tedbirler → VERBİS → PUKÖ döngüsü sırasıyla kurgulanmış pratik bir yol haritası sunar.
1. KVKK: Kavramlar ve Yükümlülükler
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini kurallara bağlayarak temel hak ve özgürlükleri, özellikle de özel hayatın gizliliğini korur. Türkiye’de kişisel veri işleyen tüm kamu ve özel sektör kurumlarını kapsar.
Amaç; veri işlemeyi yasaklamak değil, meşru zemin ve ilkelere uygun bir çerçeve içinde yürütmektir.
1.1 Temel Kavramlar
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad, soyad, TCKN, iletişim, adres, plakalar, finansal veriler vb.).
- Özel Nitelikli Kişisel Veri: Sağlık, biyometrik/genetik veriler, siyasi görüş, dini inanç vb. daha sıkı koruma gerektiren veriler.
- Veri Sorumlusu: “Bu veri neden/nasıl işlenecek?” sorularına karar veren gerçek/tüzel kişi.
- Veri İşleyen: Veri sorumlusunun talimatıyla, onun adına veriyi işleyen üçüncü taraf.
- İlgili Kişi: Verisi işlenen gerçek kişi (müşteri, çalışan, aday vb.).
1.2 Açık Rıza ve Aydınlatma
Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Ancak KVKK, yalnızca rızaya dayalı işleme modeli öngörmez. Kanundaki diğer hukuki sebepler de (sözleşmenin kurulması/ifası, kanuni yükümlülük, meşru menfaat vb.) meşru zemin oluşturur.
Aydınlatma yükümlülüğü; veri sorumlusunun kimliği, işleme amacı, yöntemi, aktarım yapılacak alıcı/alıcı grupları ve ilgili kişinin hakları hakkında işleme öncesinde şeffaf bilgilendirme yapılmasını gerektirir.
1.3 Çekirdek Yükümlülükler
- Teknik ve İdari Tedbirler (m.12): İzinsiz işleme ve erişimi önlemek, verilerin güvenliğini sağlamak.
- Aydınlatma: İşleme öncesi ilgili kişileri açık ve anlaşılır şekilde bilgilendirmek.
- VERBİS Kaydı: Kriterleri sağlayan veri sorumlularının sicile bildirimde bulunması.
- Başvurulara Yanıt: İlgili kişi taleplerini süresinde ve usule uygun cevaplamak.
İpucu: Sağlıklı bir VERBİS kaydı için önce doğru ve güncel bir kişisel veri işleme envanteri gerekir; bu envanter ise doğrudan siber güvenlik risk analizi ile beslenmelidir.
2. Siber Güvenlik Analizi: KVKK Uyumunun Teknik Temeli
Siber güvenlik analizi; ağ, sunucu, uygulama ve veritabanlarında zafiyet, tehdit ve riskleri sistematik biçimde tespit ve önceliklendirme sürecidir. KVKK m.12’de geçen “gerekli her türlü teknik tedbir” ifadesini somut ve kanıta dayalı şekilde doldurmanın en pratik yoludur.
Bu aşamada sorulacak temel sorular:
- Hangi kişisel veriler hangi ortamda tutuluyor? (sunucu, bulut, yedek, cihaz vb.)
- Kim, hangi yetkiyle, hangi kanalla bu verilere erişiyor?
- Mevcut kontroller (şifreleme, erişim, firewall, DLP, loglama vb.) ne kadar etkin?
- Bir veri ihlali olursa etkisi ne olur ve nasıl yönetilir?
Amaç; “bizde şifreleme var, firewall var” gibi varsayımsal ifadeler yerine, analiz ve test çıktılarıyla desteklenen bir KVKK uyum altyapısı kurmaktır.
2.a Kapsamlı Siber Güvenlik Analizinin Aşamaları
1) Veri Keşfi ve Envanter
- Varlık Tespiti: Sunucular, veritabanları, uygulamalar, bulut servisleri, yedekleme sistemleri, ağ cihazları ve uç noktalar belirlenir.
- Veri Haritalama: Veri kategorileri (kimlik, iletişim, sağlık, finansal vb.), veri akışları ve konumları (lokal, bulut, üçüncü taraf) çıkarılır.
- Kontrolsüz ve “gölge IT” kaynakları tespit edilir; çıktılar VERBİS envanteri için altlık olur.
2) Zafiyet Taraması
- Güncellenmemiş yazılımlar, yanlış konfigürasyonlar, zayıf parolalar ve gereksiz/açık servisler taranır.
- Uzman ekipler tarafından false positive süzmesi yapılır.
- Amaç: “alçakta asılı meyveleri” hızlıca görüp kapatmak (kolay sömürülebilir açıklar).
3) Sızma Testi (Pentest)
Bu aşamada, yalnızca bir zafiyet listesi değil, bu zafiyetlerin ne ölçüde istismar edilebilir olduğu test edilir.
- Kara Kutu: Dış saldırgan senaryosu.
- Gri Kutu: Sınırlı bilgiye sahip saldırgan (kurum içi yaygın senaryo).
- Beyaz Kutu: Ayrıntılı bilgi/erişimle yapılan iç tehdit senaryoları.
KVKK açısından: Özellikle özel nitelikli kişisel veri barındıran sistemlerde periyodik pentest yapılması güçlü bir iyi uygulamadır.
4) Risk Analizi
Risk = Tehdit × Zafiyet × Varlık Değeri yaklaşımıyla olasılık ve etki değerlendirmesi yapılır. Yüksek riskler, iş etkisine göre önceleştirilir.
- Senaryolar: Fidye yazılımı, sosyal mühendislik, iç tehdit, veri sızıntısı vb.
- Çıktı: Önceliklendirilmiş risk kaydı ve tedavi planı.
5) Rapor ve Yol Haritası
- Yönetici Özeti: Teknik detaya girmeden risk resmi.
- Teknik Bulgular: Zafiyetler, kanıtlar, etki alanı.
- Risk Derecelendirme: Düşük, orta, yüksek, kritik ayrımı.
- Aksiyon Planı: Kısa/orta/uzun vadeli tedbirler, sorumlular ve hedef tarihler.
3. KVKK Uyum Yolculuğuna İlk Adım: Projeyi Başlatmak
3.1 Proje Ekibi ve Üst Yönetim Sahiplenmesi
- Multidisipliner Ekip: Hukuk/Uyum, BT/Siber, İnsan Kaynakları, Operasyon, Pazarlama/Satış.
- Üst Yönetim Desteği: Bütçe, yetki ve kurum içi görünürlük; projenin “IT projesi” değil, kurumsal dönüşüm projesi olduğunun vurgulanması.
3.2 Envanterin Nihai Hali
KVKK uyumunun kalıcı hale gelmesi için, kişisel veri işleme envanteri net ve güncel olmalıdır. Envanterde asgari olarak şunlar bulunmalıdır:
- İşleme amacı ve hukuki sebep (açık rıza, kanun, sözleşme, meşru menfaat vb.).
- Veri kategorisi (kimlik, iletişim, finans, sağlık vb.).
- Kişi grubu (çalışan, aday, müşteri, tedarikçi, ziyaretçi vb.).
- Alıcı/alıcı grupları (yurt içi ve yurt dışı).
- Azami saklama süresi.
- Uygulanan teknik ve idari tedbirler.
3.a Teknik ve İdari Tedbirlerin Hayata Geçirilmesi
Teknik Tedbirler
- Erişim Kontrolü & Yetki Matrisi: En az ayrıcalık prensibi, işe giriş/çıkış süreçleriyle entegre yetki yönetimi.
- Ağ Güvenliği: Güvenlik duvarları, segmentasyon ve kritik sistemlerin ayrıştırılması.
- Şifreleme: Disk ve veritabanı şifreleme; aktarımda TLS. Özellikle özel nitelikli veride şifreleme fiili bir zorunluluk halini alır.
- Zafiyet Yönetimi & Pentest: Düzenli taramalar, giderim ve yeniden test döngüleri.
- Antivirüs/EDR & Yama Yönetimi: İstasyon ve sunucularda güncel koruma ve planlı yama takvimi.
- Log & İzleme (SIEM): Erişim logları, anomali tespiti ve korelasyon kuralları.
- DLP (Data Loss Prevention): Yetkisiz dışa veri çıkışını önleyici kontroller.
- Yedekleme: İzole ve düzenli test edilen yedekler; felaket kurtarma senaryoları.
İdari Tedbirler
- Politikalar: Kişisel Veri Saklama ve İmha Politikası, Bilgi Güvenliği Politikası, erişim ve mobil çalışma prosedürleri.
- Sözleşmeler: Çalışan sözleşmeleri, tedarikçi sözleşmeleri ve veri işleyen hükümleri (sorumluluk, denetim hakkı, alt veri işleyen şartları vb.).
- Eğitim ve Farkındalık: Düzenli KVKK ve bilgi güvenliği eğitimleri, phishing simülasyonları, rol bazlı farkındalık programları.
- İhlal Müdahale Planı: Roller, bildirim akışı (Kurum ve ilgili kişi), kanıt toplama, kök neden analizi ve iletişim stratejisi.
3.b VERBİS Kaydı: Şeffaflığın Görünür Yüzü
VERBİS, veri sorumlularının kişisel veri işleme faaliyetlerini Kurum nezdinde beyan ettiği kamuya açık sicil sistemidir. Çalışan sayısı ve bilanço eşiğini sağlayanlar ile doğrudan özel nitelikli veri işleyenler, kayıt yükümlüsü kapsamındadır.
- Hazırlanan envanter verileri,
verbis.kvkk.gov.trüzerinden sisteme aktarılır. - Organizasyon ve süreç değişikliklerinde beyanlar düzenli olarak güncellenir.
Hatırlatma: VERBİS kaydı, uyum sürecinin bitişi değil; kurumsal şeffaflığın başlangıcıdır. Arkasında veri envanteri, risk analizi ve tedbir seti olmayan bir VERBİS kaydı; denetimlerde yeterli görülmez.
4. Sürdürülebilir Uyum: Sürekli İzleme ve İyileştirme
KVKK uyumu, bir defalık proje değil; sürekli iyileştirme gerektiren bir yönetim sistemidir. Bu noktada PUKÖ Döngüsü (Planla-Uygula-Kontrol Et-Önlem Al) etkili bir çerçeve sunar.
4.1 PUKÖ Döngüsü
- Planla: Güncel risk analizi, politika ve prosedür revizyonları, yıllık denetim ve test planlarının yapılması.
- Uygula: Teknik/organizasyonel kontrollerin hayata geçirilmesi, eğitim programlarının yürütülmesi.
- Kontrol Et: İç denetimler, zafiyet taramaları, pentestler, log ve olay izleme.
- Önlem Al: Düzeltici/önleyici faaliyetlerin uygulanması ve yeniden planlama.
4.2 Periyodik Denetimler ve KPI’lar
- Aylık veya çeyreklik zafiyet taramaları; yılda en az bir kapsamlı pentest.
- İç denetimlerle politika/prosedür uyumu kontrolü.
- KPI Örnekleri: Envanter güncelleme sıklığı, eğitim katılım oranı, bulgu kapatma süresi, ihlal müdahale süresi vb.
4.3 İnsan ve Teknoloji Dengesi
En zayıf halka çoğu zaman insan faktörüdür. Bu nedenle:
- Sürekli eğitim ve farkındalık,
- Güçlü parola politikası ve MFA,
- Şifreleme ve asgari yetki prensibi
teknik kontrollerle birlikte ele alınmalıdır.
4.4 Dinamik Yönetim
Yeni süreç, teknoloji veya veri türü devreye alındığında; envanter ve risk planları da güncellenmeli, değişiklikler kurum içinde duyurulmalıdır. Böylece uyum, canlı ve güncel tutulur.
5. Sonuç: KVKK Uyumunu Risk Temelli Kurgulamak
KVKK uyumu; yalnızca belge, politika ve VERBİS kaydından ibaret değildir. Gerçek anlamda uyum, dijital varlıkların ve kişisel verilerin korunmasını, siber güvenlik analizi ve risk değerlendirmesi ile temellendirir.
Bu yaklaşım sayesinde:
- Güven: Şeffaflık ve güvence ile müşteri, çalışan ve iş ortakları ile ilişkiler güçlenir.
- İtibar: Veri ihlali riskinde oluşabilecek yıkıcı kayıpların önüne geçilir.
- Dayanıklılık: Sistemler siber saldırılara ve operasyonel aksaklıklara karşı daha dirençli hale gelir.
- Verimlilik: Veri minimizasyonu ve süreçlerin netleşmesiyle maliyetler düşer, iş akışları sadeleşir.
Harekete Geçin: Bugün; veri keşfi & envanter → zafiyet taraması → pentest → risk analizi adımlarını planlayın ve kurum çapında sahiplenmeyi başlatın. KVKK uyumunu, siber dayanıklılık programınızın omurgası haline getirin.
Sık Sorulan Sorular: KVKK, Siber Güvenlik ve Risk Analizi
KVKK uyumu için mutlaka siber güvenlik risk analizi yapmak zorunda mıyız?
Kanun teknik yöntemleri tek tek saymasa da, m.12’deki “gerekli her türlü teknik ve idari tedbir” yükümlülüğünün risk analizi olmadan sağlandığını kanıtlamak neredeyse imkânsızdır. Bu nedenle Kurul kararları ve iyi uygulamalar, risk temelli yaklaşımı fiilen zorunlu hale getirmiştir.
Risk analizi ve sızma testi (pentest) arasındaki fark nedir?
Risk analizi, tehdit, zafiyet ve varlık değerini birlikte değerlendirerek kurumsal risk profilini çıkarır. Pentest ise belirli sistemlerde zafiyetlerin ne ölçüde istismar edilebildiğini gösteren derinlemesine bir testtir. Sağlam bir KVKK programında ikisi de birlikte kullanılır.
KVKK uyum projesine nereden başlamalıyız?
Pratik bir başlangıç; veri keşfi ve envanter ile siber güvenlik risk analizini paralel yürütmektir. Ardından teknik/idari tedbir seti, politika ve prosedürler, VERBİS kaydı ve eğitimler devreye alınmalıdır.
VERBİS kaydı yaptıktan sonra başka ne yapmamız gerekiyor?
VERBİS kaydı, uyumun son adımı değil; başlangıç noktasıdır. Envanter güncelleme, zafiyet yönetimi, pentest, log/izleme, eğitim ve PUKÖ döngüsü ile uyumun sürekliliği sağlanmalıdır.
Küçük ölçekli şirketler için de pentest ve risk analizi şart mı?
Evet. Ölçek küçük olsa da, işlenen kişisel verilerin niteliği (örneğin sağlık veya finans verisi) yüksek olabilir. Bu durumda risk analizi ve pentest, orantılı kapsamda planlanmalı; temel kontroller mutlaka uygulanmalıdır.
PUKÖ döngüsünü KVKK tarafında nasıl ölçebiliriz?
Zafiyet kapatma süreleri, envanter güncelleme sıklığı, eğitim katılım oranları, veri ihlali sayısı, iç denetim bulgu sayısı gibi KPI’lar ile PUKÖ döngüsünü somutlaştırabilir; her döngüde gelişimi izleyebilirsiniz.

