Sürdürülebilir Kişisel Verileri Koruma Denetimleri

  KVKK ülkemizde hayata geçeli uzun bir süre oldu. Kurul ve kurum kuruldu ve hatta ilk denetimlerini bile yaptılar. Hala uygulama konusunda birçok net olmayan nokta olmasına rağmen artık ok yaydan çıktı. Türkiye’deki organizasyonlar KVKK’ya geçmişteki ETK yasası veya rekabet benzeri bir yaklaşım içinde bir seferlik uyum sağlanacak ve sonrasında gerektikçe güncellenecek bir zorluk gibi algılamaktalar. Çok azı ise bunun iş yapış yöntemlerine, kalıcı bir değişiklik getireceğini fark etmiş durumdalar. KVKK konusu Avrupa’da ortaya çıktığında, en dijital alet bir hesap makinesiydi. Ama şimdilerde dijital olmayan bir süreç kalmadı neredeyse. Bunca yılın getirdiği kişisel verileri sistematik olarak düzenlenmeden işlenerek getirdiği yük, … Devamı için…

BULUT BİLİŞİM VE İÇ DENETİM

  Uluslararası İç Denetim Enstitüsü (IIA)’nün 2017 yılında küresel çapta yaptığı araştırması, iş süreçlerinde yaşanan değişimin, iç denetim fonksiyonlarından beklentileri de değiştirdiğini gösteriyor. Paydaşlar, artık yeni teknolojiler konusunda kendilerine danışmanlık yapılmasını istiyor. Bu araştırmada; iç denetim fonksiyonlarının, denetim programlarında bulut bilişim konusuna yer vermeleri gerekliliğine değinilmiştir.  Değişim İnsanoğlu, gerçekleştirdiği teknolojik atılımlarla, ilkel taş aletlerden elimizdeki akıllı telefonlara ulaştı. İlerleme; birçok yeni teknolojinin birbirini etkilemesi, dönüştürmesi ile gerçekleşti. İletişim ve ilişki kurma becerilerimiz, dönüşüm ve ilerlemenin en önemli itici gücü oldu. Bu güç, elde edilen deneyimleri paylaşabilme, değiş tokuş etme imkânı vermekte, ortak/kümülatif bilişe katkı sağlayarak yeni sentezler ortaya çıkmasına yardımcı … Devamı için…

Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusu-Veri İşleyen Sözleşmelerinde Bulunması Gerekenler

Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlusu-Veri İşleyen Sözleşmelerinde Bulunması Gerekenler Yazarlar: Neslihan Kasap – Avukat Özcan Kemer – Avukat Semih Yılmaz – Bilgi Güvenliği Danışmanı Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili ikincil mevzuatın yayınlanıp yürürlüğe girmesi süreçleriyle birlikte, faaliyetleri kapsamında kişisel veri paylaşımı gerçekleştiren şirketler açısından, tarafların sorumluluklarının belirlenmesi adına sözleşmelerin düzenlemesi önem arz eden bir konu haline gelmiştir. Bilindiği üzere, Kanun veri sorumluları için birtakım yükümlülükler öngörmüş ve Kanun’da belirtilen tedbirlerin alınması hususunda veri sorumlusunun veri işleyen ile birlikte müştereken sorumlu olduğu belirtilmiştir. Bu itibarla, sorumlulukların belirlenmesi açısından Veri Sorumlusu-Veri İşleyen ilişkilerinde taraflar arasında … Devamı için…

SIEM Projeleri ve Sorgulanması Gereken Başarıları

Güvenlik projelerinde SIEM projelerinin sonunda başarıyı hedefliyoruz muyuz yoksa yapmış olmak için mi yapıyoruz? Pratiklerle Analiz Yaklaşımı Yazar: Dr. Ertuğrul AKBAŞ Ertugrul.akbas@anetyazilim.com.tr Editör: Ercüment ARI   Günümüz dünyasında denetim, bilgi güvenliği, risk, uyum, iç kontrol veya BT profesyonellerinin gerçekleştirmiş olduğu denetimlerin; tutarlı, kanıtlarla ve çoklu kaynaklarla beslenmesi,  teyit edilebilir olması,  anlaşılabilir sonuçlar üretmesi, inkar edilemez dayanaklar üzerinde durması kriterleri, bu denetimlere güvence vererek güvenilir kılar. Bu bağlamda, bir denetimin günümüzde bu vasıflara sahip olmasında en güçlü destek, silah ve vektörlerden biri de SIEM ürünleridir diyebiliriz. SIEM  (security information and event management) projeleri UEBA (User and Entity Behavior Analytics) veya diğer … Devamı için…

GDPR Notları

Ercüment ARI  Data Protection Officer & InfoSec Director, CIPM, CGEIT, CRISC, CRMA, CISM, CISA, CEH, ISO 27001 / 22301 / 20000 LA, CobIT   Edward Snowden, Maximillian Schrems, Mario Costeja Gonzalez… Soru: Bu üç kişinin ortak noktası nedir? Şu şekilde yanıtlarsak yanlış cevap vermiş olmayacağız: Kendilerinin; Avrupa Birliğinin 1995 yılında kabul ettiği ve sonrasında tüm birlik ülkelerinde bir şekilde uygulamaya başlanan Data Protection Directive (Veri Koruma Direktifi)’in ölmesine neden olan sebeplere, doğrudan veya dolaylı olarak çorbada tuz desteği faaliyetleri olmuştur. Zira; Snowden‘in ortaya çıkardığı NSA’in Facebook, Google, Apple, vb mahremiyet ihlalleri, Schrems‘in Facebook’un kişisel verileri koruma taahhütlerine aykırı geldiğine dair … Devamı için…

KVKK Uyum Geçiş Süreçleri için Özdeğerlendirme Soruları

  Ercüment ARI  Data Protection Officer & InfoSec Director, CIPM, CGEIT, CRISC, CRMA, CISM, CISA, CEH, ISO 27001 / 22301 / 20000 LA, CobIT   Bilindiği üzere organizasyonların, KVKK’nu (Kişisel Verileri Koruma Kanunu) 7 Ekim 2016 tarihi itibarı ile, uygulama yükümlülüğü mevcut. Avrupa Birliği ve Ekonomik Topluluğu ülkeleri ise, kişisel veriler ile ilgili düzenlemeleri 1996 yılından (ve hatta kısmi olarak daha eski) bu yana hayatlarında tecrübe etmekteler. Kanunumuz ile; kurumların, yaşayan birey verisine dokunduğu süreçlerinde artık hiçbir şey eskisi gibi olmayacak. Lakin diğer regulasyonlarda tecrübe edildiği gibi, bizi öldürmeyen kuvvetlendireceğinden; mahremiyet, bilgi güvenliği, risk yönetimi vb disiplinlerinde düzgün adaptasyon ile, ülke … Devamı için…

Farkındalığı oluşturduğunuz zaman kazanırsınız

“Siber dünyanın ilk dönemlerinde saldırgan olarak hatırlanan, saçları dağınık ergenlik dönemindeki asosyal ama bilgisayar dahisi dediğimiz gençler, yerlerini son derece eğitimli ve organize, ulusal ve uluslararası düzeyde çalışan saldırı gruplarına bıraktı. Bunları siber suçlular, hactivistler, hacker grupları, egemen devletler ve suç örgütleri olarak tanımlayabiliriz. Saldırganlardaki evrimleşme, saldırıların da evrimleşmesine ve yeni risklerin öne çıkmasına neden oldu. Siber saldırılarla kişisel verilerimiz, fikri mülkiyet haklarımız, ticarı sırlarımız ve hatta ulusal güvenliğimiz artık risk altında. Organize saldırılarla, saldırganlar tarafından sistemdeki kontrol eksiklikleri tespit edilerek veriler ele geçirilebilmekte veya kullanılamaz hale getirilmekte. ISACA’nın en son dünya çapında gerçekleştirilen bilgi teknolojisi yönetimi, denetçileri ve güvenlik … Devamı için…

Migrating From COBIT 4.1 to COBIT 5—Upgrading the Turkish Banking System – İngilizce

Yazar: Kaya Kazmirci, CISA, CISM, CISSP During the 1990s, numerous crises occurred in the Turkish banking sector (including several high- profile bank failures) that led to the development of a rigorous set of standards by the Turkish Banking Regulation and Supervision Agency (BRSA). All Turkish banks are required to become compliant with these standards. The first of these standards, Banking Internal Audit and Risk Management Systems Communique, related to technology infrastructure and was published in 2001. Subsequent related publications detailed the high-level approach that the first banking technology standard described, and mandated COBIT implementation and compliance in all Turkish banks. … Devamı için…

Critical Information Systems Processes – İngilizce

Yazarlar: Tugba Yildirim, CISA, CGEIT, CRISC, and Bilgin Metin, Ph.D.  Organizations maintain their operations with the help of processes that differ according to their organizational structure, business objectives and working styles. A process determines and manages numerous linked activities within an organization to help ensure that the organization functions effectively. It is “an activity or set of activities using resources, and managed in order to enable the transformation of inputs into outputs.”1 Furthermore, processes for managing IT operations should be formed because IT is a part of every business process. The processes described in this article were identified as critical … Devamı için…

Nesnelerin İnterneti Büyük Fırsat Sağlarken, Daha Çok Risk Ortaya Çıkarır

Orijinal makale yazarları: Marcelo Hector Gonzalez, CISA, CRISC & Jana Djurica Nesnelerin İnterneti (IoT) için, birbirinden az farklı nüanslara sahip, birçok tanım vardır. Bazıları IoT’yi, mevcut İnternet alt-yapısı içinde tümleşik veri işleme cihazlarının, benzersiz şekilde tanınmalarını sağlayabilen ara-bağlantısı olarak tanımlarken; diğerleri IoT’nin İnternete bağlı olan elektronik aletleri temsil ettiğinden bahseder, ancak çok daha fazla tanım mevcuttur. Şimdiye kadar olan tanımlardan en mantıklısı şudur; “IoT, nesneler, hayvanlar veya insanlara benzersiz belirteçlerin ve verileri, bir ağ üzerinden insan-insan veya insan-bilgisayar etkileşimi gerekmeksizin, otomatik olarak aktarma kabiliyetinin verildiği bir senaryodur. IoT, sanal olarak her şeyin, bir veya daha fazla küçük bilgisayar veya akıllı sensörle … Devamı için…