Mevzuata Uygunluk

tarih:

 



Mevzuata Uygunluk

Mevzuat uyumluluğu, işletmenizin odaklanması gereken önemli bir konudur ve özellikle veri gizliliği ile ilgilidir. Hangi sektörde veya dünyanın hangi bölgesinde faaliyet gösteriyor olursanız olun, şirketinizin en azından bazı veri gizliliği düzenlemelerine tabi olması muhtemeldir. Eğer bu düzenlemelere uyumsuzluk tespit edilirse, şirketiniz ağır para cezalarına (genellikle milyonlarca dolar) maruz kalabilir.



Bu bölümde, en önemli veri gizliliği düzenlemelerinden bazılarını özetlenecek. Ayrıca, dikkat çekici fakat faydalı veri ihlali araştırmalarını inceleyeceğim. Yönetişim, risk ve uyum kavramlarını tanıtarak, uyumluluğun neden güvenliği tam anlamıyla sağlamadığını açıklayacağım. Siber güvenlik bağlamında, risk yönetimi konusuna daha ayrıntılı bir şekilde değinip tehdit modellemesine giriş yapacağım. Veri ihlalleri, en yaygın ve yıkıcı siber olay türlerinden biridir ve bu tür olayların önlenmesi ile uyumun sağlanması, kritik adımlar arasında yer almaktadır.

Bu bölümde, en önemli veri gizliliği düzenlemelerinin özetlenmesi, dikkat çekici veri ihlali araştırmalarının incelenmesi, yönetişim, risk ve uyum kavramlarının tanıtılması ele alınacaktır. Uyumluluğun güvenliği tam anlamıyla sağlamadığını açıklayan bir bölüm de bulunacaktır. Siber güvenlik bağlamında risk yönetimi ve tehdit modellemesi hakkında daha fazla ayrıntı sunulacaktır. Veri ihlalleri, en yaygın ve yıkıcı siber olay türlerinden biri olarak kabul edilir ve bunların önlenmesi ile uyumun sağlanması temel adımlar arasında yer alır.


Veri İhlalleri Nedir ve Neden Ciddi Bir Sorundur?




Veri ihlali, verilerin yetkisiz kişiler veya varlıklar tarafından erişilebilir hale gelmesi durumunda meydana gelir. Bu durum, kötü niyetli bir eylemin sonucu olabileceği gibi bir kaza sonucu da ortaya çıkabilir. İhlal edilen veriler, genel kullanıma tamamen açılabileceği gibi, siber suçlular tarafından satılmak üzere piyasaya da sürülebilir. Veri ihlalleri sadece dijital verilere özgü değildir; basılı belgelerdeki veriler de ihlal edilebilir. Veri, ister bilgisayarınızda çalışan dijital bilgiler olsun, ister basılı belgelerde yer alsın, korunması gereken bir değerdir.

Hassas bilgilerin basılı kopyaları da tehlikeye girebilir, bu yüzden birçok ofis belgeleri kağıt öğütücü kullanarak imha eder. Örneğin, bazı şirketler, basılı belgelerin güvenli bir şekilde imha edilmesi için profesyonel hizmetler sunar. Ancak, bilgisayarların ve internetin yaygın kullanımı nedeniyle çoğu veri ihlali dijital verileri hedef alır.

Veri ihlalleri, siber güvenliğin temel ilkelerinden olan gizlilik, bütünlük ve erişilebilirlik (CIA üçlüsü) üzerinde doğrudan etkili olan bir tehdittir. Siber tehditler genellikle bu üç bileşenden en az birine zarar verirken, bazı tehditler birden fazla bileşeni hedef alabilir.

Veri ihlallerine bir örnek, 2020'lerde ortaya çıkan yeni fidye yazılımı türleridir. Fidye yazılımları, dijital verileri şifreleyerek erişilemez hale getiren bir kötü amaçlı yazılım türüdür. Bu yazılım türü, mağdurlara verilerini geri almak için bir fidye ödemeleri gerektiğine dair bir mesaj sunar. Örneğin, "Verilerinize tekrar erişmek istiyorsanız, bize 50.000 dolar değerinde Bitcoin ödeyin" şeklinde talepler içeren notlar gönderilir. Fidye yazılımları 2000'lerin başından beri varlığını sürdürmektedir. 2017'deki WannaCry saldırısı, fidye yazılımının küresel ölçekte yarattığı en büyük tehditlerden biri olarak kabul edilir. Bu saldırı, dünya genelinde milyonlarca Windows bilgisayarı etkileyerek, birçok kurum ve kuruluşun çalışmalarını aksatmıştır. Özellikle Birleşik Krallık Ulusal Sağlık Servisi, bu saldırının en bilinen kurbanlarından biri olmuştur. WannaCry, birçok işletmeye verilerini yedeklemenin önemini öğretmiş ve bu tür yedeklemeler sayesinde veriler geri yüklenebilir hale gelmiştir.

Fidye yazılımları günümüzde daha çok işletmeleri hedef almaktadır ve ödeme yapılmadığı takdirde hassas verileri kamuya açıklama tehdidi ile karşılaşılmaktadır.


Bu örnekler, fidye yazılımının başlangıçta verilerin bütünlüğünü ve kullanılabilirliğini tehdit ettiğini göstermektedir. Fidye yazılımı, enfekte olan bir cihazdaki verileri sahibinin izni olmadan değiştirdiği için bütünlüğü, verileri erişilemez hale getirdiği için ise kullanılabilirliği tehdit eder. Günümüzde gizlilik de genellikle risk altındadır.

Fidye yazılımı, nispeten yeni bir veri ihlali yöntemi olmakla birlikte, verilerin ihlal edilmesinin başka birçok yolu da vardır. İşte en yaygın yöntemlerden bazıları:

  • Bir çalışanın, iş amacıyla kullanmak üzere şifrelenmemiş bir USB flash sürücüde hassas şirket verilerini taşıması. Bu sürücü, bir iş yemeği sırasında çalışanın cebinden düşer ve başka biri tarafından bulunur. Bu durumda veriler yanlışlıkla ihlal edilmiş olur.
  • Bir yazılım geliştiricisi, hassas verilere erişen bir komut dosyası programlar. Programın verileri yetkili bir varlığa iletmesi gerekirken, yanlışlıkla bu verileri herkesin erişebileceği bir internet kaynağına aktarır. Eğer geliştirici şifrelemeyi uygulamayı unutursa veya yanlış bir şekilde paylaşırsa, veriler tüm internet kullanıcılarının erişimine açık hale gelir.
  • Bir siber saldırgan, bir çalışana BT departmanından geliyor gibi görünen bir kimlik avı e-postası gönderir. Bu e-postada, "Bilgisayarınızda bir sorun var, düzeltmek için kullanıcı adı ve şifrenize ihtiyacımız var" denilir. Çalışan kimlik bilgilerini paylaştığında, saldırgan bu bilgileri kullanarak hassas verilere erişir ve bu verileri dark web'de satabilir.
  • Bir siber saldırgan, bir şirketin web uygulamasındaki güvenlik açıklarını tespit etmeye çalışır. Web formuna belirli bir SQL kodu girerek, uygulamayı manipüle eder ve erişimine izin verilmeyen verilere ulaşır. Bu tür bir saldırı, SQL enjeksiyonu olarak adlandırılır ve arka planda çalışan veri tabanına sızmayı hedefler.

Veri ihlalleri birçok farklı yöntemle gerçekleştirilebilir ve bu yöntemler genellikle teknik bilgi ve yaratıcılık düzeyiyle sınırlıdır. Ancak yukarıdaki örnekler, en yaygın veri ihlali yollarını göstermektedir.


Bilgi, gücün temelidir ve bu gücün kaynağı, bilginin doğru şekilde anlaşılmasıdır. Veri, bilginin en önemli biçimlerinden biri olarak kabul edilir. Yanlış ellere geçen veri, istenmeyen tarafları güçlendirirken, hedeflenen kişileri zayıflatır. Elektronik bilgisayarların icadından yüzyıllar önce, ordular düşmanlarından gizli tutarken, önemli bilgileri kendi birliklerine iletmek için büyük çaba sarf ediyorlardı. Örneğin, sürpriz bir saldırı için koordinatlar ve zaman gibi bilgileri gizli yollarla paylaşıyorlardı. Bu iletişim, yalnızca birliklerin anlayabileceği analog kodlar aracılığıyla yapılıyordu. Eski uygarlıklar bile bu tür gizli iletişim yöntemlerine başvuruyordu.

Elektronik bilgisayarların icadından sonra bile, analog şifreleme teknikleri savaşta kullanılmaya devam etti. 20. yüzyıl boyunca ve hatta günümüzde, kısa dalga radyoları olan herkesin erişebildiği "sayı istasyonları" adı verilen yayınlar mevcuttu. Bu istasyonlar genellikle sadece sayıları ya da başka bir tür kodu tekrar ediyordu ve bu bilgiler, şifreyi bilmeyenler için anlamsızdı. Ancak, bu istasyonların casuslara ve askeri personele hassas taktik bilgileri iletmek için kullanıldığı düşünülmektedir.

Sayı istasyonlarından gelen mesajların hedef alıcıları, genellikle şifre çözme için "bir kerelik şifre defteri" adı verilen bir araçla donatılırdı. Bu defterler, rastgele sayılarla doldurulmuş kağıt yapraklarından oluşuyordu. Tarihçiler ve iletişim uzmanları Simon Mason, Lewis Bush ve Bruce Schneier gibi isimler, bu şifreleme yöntemlerini doğrulamıştır. Sayı istasyonlarının işlevinin resmi olarak doğrulanmamasının nedeni, orduların ve istihbarat teşkilatlarının bunu kabul etmemiş olmasıdır.

Veri koruma, hem bireyler hem de şirketler için büyük önem taşır. Ordu, bu konuda bir örnek teşkil ederken, suç örgütleri de aynı şekilde verilerini koruma çabası içindedir. Ancak, yasalara uygun olarak bireylerin ve şirketlerin, verilerini ihlallere karşı koruma sorumluluğu bulunmaktadır. Örneğin, bireyler mahremiyet hakkına sahiptir; tıbbi kayıtlar gizli tutulmalı, banka hesap bilgileri korunmalı ve çeşitli çevrimiçi hesaplara erişim engellenmelidir. Şirketler de benzer şekilde finansal verilerini, kimlik bilgilerini ve diğer hassas bilgilerini korumak zorundadır. Özellikle sağlık, sigorta, teknoloji ve ilaç sektörlerindeki şirketler, hem müşteri verilerini hem de rekabet avantajı sağlayan araştırma ve geliştirme bilgilerini gizli tutmak zorundadır.

Veri ihlallerinin her türlü işletme için yıkıcı sonuçları olabilir. Bu sonuçlar şunlardır:

  • İtibar kaybı: Müşteriler, hassas verilerinin ihlal edildiğini öğrendiklerinde, şirketle iş yapmak istemeyebilirler. Bu durum, muhasebe kayıtlarına yansımasa da gelir kaybına neden olabilir ve bir şirketin itibarını ciddi şekilde zedeler.

  • Yasal davalar ve cezalar: Bir veri ihlali, pahalı davalar ve yasal ücretler anlamına gelebilir. Şirket ihmalden suçlu bulunursa, milyonlarca dolar para cezasına çarptırılabilir. Ayrıca, veri gizliliği düzenlemelerine uyulmaması durumunda da ağır para cezaları uygulanabilir.

  • Maddi zarar: Suçlular, ele geçirdikleri verileri para çalmak ya da kimlik sahtekarlığı yapmak için kullanabilir. Bu durum, hem bireyler hem de şirketler için maddi kayıplara yol açabilir.

  • Kimlik sahtekarlığı: Sosyal Güvenlik numaraları, sürücü belgeleri, ticari ruhsatlar gibi kimlik belgelerinin ele geçirilmesi, sahte kimlik oluşturulmasına yol açabilir. Bu durum bireyler kadar şirketler için de geçerlidir; işletme ruhsatları ve kuruluş belgeleri gibi önemli belgeler sahtecilik için kullanılabilir.

Veri ihlalleri, sıklığı ve etkisi nedeniyle ciddi bir tehdit oluşturuyor. Bu konuda yapılan araştırmalar, ihlallerin ne kadar yaygın ve yıkıcı olabileceğini gösteriyor. Verizon'un 2020 Veri İhlali Araştırmaları Raporu (DBIR), veri ihlallerinin kapsamını ve doğrudan etkilerini anlamamıza yardımcı olan önemli veriler sunuyor. İşte bazı önemli bulgular:


Veri İhlallerinin Sıklığı ve Etkisi

  • Olay Sayısı: 2019'da 32.002'si potansiyel veri ihlali olmak üzere 157.525 siber olay incelendi ve bunlardan 3.950'si doğrulandı. Bu olaylar, 81 farklı ülkeden, çeşitli endüstrilerden ve farklı büyüklükteki işletmelerden geldi.
  • Kötü Niyetli Eylemler: İhlallerin %45'i bilgisayar korsanlığı gibi kötü niyetli eylemlerden kaynaklanıyor.
  • İnsan ve Bilgisayar Hataları: %22'si insan veya bilgisayar hatalarından kaynaklanan kazalardan oluşuyor.
  • Kötü Amaçlı Yazılım: İhlallerin %17'si kötü amaçlı yazılım içeriyor.
  • Yetkili Kullanıcılar: %8'i yetkili kullanıcılar tarafından yanlışlıkla veya kasıtlı olarak kötüye kullanılmadan kaynaklanıyor.
  • Harici Aktörler: İhlallerin %70'i harici aktörler tarafından gerçekleştirilmiş.
  • Organize Suç Grupları: %55'i organize suç grupları tarafından yapılmış.
  • Dahili Aktörler: %30'u dahili aktörler tarafından gerçekleştirilmiş.
  • Çoklu Saldırganlar: İhlallerin %4'ü dört veya daha fazla saldırgan eylemi içeriyor.
  • Finansal Motive: Kötü niyetli ihlallerin %86'sı finansal olarak motive edilmiş.
  • Web Uygulamaları: İhlallerin %43'ü web uygulamalarını içeriyor.
  • Fidye Yazılımı: Kötü amaçlı yazılımların %27'si fidye yazılımı.
  • Kimlik Bilgileri: İhlallerin %37'si kimlik bilgilerini kullanıyor.
  • Kimlik Avı: %22'si kimlik avı saldırılarını içeriyor.
  • Büyük ve Küçük İşletmeler: İhlallerin %72'si 1.000 veya daha fazla çalışanı olan büyük işletmelere yönelikken, %28'i 1.000'den az çalışanı olan küçük işletmelere yöneliktir.
  • Kişisel Veriler: Kurbanların %58'inin kişisel verileri ihlal edilmiştir.

Veri İhlallerinin Kaynakları

  • Organize Suçlar: Yaklaşık %55'i organize suçlardan kaynaklanıyor.
  • Ulus-devlet ve Devlet Bağlantılı Saldırılar: Yaklaşık %10'u ulus-devlet veya devlet bağlantılı saldırılardan geliyor.
  • Sistem Yöneticileri: %10'u sistem yöneticilerinden kaynaklanıyor.
  • Son Kullanıcılar: Yaklaşık %10'u son kullanıcılardan kaynaklanıyor.

Bu veriler, veri ihlallerinin yaygınlığını ve çeşitli kaynaklardan gelebileceğini gösteriyor. İşletmelerin veri güvenliğine ciddi bir şekilde yaklaşmaları, bu tür tehditlerle başa çıkabilmek için hayati önem taşıyor.


Veri ihlallerinin maliyetleri, siber güvenlik bütçelerini savunmak için önemli bir göstergedir. IBM'in 2020 Veri İhlalinin Maliyeti Çalışması, bu konuda çarpıcı bilgiler sunuyor:

Ortalama Maliyetler

  • Genel Ortalama: Tek bir veri ihlali olayının ortalama toplam maliyeti 3,86 milyon dolardır.
  • Sektörel Farklılıklar: Sağlık sektörü, olay başına ortalama 7,13 milyon dolar ile veri ihlalleri açısından en pahalı sektördür.
  • Coğrafi Farklılıklar: Amerika Birleşik Devletleri, olay başına ortalama 8,64 milyon dolar ile en pahalı veri ihlallerine sahip ülkedir.

Maliyet Kalemleri

Bu maliyetler çeşitli faktörlerden kaynaklanır:

  • Davalardan: Hukuki süreçler ve yasal ücretler.
  • Düzenleyici Para Cezalarından: Veri koruma düzenlemelerine uyumsuzluk nedeniyle ödenen cezalardan.
  • İtibar Kaybından: Şirketin itibarının zarar görmesi ve bu nedenle yaşanan gelir kaybından.

İhlal Süresi

  • Tespit ve Kontrol Süresi: Şirketlerin bir veri ihlalini tespit edip kontrol altına almaları ortalama 280 gün sürmektedir. Bu süre yaklaşık 10 ay olup, ihlal edilen verilerin büyük zarar vermesi için yeterli bir zamandır.

*Not

Veri ihlalleri genellikle kamuoyuna açıklanmayan bir dizi olayla birlikte gelir. Haberlerde duyduğumuz büyük ihlaller, genellikle kamuya açıklanan az sayıda olaydan sadece biridir. Bu, veri ihlallerinin yaygınlığını ve potansiyel etkilerini daha da vurgular.

Bu maliyetler ve süreler, siber güvenlik yatırımlarının önemini ve veri ihlallerine karşı alınacak önlemlerin değerini ortaya koyuyor. Şirketler, bu bilgileri kullanarak güvenlik bütçelerini artırabilir ve veri ihlallerinin getirebileceği finansal ve itibar risklerini minimize edebilirler.


Veri Gizliliği Düzenlemeleri

  1. Genel Veri Koruma Yönetmeliği (GDPR): Avrupa Birliği (AB) genelinde geçerli olan GDPR, kişisel verilerin korunması için sıkı kurallar belirler. Şirketler, AB vatandaşlarının verilerini topladıklarında, işlediklerinde ve sakladıklarında GDPR'ye uymak zorundadır. Bu düzenleme, veri sahibinin rızasını, veri koruma haklarını ve veri ihlalleri durumunda bildirim gerekliliklerini içerir.

  2. Kişisel Bilgilerin Korunması Kanunu (KVKK): Türkiye'de geçerli olan KVKK, kişisel verilerin korunmasını düzenler. GDPR'ye benzer şekilde, KVKK da veri sahiplerinin haklarını ve veri işleyenlerin yükümlülüklerini belirler.

  3. California Tüketici Gizlilik Yasası (CCPA): ABD'nin California eyaletinde geçerli olan CCPA, tüketicilere kişisel verileri üzerinde daha fazla kontrol ve şeffaflık sağlar. Şirketler, California'da yaşayan tüketicilerin verilerini toplarken ve işlerken CCPA'ya uymak zorundadır.

  4. Health Insurance Portability and Accountability Act (HIPAA): ABD'de sağlık sektörü için geçerli olan HIPAA, sağlık bilgilerinin gizliliğini ve güvenliğini korur. Sağlık kuruluşları ve hizmet sağlayıcıları, hasta bilgilerini korumak için HIPAA standartlarına uymalıdır.

  5. Finansal Hizmetler Düzenlemeleri: Finansal sektör için çeşitli düzenlemeler mevcuttur, örneğin, ABD'deki Sarbanes-Oxley Yasası (SOX) ve Avrupa'daki Ödeme Hizmetleri Direktifi (PSD2). Bu düzenlemeler, finansal verilerin korunmasını ve şeffaflık sağlanmasını hedefler.


Uyum Sağlama

  • Düzenlemeleri Anlamak: Şirketiniz için hangi veri gizliliği düzenlemelerinin geçerli olduğunu anlamak, uyum sağlamanın ilk adımıdır. Bu konuda bilgi edinmek için, hukuk veya siber güvenlik uzmanlarından danışmanlık almak önemlidir.

  • Danışmanlık ve Yatırım: Veri gizliliği düzenlemelerine uyum sağlamak için gerekli danışmanlık hizmetlerine yatırım yapmak, olası cezalardan ve uyumsuzluk risklerinden korunmanıza yardımcı olur. Uzman danışmanlık, şirketinizin veri koruma stratejilerini güçlendirebilir ve uzun vadede finansal kayıplardan kaçınmanıza katkı sağlar.

  • Eğitim ve Politika Geliştirme: Çalışanlarınızı veri gizliliği düzenlemeleri konusunda eğitmek ve etkili veri koruma politikaları geliştirmek, düzenlemelere uyum sağlamanın önemli bir parçasıdır.



Genel Veri Koruma Yönetmeliği (GDPR) Genel Bakış

Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) içinde veri koruma standartlarını belirleyen ve dünya çapında etkileri olan bir düzenlemedir. İşte GDPR’nin temel özellikleri ve uyum gereksinimleri:

1. Genel Bilgiler

  • Yürürlüğe Giriş: GDPR, 2018 yılında yürürlüğe girdi ve 2012 yılında önerildi.
  • Kapsam: AB içinde verileri işleyen veya depolayan tüm sektörlerdeki kuruluşlar için geçerlidir. Ayrıca, AB vatandaşlarının verilerini işleyen veya depolayan kuruluşları da kapsar.

2. Temel Gereklilikler

  • Bilgilendirilmiş Rıza: Şirketlerin, bireylerden veri toplarken bilgilendirilmiş rıza almaları gerekir. Rıza, her zaman geri alınabilir ve verilerin nasıl kullanılacağı konusunda net bilgi sağlanmalıdır.
  • Veri İhlali Bildirimi: Bir veri ihlali keşfedildiğinde, bu ihlalin 72 saat içinde ilgili makamlara bildirilmesi gerekmektedir. Bu süre, hafta sonları veya tatil günlerini de kapsar.
  • Veri Erişimi ve Unutulma: Kullanıcılar, kendileri hakkında toplanan verilerin bir kopyasını talep edebilir ve verilerin nasıl kullanıldığı hakkında bilgi alabilir. Ayrıca, verilerin belirli bir amaca hizmet ettiğinde silinmesini talep etme hakkına sahiptirler. Bu, "unutulma hakkı" olarak bilinir.

3. Cezalar

GDPR'nin ihlali durumunda uygulanabilecek cezalar iki aşamalıdır:

  • Birinci Aşama: Küçük ihlaller için, 10 milyon Euro veya şirketin önceki mali yıldan elde ettiği dünya çapındaki yıllık gelirin %2'si (hangisi daha yüksekse) kadar para cezası uygulanabilir.
  • İkinci Aşama: Daha ciddi ihlaller için, 20 milyon Euro’ya kadar veya şirketin önceki mali yıldan elde ettiği dünya çapındaki yıllık gelirin %4'ü (hangisi daha yüksekse) kadar para cezası uygulanabilir.

4. Uygulama ve Önlemler

  • Çerezler ve İzinler: GDPR, çerezlerin kullanımına dair daha fazla şeffaflık ve izin gerektirir. Web siteleri, Avrupa Birliği'nde bulunan kullanıcılarından çerez izni almak zorundadır.
  • Veri Koruma Yöneticisi: GDPR uyumu için, bazı kuruluşlar veri koruma yöneticisi atamak zorunda olabilir. Bu kişi, veri koruma uygulamalarını denetler ve GDPR’ye uyumu sağlar.





Kaliforniya Tüketici Gizliliği Yasası (CCPA) Genel Bakış

Kaliforniya Tüketici Gizliliği Yasası (CCPA), Kaliforniya'da ikamet eden bireylerin kişisel verilerini koruma amacı güden bir düzenlemedir. GDPR'den ilham almış olan CCPA, ABD'deki en kapsamlı veri gizliliği yasalarından biridir. İşte CCPA'nın temel özellikleri ve gereksinimleri:

1. Genel Bilgiler

  • Yürürlüğe Giriş: CCPA, Haziran 2018'de yasalaştı.
  • Kapsam: Kaliforniya'da ikamet edenlerin kişisel verileri için geçerlidir. Ancak, kişisel sağlık bilgileri ve finansal bilgiler için muafiyetler bulunur; bu tür bilgiler genellikle Kaliforniya Finansal Bilgi Gizliliği Yasası, HIPAA ve Gramm-Leach-Bliley Yasası kapsamındadır.

2. Kimler İçin Geçerli?

CCPA, aşağıdaki kriterlerden en az birini karşılayan işletmeler için geçerlidir:

  • Brüt Gelir: Yıllık brüt gelirleri en az 25 milyon dolar.
  • Kişisel Bilgi İşleme: Yıllık olarak 50.000 veya daha fazla tüketicinin kişisel bilgilerini satın alan, alan veya satan.
  • Gelir Kaynağı: Yıllık gelirinin yarısından fazlasını tüketicilerin kişisel bilgilerinin satışından elde eden.

3. Tüketici Hakları

CCPA, Kaliforniya sakinlerine aşağıdaki hakları tanır:

  • Bilgi Talebi: Kişisel verilerinin toplandığını ve bu verilerle ilgili diğer bilgileri bilme hakkı.
  • Veri İfşası: Kişisel verilerinin başka bir kuruluşa ifşa edilip edilmediğini bilme hakkı.
  • Satışa Hayır Deme: Kişisel verilerinin satışına hayır deme hakkı.
  • Erişim: Kişisel verilerine erişim talep etme hakkı.
  • Silme: Kişisel verilerin silinmesini talep etme hakkı.
  • Ayrımcılık Yasağı: Haklarını kullanmaları nedeniyle ayrımcılığa uğramama hakkı.

4. İhlal Durumları ve Cezalar

  • İhlal Bildirimi: Bir müşteri, kişisel verilerinin ihlal edildiğini düşündüğünde, işletmeyi bilgilendirmelidir. İşletmenin bu bildirimi aldıktan sonra, ihlali gidermek ve müşteriye “ihlallerin giderildiğine ve gelecekte benzer ihlallerin olmayacağına” dair açık bir yazılı beyan sunması için 30 günü vardır.
  • Para Cezaları: CCPA ihlalleri durumunda, para cezaları şu şekildedir:
    • Kasıtlı İhlaller: Her bir kasıtlı ihlal için 7.500 ABD Dolarına kadar ceza.
    • Kasıtsız İhlaller: Her bir kasıtsız ihlal için 2.500 ABD Dolarına kadar ceza.

5. Genel Notlar

  • Kapsam ve Uygulama: CCPA, yalnızca Kaliforniya'da ikamet eden bireylerle ilgili verileri kapsamaktadır, ancak büyük ölçekli işletmeler ve diğer eyaletlerdeki verilerle bağlantılı durumlar da etkilenebilir.









Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA)

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Amerika Birleşik Devletleri'nde kişisel sağlık verilerinin korunmasını düzenleyen temel yasa olarak bilinir. 1996 yılında yürürlüğe girmiştir ve sağlık sektörü ile sigorta sektöründeki kuruluşlar için geçerlidir. HIPAA, üç ana bileşenden oluşan kapsamlı bir düzenleme setidir.

1. Gizlilik Kuralı

  • Temel İlke: Kuruluşlar, hasta verilerini yalnızca gerekli minimum veri paylaşımı ilkesine uygun olarak paylaşabilirler. Bu, hasta verilerinin yalnızca tedavi, sağlık sigortası ve ücretler için gerekli olduğu kadar paylaşılmasını sağlar.
  • Bireysel Paylaşım: HIPAA, bireylerin kendi sağlık bilgilerini paylaşmalarını engellemez. Bir kişi, sağlık bilgilerini sosyal medya gibi platformlarda paylaşma hakkına sahiptir. HIPAA, bireyler değil, sağlık kuruluşları için geçerlidir.

2. Güvenlik Kuralı

  • Veri Güvenliği: Güvenlik Kuralı, sağlık kuruluşlarının hasta verilerini nasıl depolayacağı, paylaşacağı, kullanacağı ve güvenliğini sağlaması gerektiğine dair ayrıntılar sunar. Bu kural, hasta bilgilerinin güvenliğini sağlamak için gerekli teknik, fiziksel ve idari önlemleri içerir.
  • Siber Güvenlik: Güvenlik Kuralı, sağlık verilerinin siber güvenliğini sağlamak için gerekli olan bazı düzenlemeleri de içerir.

3. HITECH Yasası

  • Genişletilmiş Düzenlemeler: HITECH (Sağlık Bilgi Teknolojisi için Sağlık Bilgi ve Ekonomik Klinikal Eylem Yasası) yasası, HIPAA'nın siber güvenlik gereksinimlerini genişletir ve ihlaller için daha kapsamlı yaptırımlar getirir. HITECH yasası, sağlık bilgi teknolojilerinin kullanımını teşvik ederken, aynı zamanda veri ihlallerine karşı ek korumalar sağlar.

Ana Noktalar

  • Kapsam: HIPAA, ABD'de sağlık ve sigorta sektörlerinde faaliyet gösteren kuruluşlar için geçerlidir.
  • Gizlilik: Sağlık verileri sadece gerekli minimum veri paylaşımı ilkesine uygun olarak paylaşılabilir.
  • Güvenlik: Kuruluşlar, hasta verilerinin güvenliğini sağlamak için belirli teknik ve idari önlemler almak zorundadır.
  • Bireysel Paylaşım: HIPAA, bireylerin sağlık bilgilerini paylaşma hakkını kısıtlamaz, sağlık kuruluşlarının bilgiyi nasıl işleyeceğini düzenler.







Gramm-Leach-Bliley Yasası (GLBA)

Gramm-Leach-Bliley Yasası (GLBA), 1999 yılında yürürlüğe giren ve ABD'de bankalar ile diğer finansal hizmet kuruluşlarını kapsayan bir düzenlemedir. Bu yasa, finansal veri gizliliği ve güvenliği konusundaki gereksinimleri belirler ve iki ana bölümden oluşur:

1. Finansal Gizlilik Kuralı

  • Gizlilik Bildirimi: Finansal kuruluşlar, bir müşteriyle ilişki kurduklarında ve sonrasında her yıl müşterilere gizlilik bildiriminde bulunmak zorundadır. Bu bildirimde, toplanan bilgilerin neler olduğu, bu bilgilerin nasıl kullanıldığı, paylaşım yöntemleri ve bilgilerin nasıl korunduğu belirtilmelidir.
  • Tüketici Hakları: Tüketiciler, Adil Kredi Raporlama Yasası aracılığıyla kişisel bilgilerinin bağlı olmayan üçüncü taraflarla paylaşılmasına izin vermeme hakkına sahiptir.

2. Önlemler Kuralı

  • Güvenlik Planı: Finansal kuruluşlar, müşteri finansal bilgilerini korumak için yazılı bir güvenlik planı geliştirmelidir. Bu plan, bilginin nasıl korunacağına dair prosedürler ve önlemleri içermelidir.

Cezalar ve Yaptırımlar

  • Ceza Süresi: Gramm-Leach-Bliley Yasası'na uyulmaması durumunda, kişilere beş yıla kadar hapis cezası verilebilir.
  • Para Cezaları: İhlal başına 100.000 dolara kadar para cezası uygulanabilir.

Özet

Gramm-Leach-Bliley Yasası, finansal hizmet sektöründeki kuruluşlara, müşteri verilerini koruma ve gizlilik bildirimlerini düzenleme konusunda belirli yükümlülükler getirir. Kuruluşların, müşteri bilgilerinin gizliliğini ve güvenliğini sağlamak için etkin önlemler alması ve düzenli olarak bildirimde bulunması gerekmektedir. Uymama durumunda ise, ciddi cezalar ve yaptırımlar söz konusu olabilir.




Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS)

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), kredi ve banka kartı bilgilerini koruma amacı taşıyan uluslararası bir standarttır. Bu standart, Visa, MasterCard, American Express ve diğer büyük finansal hizmet sağlayıcılarının işbirliğiyle oluşturulmuş olup, bir hükümet düzenlemesi değil, bir endüstri standardıdır. PCI DSS, hem fiziksel mağazalarda hem de çevrimiçi perakendecilikte geçerlidir ve uluslararası alanda uygulanır.

PCI DSS'in Temel Prensipleri:

  1. Kart Verilerini Koruma: Kart sahiplerinin verilerini güvenli bir şekilde saklama, işleme ve iletme gereksinimlerini belirler.
  2. Güvenli Sistem ve Ağı Geliştirme: Güvenli sistemler ve ağlar tasarlama ve oluşturma konusunda kuralları içerir.
  3. Erişim Kontrolü: Bilgilere erişimi sınırlama ve yalnızca yetkili kişilerin erişmesini sağlama gereklilikleri içerir.
  4. Sürekli İzleme ve Test: Güvenlik süreçlerini sürekli olarak izleme ve test etme gereksinimlerini belirler.
  5. Politika ve Prosedürler: Güvenlik politikalarının ve prosedürlerinin oluşturulması ve sürdürülmesini gerektirir.








Yönetişim, Risk Yönetimi ve Uyum (GRC)

Yönetişim, Risk Yönetimi ve Uyum (GRC), şirketlerin veri güvenliği ve genel siber güvenlik stratejilerini yönetmek için kullandığı bir yaklaşımdır.

1. Yönetişim

  • Tanım: Yönetişim, bir kuruluşun yöneticilerinin ve liderlerinin şirketin stratejilerini, politikalarını ve süreçlerini nasıl yönettiğini ifade eder. Bu, hiyerarşik yapıların ve politikaların etkin bir şekilde uygulanmasını içerir.
  • Amaç: Şirketlerin doğru kararlar almasını ve stratejilerini başarıyla uygulamasını sağlamak.

2. Risk Yönetimi

  • Tanım: Risk yönetimi, kuruluşların karşılaşabileceği riskleri tanımlama ve değerlendirme süreçlerini içerir. Bu riskler, güvenlik tehditleri ve finansal kayıpları kapsar.
  • Amaç: Risklerin minimize edilmesi ve yönetilmesi; bu, genellikle maliyet-fayda analizi ile ilişkilidir.

3. Uyumluluk

  • Tanım: Uyumluluk, bir kuruluşun veri gizliliği düzenlemeleri, devlet yasaları, endüstri standartları ve pazar kurallarına uyumunu sağlamaya yönelik süreçleri ifade eder.
  • Amaç: Yasal ve endüstri standartlarına uygunluğu sağlamak ve olası düzenleyici cezaların önüne geçmek.

Öneriler:

  • Danışmanlık: GRC konusunda uzmanlaşmış danışmanlara başvurmanız tavsiye edilir. Büyük şirketler için, genellikle GRC uzmanlarını işe almak faydalı olabilir.








Risk Yönetimi ve Risk Toleransı

Risk Yönetimi, bir kuruluşun karşılaşabileceği potansiyel riskleri belirleme, değerlendirme ve bu risklere karşı stratejiler geliştirme sürecidir. Etkili bir risk yönetimi, siber güvenlik ve diğer iş riskleriyle başa çıkmak için kritik öneme sahiptir. İşte bu sürecin temel bileşenleri:

1. Risklerin Tanımlanması

  • Siber Riskler: Çeşitli siber tehditleri ve saldırıları içerir, örneğin, veri ihlalleri, fidye yazılımları, kimlik avı saldırıları.
  • Finansal Riskler: İşletmenin mali durumunu etkileyen riskler, örneğin, piyasa dalgalanmaları, likidite riskleri.
  • Operasyonel Riskler: İş süreçlerinde ortaya çıkabilecek riskler, örneğin, sistem arızaları, insan hataları.

2. Risklerin Değerlendirilmesi

  • Risk Değerlendirme: Her bir riskin olasılığı ve potansiyel etkisini analiz etmek. Riskler genellikle olasılık ve etki açısından değerlendirilir.
  • Risk Toleransı: Şirketin kabul edebileceği risk seviyesini belirleme. Risk toleransı, organizasyonun stratejik hedeflerine ve kaynaklarına bağlıdır.

3. Risk Yanıtı ve Stratejileri

  • Risk Azaltma: Riskleri minimize etmek için uygulanan stratejiler. Örneğin, çok faktörlü kimlik doğrulama gibi güvenlik önlemleri.
  • Risk Kabulü: Belirli risklerin kabul edilmesi. Örneğin, bir riskin çok düşük olasılıkla gerçekleşmesi durumunda bu riske göz yumulabilir.
  • Risk Transferi: Riskleri başka bir tarafa aktarma, örneğin, sigorta poliçeleri veya üçüncü taraf hizmet sağlayıcıları.
  • Risk Kaçınma: Riskten tamamen kaçınmak için süreçlerin değiştirilmesi veya belirli faaliyetlerden vazgeçilmesi.

4. Güvenlik ve Kullanılabilirlik Dengesi

  • Örnek Durum: Çok faktörlü kimlik doğrulama güvenliği artırabilir, ancak kullanıcı deneyimini olumsuz etkileyebilir. Kullanıcılar, aşırı güvenlik önlemleri nedeniyle sistemin kullanılabilirliğini azaltabilir veya verimsiz bir şekilde kullanabilirler.
  • Dengeleme: Şirketler, güvenlik ve kullanılabilirlik arasında bir denge kurmalıdır. Güvenlik önlemleri, kullanıcı deneyimini ve iş süreçlerini etkilememelidir.

5. Maliyet-Fayda Analizi

  • Analiz: Risk yönetimi ve güvenlik önlemleri maliyetlerinin, bu önlemlerin sağladığı faydalarla karşılaştırılması. Bir önlemin maliyetinin yüksek olması durumunda, bu önlemin sağladığı korumanın yeterli olup olmadığı değerlendirilmelidir.
  • Finansal Riskler: Bu analizler, finansal risklerin ve harcamaların işletme üzerindeki etkisini değerlendirir.

6. Uzmanlık ve İletişim

  • Siber Güvenlik ve İş Yönetimi: Siber güvenlik uzmanları, güvenlik stratejilerini belirlerken iş dünyasının ihtiyaçlarını anlamalıdır. İş yöneticileri ise maliyet ve fayda analizlerini yapmalı ve siber güvenlik stratejileri ile iş hedeflerini uyumlu hale getirmelidir.

Risk yönetimi, hem güvenlik hem de iş süreçlerinin etkili bir şekilde yönetilmesi için kritik öneme sahiptir. Şirketler, risk toleranslarını belirlemeli, riskleri analiz etmeli ve stratejilerini bu analizlere göre şekillendirmelidir.





Tehdit Modelleme

Tehdit Modelleme, bir kuruluşun karşılaşabileceği potansiyel tehditleri anlamak ve bunlara karşı önlemler almak amacıyla yapılan bir süreçtir. Bu, hem günlük yaşamda hem de siber güvenlikte uygulanabilir ve etkili risk yönetiminin temel bir bileşenidir.

1. Günlük Hayatta Tehdit Modelleme

  • Ev Güvenliği: Mumları veya ocakları kontrol etme, yangın kaçış planları yapma.
  • Araç Kullanımı: Yoğun caddelerde veya sakin yollarda geçiş yapma kararları.

2. Siber Güvenlikte Tehdit Modelleme

  • Tehditlerin Tanımlanması: Potansiyel tehditler ve riskler belirlenir. Örneğin, kötü niyetli yazılımlar, veri ihlalleri veya yetkisiz erişim.
  • Tehditlerin Önceliklendirilmesi: Tehditler, kuruluşun veri ve finansal varlıklarına ne kadar zarar verebileceğine göre sıralanır. Bu, hangi tehditlerin önce ele alınması gerektiğini belirlemeye yardımcı olur.

3. Tehdit Modelleme Süreci

  • Tehditlerin Tanımlanması: Kuruluşunuzun karşılaşabileceği tüm olası tehditleri anlamak. Bu, siber saldırılardan iç tehditlere kadar geniş bir yelpazeyi kapsar.
  • Tehditlerin Değerlendirilmesi: Her bir tehdidin olasılığı ve potansiyel etkisi değerlendirilir. Bu, tehditlerin ne kadar acil olduğunu ve hangi önlemlerin alınması gerektiğini belirlemenize yardımcı olur.
  • Önceliklendirme ve Strateji Geliştirme: Daha büyük ve kritik tehditler, önce ele alınmalıdır. Bu stratejiler, tehditlerin etkisini azaltacak veya ortadan kaldıracak önlemleri içerir.

4. Güvenlik Çerçeveleri ve Olay Müdahale Politikalari

  • Güvenlik Çerçeveleri: Tehdit modelleme, güvenlik çerçevelerini ve bunların olay müdahale politikalarını geliştirmek için kullanılır. Bu çerçeveler, tehditlerle başa çıkma stratejilerini ve prosedürlerini içerir.
  • Olay Müdahale: Tehditlerin gerçek bir olay haline gelmesi durumunda uygulanacak prosedürler ve yanıt stratejileri.

5. Metodolojiler ve Kaynaklar

6. Uyumluluk ve Savunma Güvenliği

  • Mevzuata Uyum: Şirketinizin geçerli düzenlemelere ve yasaların gerekliliklerine uyduğundan emin olun.
  • Savunma Güvenliği: Uyumluluğun ötesinde, savunma güvenliği yaklaşımı, potansiyel tehditlere karşı en etkili savunmaları sağlamayı hedefler. Bu, mevcut güvenlik önlemlerini güçlendirir ve tehditleri azaltır.