Gizlilik: Bilgi Güvenliğinin Kalbi
- Yetkisiz Erişimi Engelleme: Şifreleme (Encryption) ve erişim kontrolleri ile verilerin meraklı gözlerden veya art niyetli kişilerden saklanmasıdır.
- Veri Sınıflandırma: Her veri aynı değerde değildir. Gizlilik bilinci, hangi verinin "kamuya açık", hangisinin "gizli" veya "çok gizli" olduğunu bilmeyi ve buna göre korumayı gerektirir.
KVKK Bilinci: Yasal Uyumluluk ve Sorumluluk
- Hukuka ve Dürüstlük Kurallarına Uygunluk: Veri toplarken şeffaf olunmalı ve sadece belirtilen amaçla kullanılmalıdır.
- Veri Minimizasyonu: Sadece ihtiyaç duyulan kadar veri toplanmalıdır (Gereksiz veri, gereksiz risk demektir).
- İdari ve Teknik Tedbirler: Kanun, veri sorumlularına güvenlik duvarlarından sızma testlerine, çalışan eğitimlerinden veri imha politikalarına kadar geniş bir sorumluluk yükler.
Gizlilik ve KVKK Neden Ayrılmaz Bir Bütündür?
Bireysel ve Kurumsal Farkındalık İçin İpuçları
- Parola Hijyeni: Güçlü, benzersiz şifreler ve Çok Faktörlü Kimlik Doğrulama (MFA) kullanmak.
- Veri İmha Politikası: Artık ihtiyaç duyulmayan kişisel verilerin güvenli bir şekilde (anonimleştirilerek veya silinerek) yok edilmesi.
- Oltalama (Phishing) Eğitimi: KVKK ihlallerinin büyük çoğunluğu, bir çalışanın yanlış bir linke tıklamasıyla (insan faktörü) başlar.
- Aydınlatma Metni: Kullanıcıların verilerinin nasıl işleneceği konusunda açıkça bilgilendirilmesi.
Siber güvenliğin temel üçlüsü (CIA Üçlüsü) içinde "Gizlilik", bilginin sadece yetkili kişiler tarafından erişilebilir olmasıdır.
Türkiye'de 2016 yılında yürürlüğe giren 6698 Sayılı KVKK, kişisel verilerin işlenmesinde disiplin ve denetim sağlar. Siber güvenlik uzmanları için KVKK, teknik önlemlerin yasal çerçevesini belirler.
KVKK Kapsamında Temel Yükümlülükler:
Bir siber güvenlik ihlali yaşandığında, bu sadece teknik bir hata değil, aynı zamanda bir hukuki ihlaldir.
|
Özellik |
Gizlilik Bilinci (Teknik/Etik) |
KVKK Bilinci (Hukuki) |
|
Odak Noktası |
Verinin korunma yöntemleri (Şifreleme vb.) |
Veri sahibinin hakları ve yasal süreçler. |
|
Amacı |
Verinin çalınmasını önlemek. |
Verinin izinsiz işlenmesini ve suistimalini önlemek. |
|
İhlal Sonucu |
Prestij kaybı, sistem kesintisi. |
Ağır para cezaları ve hapis cezası riskleri. |
Sonuç
Gizlilik ve KVKK bilinci, bir kurumda sadece IT departmanının değil, tüm çalışanların ortak sorumluluğudur. Siber Güvenlik Kanunu (7545) gibi yeni düzenlemelerle birlikte, bu bilincin eksikliği kurumlar için telafisi zor mali ve hukuki sonuçlar doğurabilmektedir.