6698 Sayılı – Kişisel verilerin korunması kanunu ile son günlerde adını sıkça duymaya başladığımız “Veri Yönetişimi” nedir? KVKK ve veri güvenliği bağlamındaki önemi nereden kaynaklanmaktadır?

Günümüzde veri, kurumlar içerisinde teknolojik ortamlar ya da bulut sistemleri gibi ortamlarda ve çoğu kez ilk bakıldığında bir anlam veya içerik teşkil etmeyecek şekilde saklanır. Bu veriler yapılandırılmış (Structured) ve yapılandırılmamış (Unstructured) olarak ikiye ayrılır. Yapılandırılmış veriler, genellikle bir uygulamanın çalışması sonucunda oluşan çıktılarının veri tabanı sistemlerinde saklanan verilerdir. Bu tip verilerin yönetimi ve raporlanması verinin saklandığı sistemler üzerinde yapılabilir.

Yapılandırılmamış veri herhangi bir biçimsel kurala bağlı olmayan, büyük ölçüde metinsel içerik taşıyan, işlenip çözümlenebilmesi için gelişmiş metin işleme, doğal dil işleme ve yapay zekâ yöntemleri gerektiren veri türüdür. Bu veriler genellikle kurum içi dosya sunucusu hizmeti veren sistemlerde (Windows File Server, SharePoint, Exchange, EMC, NetApp. vb.) ya da bulut hizmeti veren sistemlerde (Google Drive, DropBox. vb.) saklanır. Tanımı gereği kurumlar için bu tip verilerin yönetimini ve raporlanmasını yapmak oldukça zordur.
Veri yönetişimi, kurum içerisindeki bu tarz verilerin belirlenmesi, barındırdıkları verinin tipine göre sınıflandırılması sonrasında sorumluluklar atayarak, riskleri azaltma sürecidir. Bunun için veri erişim politikaları, prosedürler ve standartlar belirlenerek kurum içerisindeki verilerin kimler tarafından, hangi haklarla kullanılacağının belirlenip karar verilmesini, uygulanmasını ve ilgili farkındalığın oluşturulmasını hedefler.
Kurum ihtiyaçlarının zamanla artması ile kurumun büyümesi doğru orantılıdır. Kurumlar büyüdükçe veri erişimi ve yönetimi de karmaşıklaşacağından ekipler arasındaki koordinasyonda sorun oluşturacaktır. Veri yönetişimi çerçevesinde kurum politikalarını iyi belirleyip yönetmek, veriye ulaşabilmek için alınacak kararların hızlı ve doğru olmasını sağlayacaktır. Bu sayede ekipler arasındaki koordinasyon sorunu azalacak ve maliyetleri düşürürken iş kalitesinin artmasını sağlayacaktır.
Veri yönetişimi ihtiyacı basit olarak aşağıdaki sorular üzerinden sorgulanabilir; -Veri (Hassas) nerede saklanıyor?
-Kimler veriye erişiyor?
-Erişim uygun mu?
-Kanıtlanabilir mi?

Soruların kurum içerisinde tartışılması bu konudaki eksiklikleri ortaya çıkarmaya yetecektir. Eksikliğin ortaya çıktığı durumda barındırılan veri herhangi bir “Kişisel Bilgi/Veri” içeriyor ise bu eksikliğin giderilmesi artık kanuni bir zorunluluktur.

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel bilgidir. Bilginin niteliğine ilişkin hiçbir sınırlama olmaksızın isim, kimlik bilgisi, alışkanlıklar, görüntü, ses, biometrik bilgiler gibi her türlü bilgi kişisel veridir. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 sayılı – Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiş olup, kapsamına bakıldığında müşteri bilgisi barındıran herkesin kapsama dahil olduğu görülüyor. Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konularına tekrar değinilmesi gerektiği ve bu bağlamda veri yönetişiminin ne kadar önemli olduğu bir kere daha ortaya çıkmaktadır.
Kontrol edilmek istenen sistemler ve veriler üzerinde (Active Directory, File System, Exchange, Ms Sql vb.) belirlenen zaman aralıklarında veya gerçek zamanlı olarak çalışarak sistem audit loglarını veya kendi audit loglarını toplayarak bu loglar üzerinden analizler yaparak hazır raporlar sunabilen bir çözüm mimarisidir.
Exchange Üzerindeki Hub Metric değerleri ve analizlerini, Cas Metric değerleri ve analizlerini, Exchange Database değerleri ve analizlerini, Mailbox değerleri ve analizlerini, Exchange Üzerindeki Public Folder yapısını, yetileri ve analizlerini, Exchange Üzerindeki Distribution Lists değerleri ve analizlerini, Exchange Versiyon bazlı değerleri ve analizlerini yaparak anlamlı veriler halinde raporlayabilen bir çözüm mimarisidir.
Dosya paylaşım sistemlerinde herkese açık olan ve erişim kısıtlaması olmayan dosyaların listesi, bütün yetkiler, yetkili kullanıcıların listesi, yanlış yetkilendirmeleri, dosya tiplerini, dosya boyutlarını, Belirlenen zaman aralığında kullanılmayan dosyaların listesi, hareketleri, yetkilendirme değişikliklerini, kullanım istatistiklerini, Şüpheli hareketleri, kullanıcı hareketlerine göre muhtemel sahipleri, ve Belirlenen kriterlere göre hassa data içeren dosyaları dosya sahipleri erişimler analizlerini yaparak anlamlı veriler halinde raporlayabilen bir çözüm mimarisidir. Databaselerde Sunucu bazında SQL SYSADMİN yetkisi olan kullanıcıların belirlenmesi, yetkileri instance bazlı ve Domain kullanıcı bazlı olarak, Database seviyesinde SQL yetkilerini, Bütün MSSQL Database’lerdeki yetkileri her bir instance için ayrı ayrı, SQL Serverlarda yetkilendirilmiş Domain kullanıcılarının SQL envanterindeki aktivite loglarını, SQL Envanterine Enterprise kriterine uyan değerleri, başarılı ve başarısız login denemelerini, Public erişim yetkisi tanımlanmış olan database’leri belirleyerek, Password Hash’i yeniden kullanılarak erişilen instance’ların loglarının analizlerini yaparak anlamlı veriler halinde raporlayabilen bir çözüm mimarisidir.
İçerik denetimi analiz ve raporları.
Herkesin erişimine açık olan kaynakların düzenlemesi ile ilgili iyileştirme önerileri ve analiz raporları.
File System üzerindeki yetkilendirmelerin görüntülenmesi ve analiz raporları.
Self Service Özelliği ile Kaynak bazlı Active Directory yetkilendirme grupları oluşturularak Dosya yetkilendirmelerinin Dosyanın sahibine atanması.
Self Service Özelliği ile Dosya sahibinin kendi sahip olduğu dosyalarının yetkilendirmelerini yapmasının sağlanması ve iş akışlarının ve raporlarının sağlanması.
(Bunun için başka bir yazılıma gerek duyulmaz iş akışı ve yetkilendirmeler Mail yolu ile sağlanır ve talepler’ de onaylar’ da mail yolu ile iletilir.)
Veri erişim yönetişimi ile Gerçek zamanlı erişim loglarının alınabilmesi ve işletim sistemi üzerinde Kernal seviyesinde müdahale kabiliyeti sayesinde erişim düzeylerinin belirlenmesini engellenmesi ve kısıtlanmasını mevcut sistemlerinizin üzerinde bir katman ile sağlayabilirsiniz.


Active Directory, File Server ve Exchange ortamlarında bulunan tüm kritik obje ve konfigürasyonlardaki grup üyelik, GPO, Mailbox, Dosya Klasör izinleri, Mailbox erişim aktiviteleri ve değişikliklerini analiz edebilmekte ve gerçek zamanlı olarak loglayabilmektedir.

Bu çözüm ile;
• Yapılandırılmamış verilerinizi bulur
• En etkin yöntemle bu verilere erişmenizi sağlar
• Kritik verilerinizi belirler (SOX, HIPAA, PCI, ITAR, vb.)
• Verinin sahibini belirlemenizde size yardımcı olur
• Sorunlu durumları düzeltir (Açık paylaşımlar vb.)
• Veriye Erişimlerin analiz edilmesi ve açık erişimlerin iyileştirilmesi
• Muhtemel veri sahipliği ataması
• Yetki gözden geçirme aktiviteleri
• Hassas verilerin keşfedilmesi
• Kullanılmayan verilerin bulunması
• Dosya ve klasör aktivitelerinin izlenmesi
• Domain’de kullanılmayan ya da çift objelerin analizi
• Grup üyelik analizleri
• Grup erişimlerinin raporlanması
• Active Directory değişikliklerinin raporlanması
• Mailbox erişimlerimin raporlanması
• Aktiviteleri gerçekleştirilebilmektedir.
• AD obje & GPO değişim, oluşturma, silme ve taşıma işlemleri
• Dosya erişim ve izin değişikliği aktiviteleri
• Sahipsiz mailbox erişimleri
• Otantikasyon bazlı saldırı analizleri (Brute Force, Lateral Movement, Account Hacking)
• Crypto Ransomware (Cryptolocker) analizleri ve bildirimleri
• Değişiklik ve erişimlerin tespit edilmesi.
• Gerçek zamanlı alarm üretebilme
• İlgili sistemler üzerinde anlık erişim kontrolü, erişim kısıtlaması ve engelleme
• Doğrudan SIEM Entegrasyonları
• Aktiviteleri gerçekleştirilebilmektedir.


Sentra, Veri Erişim Yönetişimi çözümü için Stealthbits ile çalışmaktadır. Stealthbits alanının lider firmasıdır. Stealthbits çözümleri hakkında daha fazla bilgi almak için Sentra satış kanalını arayabilir ya da info@sentra.com.tr adresine eposta gönderebilirsiniz.