Dijital Arşivleme Projelerinde Bilgi Sızdırma Riskine Karşı En Etkili Güvenlik Uygulamaları
Günümüzde kurumların en değerli varlıklarından biri bilgi ve veridir. Bu nedenle dijital arşivleme projelerinde veri gizliliği ve bilgi güvenliği sağlamak, yalnızca yasal bir zorunluluk değil, aynı zamanda kurumsal itibarı korumanın da temel unsurudur.
Yanlış yapılandırılmış bir sistem veya denetimsiz dijitalleştirme süreci, bilgi sızdırma riskini artırır ve ciddi mali ve hukuki sonuçlar doğurabilir.
1. Dijital Arşivleme Sürecinde Gizlilik İlkesi
Kurumsal belgelerin dijital ortama aktarılması sırasında gizlilik ilkesi her aşamada korunmalıdır. Arşivlerde yer alan belgelerin yalnızca yetkilendirilmiş personel tarafından erişilebilir olması, gizlilik sözleşmeleri ile güvence altına alınmalıdır.
Yetkilendirme, genel erişim yerine Rol Tabanlı Erişim Kontrolü (RBAC) mekanizmasıyla yönetilmelidir. Her çalışanın görevi gereği sadece görmesi gereken minimum belgeye erişimi olmalı, bu yetki yazılım düzeyinde kesin olarak belirlenmelidir.
Dijitalleştirme hizmeti dış kaynakla yürütülüyorsa, yüklenici firma ile veri koruma ve KVKK uyumlu gizlilik protokolü mutlaka imzalanmalıdır.
2. Hizmet Sağlayıcının Yasal Yeterliliği: ISO 27001 Taahhüdü
Dış kaynak kullanımında, hizmet sağlayıcının sadece KVKK’ya uyum taahhüdü değil, aynı zamanda uluslararası kabul görmüş ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olması gerekir.
Bu sertifika, firmanın güvenlik süreçlerinin bağımsız bir otorite tarafından denetlendiğini kanıtlar ve sözleşmeye eklenmelidir.
3. Kendi Bünyesinde Dijitalleştirme Modeli
En güvenli yöntem, dijital arşivleme işlemlerinin kurumun kendi tesisinde yürütülmesidir. Bu modelde belgeler dışarı çıkarılmaz; tarama, indeksleme ve veri aktarımı işlemleri kurum içi sistemlerde gerçekleştirilir.
Bu sayede bilgi sızıntısı riski minimuma iner ve süreç tamamen kurum denetiminde kalır.
4. Donanım ve Yazılım Güvenliği
Kullanılan bilgisayarlarda kullanıcı hesapları sınırlı yetkilere sahip olmalı, USB portları devre dışı bırakılmalıdır.
BIOS şifreleme, internet erişim engeli, şifreli ağ (VPN) bağlantısı ve güvenlik duvarı koruması gibi teknik önlemler siber güvenlik seviyesini yükseltir.
Tüm belgeler AES-256 şifreleme gibi güçlü algoritmalarla korunmalı, geçici dosyalar proje sonunda güvenli şekilde silinmelidir.
5. Fiziksel Güvenlikte Belge Takip Zinciri (Chain of Custody)
Dijitalleştirme başlamadan önce ve sonra belgelerin fiziksel hareketlerinin Belge Takip Zinciri (Chain of Custody) ile güvence altına alınması esastır.
Taşıma, hazırlık ve imha aşamalarında hangi belgenin nerede olduğu, kimin sorumluluğunda bulunduğu kayıt altına alınmalı, zincir koparılmamalıdır.
6. Güvenlik Kamerası ve Erişim Kontrolü
Dijitalleştirme yapılan alanlarda fiziksel güvenlik en az dijital güvenlik kadar önemlidir.
Girişler kartlı sistemle sağlanmalı, yalnızca yetkili personel erişim hakkına sahip olmalıdır. Tüm süreç boyunca güvenlik kameraları sürekli kayıt almalı ve kayıtlar düzenli olarak saklanmalıdır.
Kamera kayıtlarının yedekleme süresi yasal gerekliliklere uygun olmalı; yetkisiz girişler anında raporlanmalı ve erişim logları düzenli olarak denetlenmelidir.
7. Çalışan ve Ortam Güvenliği
Veri gizliliği personel farkındalığı ile başlar.
Cep telefonu ve kamera kullanımı kısıtlanmalı, erişim hareketleri loglanmalı ve güvenlik sistemlerine (SIEM) entegre edilmelidir.
Her proje öncesinde çalışanlar gizlilik sözleşmesi imzalamalı, yetkisiz kişilerin girişine izin verilmemelidir.
8. Çalışan Eğitimleri
Veri güvenliği, sadece teknolojik altyapıyla değil, bilinçli personelle sağlanabilir.
Tüm personele periyodik olarak şu konularda eğitim verilmelidir:
- KVKK farkındalığı ve kişisel veri işleme politikaları
- Siber güvenlik ve güvenli kullanıcı alışkanlıkları
- Bilgi gizliliği ve belge koruma prosedürleri
Eğitimler sonunda ölçme-değerlendirme yapılmalı ve tüm katılım belgeleri denetim dosyasında saklanmalıdır.
9. Veri Aktarımı ve Depolama Politikası
Taranan belgelerin veri tabanına aktarımı yalnızca belirli terminaller üzerinden yapılmalıdır.
Harici disk, USB veya taşınabilir cihazlar kesinlikle kullanılmamalıdır.
Aktarım işlemleri, güvenli ağ protokolleri (SFTP, HTTPS) üzerinden yapılmalı ve veri bütünlüğü hash kontrolü ile doğrulanmalıdır.
Her veri paketi için kaynak ve hedef hash değerleri eşleşmeli, bu işlem raporlanmalıdır.
10. Operasyon Sonrası Veri İmha Prosedürü
Proje tamamlandıktan sonra, kullanılan sistemlerdeki veriler NIST 800-88 veya DoD 5220.22-M standartlarına göre silinmelidir.
Bu, bilgi kurtarma ihtimalini ortadan kaldırır.
Alternatif olarak diskler kurum tarafından teslim alınabilir veya veri üzerine rastgele yazdırılarak kalıcı biçimde yok edilebilir.
Fiziksel belgelerin imhası da yasal imha tutanakları ile belgelenmelidir.
11. Denetim ve Raporlama Süreci
Her dijital arşiv projesi sonunda veri güvenliği denetim raporu hazırlanmalı ve hem yüklenici hem kurum temsilcisi tarafından imzalanmalıdır.
Rapor; erişim loglarını, kamera kayıtlarını, eğitim belgelerini ve KVKK Madde 12 uyumluluğunu içermelidir.
Tüm log kayıtları en az 2 yıl süreyle yasal gerekliliklere uygun şekilde saklanmalıdır.
12. Yedekleme Güvenliği Politikası
Yedekleme işlemleri sadece şifreli biçimde yapılmalı, veri yedekleri fiziksel olarak ayrı ortamlarda tutulmalıdır.
Bu ortamlara erişim çok faktörlü kimlik doğrulama (MFA) ile sınırlandırılmalı ve her yedekleme işlemi kayıt altına alınmalıdır.
Yedeklerin bütünlüğü düzenli testlerle doğrulanmalı ve erişim sadece yetkili yöneticilerle sınırlandırılmalıdır.
Sonuç: Güvenli Dijital Arşivleme, Kurumsal Güvenin Temelidir
Dijital arşivleme hizmeti, sadece belgeleri elektronik ortama aktarmak değildir; aynı zamanda kurumun bilgi bütünlüğünü, veri gizliliğini ve güvenlik standartlarını koruma sürecidir.
Doğru güvenlik politikaları, teknik altyapı, fiziksel denetim ve eğitimli personel desteğiyle bilgi sızdırma riskleri tamamen kontrol altına alınabilir.
Kurumlar bu yaklaşımı benimsediğinde, dijital arşivleme yalnızca bir operasyonel süreç değil, kurumsal güvenin teminatı haline gelir.
Dijital Arşivlemede Güvenlik ve Veri Gizliliği il İlgili Soru ve Cevaplar
Soru: Veri sızıntısı tespit edildiğinde dijital arşivleme hizmeti sağlayıcısının sorumluluğu nedir?
Cevap: Veri sızıntısı durumunda hizmet sağlayıcı, sözleşmede tanımlanan sorumluluk zinciri kapsamında hem teknik hem hukuki yükümlülük taşır. ISO 27001 sertifikalı firmalar bu tür olaylarda olay müdahale prosedürünü (Incident Response) devreye almak zorundadır. Ayrıca, kurumun Bilgi Güvenliği Yetkilisine maksimum 72 saat içinde bildirim yapılmalıdır.
Soru: Dijital arşivleme sırasında veriler bulutta tutuluyorsa, güvenlik nasıl garanti edilir?
Cevap: Bulut tabanlı sistemlerde veri şifreleme (AES-256), çok faktörlü kimlik doğrulama (MFA) ve veri merkezlerinin ISO 27017 & 27018 standartlarına uygunluğu zorunludur. Kurum, verilerin hangi ülkede saklandığını ve veri aktarım politikalarını sözleşmeyle netleştirmelidir.
Soru: Sözleşmesiz dijitalleştirme projelerinde bilgi sızarsa kim sorumlu olur?
Cevap: Sözleşmesiz yapılan işlerde veri işleme sorumluluğu belirsiz kalır. Bu durumda hem kurum hem yüklenici KVKK Madde 12 kapsamında müteselsilen sorumlu sayılabilir. Ayrıca veri sızıntısı, idari para cezası ve itibar kaybı gibi sonuçlar doğurur.
Soru: ISO 27001 belgesine sahip olmayan firmalarla çalışmak neden risklidir?
Cevap: ISO 27001 sertifikası olmayan firmalar, denetimli güvenlik süreçlerine sahip değildir. Bu da erişim kontrolleri, loglama, veri imhası gibi kritik adımların belgesiz yürütülmesi anlamına gelir. Bu tür firmalarla yapılan projelerde bilgi sızıntısı, veri kaybı veya KVKK ihlali riski ciddi şekilde artar.
Soru: Dijital arşivleme sürecinde belgelerin fiziksel güvenliği nasıl korunmalı?
Cevap: Belgeler, güvenli depo alanlarında, kartlı geçişle erişilen ortamlarda saklanmalı; sıcaklık ve nem takibi yapılmalıdır. Ayrıca güvenlik kameraları 7/24 kayıt almalı, bu kayıtlar en az 90 gün süreyle saklanmalıdır.
Soru: Bilgi güvenliği ihlali durumunda kurum hangi adımları atmalıdır?
Cevap: İhlal tespit edildiğinde;
1- Olayın kapsamı belirlenir.
2- Etkilenen veri türleri ve kişiler tespit edilir.
3- KVKK Kurumu ve ilgili kişiler bilgilendirilir.
4- Gerekirse sistem geçici olarak karantinaya alınır. Tüm adımlar Olay Kayıt Formu ile belgelenmelidir.
Soru: Sorumluluk Zinciri (Chain of Custody) neden bu kadar önemlidir?
Cevap: Çünkü bu zincir, her belgenin kimin elinde, hangi aşamada, ne kadar süre kaldığını resmi olarak kayıt altına alır. Zincirin kopması, belgelerin yetkisiz kişiler tarafından erişilebilir hale gelmesi riskini doğurur ve güvenlik denetimlerinde en kritik uygunsuzluklardan biri olarak kabul edilir.
Soru: Dijital arşivleme ortamlarında veri anonimleştirme yapılmalı mı?
Cevap: Evet, özellikle kişisel veriler içeren belgelerde anonimleştirme yapılması gerekir. Bu işlem, kişiyi doğrudan tanımlayan bilgilerin maskeleme veya silme yoluyla gizlenmesini sağlar. Böylece hem KVKK uyumu hem de veri sızıntısı riskine karşı ek koruma sağlanır.
Soru: Erişim logları ne kadar süreyle saklanmalıdır?
Cevap: Erişim logları, KVKK ve ISO 27001 gereği en az 1 yıl, kritik veriler için ise 2 ila 3 yıl süreyle saklanmalıdır. Bu loglar, olası ihlallerin geriye dönük analizinde kanıt niteliği taşır ve yetkisiz erişimleri izleme açısından hayati önem taşır.
Soru: Dijital arşivleme sürecinde hangi durumlarda dış denetim yapılmalıdır?
Cevap: Dış denetim, genellikle aşağıdaki durumlarda yapılır: Yeni bir dijitalleştirme projesi başlatıldığında, büyük ölçekli veri taşımalarında veya güvenlik ihlali şüphesi oluştuğunda. Denetim firması, log kayıtları, erişim izinleri, kamera görüntüleri ve veri imha raporlarını inceler.
Soru: Veri aktarımı sırasında belgelerin değiştirilmediği nasıl garanti edilir?
Cevap: Veri bütünlüğü, aktarımdan önce ve sonra dosyanın Hash değeri (MD5 veya SHA algoritmaları) hesaplanarak garanti edilir. Hash değerlerinin kaynak ve hedef sistemde eşleşmesi, verinin değiştirilmediği veya sızmadığına dair teknik kanıt oluşturur.
Soru: Dijital arşiv sistemi, dışarıdan siber saldırılara karşı nasıl test edilmelidir?
Cevap: Yeni kurulan veya büyük güncellemeler yapılan sistemler için mutlaka Sızma Testi (Penetrasyon Testi) yapılmalıdır. Sertifikalı bir güvenlik firması tarafından yapılan bu testler, sistemin zafiyetlerini proaktif olarak ortaya çıkarır ve sızma riskini minimize eder.
