güvenlik

  • Kurumsal Siber Güvenlik Nasıl Oluşturulur?

     

    Güvenlik tavrı, kurumun her köşesine taşınmalı; İnsan Kaynaklarından Muhasebeye veya Mühendislik birimlerine kadar her çalışanı kapsamalıdır. Ayrıca, şirket dahilindeki her türlü girişimde olduğu gibi, yönetici teşviki kritik önem taşır.

    İdari yönetim ve insan kaynakları, çalışanlar için düzenli olarak eğitim programları yürütmelidir. Çalışan eğitimine ara verilmemelidir ki siber güvenlik üzerine yaptığınız vurgu her zaman etkili ve net olarak kalsın.

    Her ne kadar siber güvenlik çoğu zaman insanları, süreçleri ve teknolojileri bir araya getirerek elde edilse de, bir adım geri atmalı ve daha temel sorularla başlanmalıdır: Fiziksel erişim konusunda ne yapmalıyız? Çalışanlarımız fiziksel erişim hakkında ne biliyor? Çalışanlarımız fiziksel erişim güvenliği hakkında ne biliyor? Sosyal mühendislik içeren saldırılara karşı nasıl yeni güvenlik katmanları oluşturabiliriz? Çalışanların yeterliliğini nasıl ölçeriz?

    TUTARLI MESAJ

    Evet, ilk olarak eğitim ve farkındalıkla başlıyoruz ama yönetici desteğiyle başlayan bir siber güvenlik ve istikrarlı eğitim programlarıyla desteklenmiş daha yerleşik bir yaklaşıma ihtiyacımız var. Tıpkı eğitiminde olduğu gibi, yazılı zorunlu kurallar idari yönetimden insan kaynaklarına, daha sonra üst yönetime, orta yönetime ve vs. herkesi kapsamalıdır. Eğer güvenlik mesajınızı iletmede kararlı olursanız, kurumun çalışma kültürüyle nasıl entegre hale geldiğini gözlerinizle göreceksiniz.

    Özellikle bir konu var; o da klavyeyi kilitlemeden yerinden ayrılanların diğer çalışanlar tarafından bu ?güvenliksiz? hareketi için uyarılması. Tıpkı üretim bandında yanlış yapan bir çalışanın uyarılmasında olduğu gibi. Ya da, tesise kendi giriş kartıyla başkalarını sokanların engellenmesi ve herkesin kendi güvenlik kartını kullanması gibi.

    Bir güvenlik kültürü oluşturmak, sadece eğitim ve öğretimle ulaşılabilecek bir hedef değildir. Aynı zamanda günlük antrenmanlar da düzenlenmelidir. Kritik altyapı, üretim, taşıma, uzak iletişim, finans, hastaneler, sağlık hizmetleri ve enerji kaynakları gibi bazı sanayilerde güvelik harika olmasa da iyi düzeydedir ve giderek de iyileşmektedir. Fakat küçük ve orta boy işletmelerde atılması gereken daha çok adım var.

    Bir keresinde tanıdığımız bir arkadaşımız, çalıştığı şirketin veri tabanıyla alakalı olarak bir fidye yazılımı saldırısına uğradı. Probleme çözümsel açıdan baktığımızda, veriyi geri yüklemenin boşa harcanacak bir çaba olacağını anlamamız uzun sürmedi. Çünkü fidye yazılımı aynı zamanda ana veri tabanını da etkilemekle kalmamış; yedekleme veri tabanlarını, operasyonları, finansı, muhasebeyi ve insan kaynaklarını da rehin almıştı. Herkesin aklının köşesinde bir yerde güvenlik algısını tuttuğu bir çalışma ortamı yaratılmamıştı. Gerisi ise çorap söküğü gibi geldi ve şirketi tam bir siber güvenlik kabusuyla yüz yüze bıraktı.

    SİBER GÜVENLİK KÜLTÜRÜNÜN TEMEL UNSURLARI

    Güçlü bir siber güvenlik kültürü oluşturmak insanlarla başlar ve tutarlı ölçüde gayret ve zaman ister. Aşağıda sağlıklı bir siber güvenlik kültürünün gerektirdiği başlıca unsurları bulacaksınız:

    1. İdari destek ? Bunun anlamı gerçek bir destek, sadece destekten bahsetmek değil. Yani şirket liderleri; bütçe ayırma, belli başlı kurumsal roller oluşturma, herkese açık destek iletişimi kurma ve hedeflere ulaşmayla gerçekten siber güvenlik için etkin bir seviyede olmalıdırlar.

    2. Kurallar ve prosedürler ? Bu genelde insan kaynaklarıyla ilgilidir ve bu alandaki iyi şirketler, siber güvenlik üzerine çalışanları için net kurallar ve alışkanlıklar yürütürler. Yani, fiziki güvenlikten USB çubuklarının kullanımına kadar her şeyin ?Yapılacakları ve Yapılmayacakları? çıkarılır.

    3. Eğitim ? Bir kurallar kılavuzu hazırlayıp duvardaki rafa tozlanmaya bırakmak yermez; şirketler bünyelerine çalışan eğitimi ve farkındalık programları eklemelidir. Bunlar içinde video gösterimleri, sınıf eğitimleri, Web tabanlı veya diğer eğitimler de olabilir. Burada önemli olan şey, vazifenin işlevine göre uygun eğitimler verilmeli ve bu eğitimler en az yılda bir kere yenilenmelidir. Ayrıca çalışan katılımı gözlenerek, içeriğin çalışanlara ulaştığından emin olunmalıdır.

    4. Sınama ? Çalışan özverisini ölçtüğünüz sınavlar ve testler ciddi bir siber güvenlik kültürü yaratılabilir. Bu testler içinde ?phishing? egzersizleri ve diğer dahili sınavlar yer alabilir. Mesajı almada çalışan özverisini takip ederek eğitimi ve katılımı gözlemleyebilirsiniz. Ödüller, cezalar ve diğer bilgilendirmelerle çalışanları angaje edebilir ve hatta bunu eğlenceli bir şekilde bile başarabilirsiniz.

    5. İletişim ? Siber güvenlik sürekli biçimce şirketin konu başlıklarında biri olarak kalmalıdır. Dahili duyurular, posterler, hikayeler ve diğer bilgilendirmeler, sağlıklı bir kültürün yeşermesinde yardımcı olacaktır.

    Siber güvenlik cephesinin ilk ve en önemli unsuru insanlardır. Bu konuda herkesi ortak bir paydada toplamak ve rollerini anlamalarına yardım etmekle risk düzeyini düşürecek ve şirketin büyümesine ve güçlenmesine katkı sağlayacak yeni fikirlerin özgürce gelişmesine yardımcı olacaksınız.

  • KVKK Danışmanlığı ,Kişisel Verilerin Korunması Kanunu Kişisel Veri Nedir?

    Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri sayılmaktadır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.

    (Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu)

    KVKK Yerel Bir Mevzuat mıdır?

    Çok özgün sayılmayan 6698 sayılı bu kanunumuzun ilham kaynağı olan EU GDPR (Avrupa Genel Veri Koruma Yönergesi) da tıpkı 6698 sayılı KVKK gibi 2018 yılı baharına kadar hazırlıkları tamamlamış olma konusunda veri toplayan kurumlara gün vermiş durumdadır. 6698 sayılı KVKK, Avrupa’daki muadili GDPR ile birlikte veri sorumlusu olarak adlandırılan kurumları epeyce etkileyecek ve iş yapma pratiklerini epey dönüşüme uğratacak bir öneme sahiptir.

    KVKK’nın Getirdiği Düzenlemeler

    6698 sayılı Kişisel Verilerin Korunması Kanunu, sahibinin izni olmadan kişisel verilerin işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirilmektedir.

    İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.

    Bu düzenlemeyi yürütmek üzere oluşturulan Kişisel Verileri Koruma Kurulu verileri toplayan/işleyen kurumları 6698 sayılı KVK kanunu ile kayıt altına alıp regüle edecek. Bilgilerini alıp işleyen/işleten kurumlar ile problem yaşayan veri sahipleri bu resmi kuruma başvurup şikâyette bulunabilecek. Bu kurul, yukarıda bir kısmı belirtilen kuralları uygulamayan kurumlara altı sıfırlı rakamlarla para cezası vermek ve hatta bazı durumlarda kusur, ihmal ve kötü niyet sahibi yetkililere hapis cezasının yolunu açmak gibi yaptırımları uygulama yetkisi olan bir kurum olarak tanımlanmaktadır.

    KVKK’ya neden ihtiyaç duyulmuştur.

    KVKK Hangi Kurumları İlgilendiriyor?

    Gerçek bir kişi ile bağlantısı kurulabilecek yukarıda tanımı verilmiş kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir.

    Kanuna Uyum için Yapılması Gerekenler

    Yapılacak çalışmalar şöyle listelenebilir:

    – Tüm bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi güvenlik işlevlerini sağlamak, yani Bilgi Güvenliği Yönetim Sistemi (BGYS) standartlarına göre çalışmak
    – Müşterilerden alınan/alınacak veri türlerini belirlemek üzere stratejiler oluşturmak
    – Bir veri envanteri oluşturmak

    – Geçmişe dönük olmak üzere- ağ sistemlerindeki yapılandırılmış / yapılandırılmamış TÜM verileri tespit etmek
    – Kayıt altına alınmış kişisel verileri niteliklerine göre sınıflandırmak
    – Geçmişe dönük olmak üzere- verisi saklanmak istenen TÜM müşterilere ulaşmak ve kurumun niyetleri konusunda müşterileri bilgilendirmek
    – Veri işleme amaçları konusunda bilgilendirilen çalışanlar ve müşterilerin rızasını makul yöntemlerle almak
    – Yukarıdakilerin tamamını sürdürülebilir şekilde uygulamak için teknolojiler, politikalar ve sistemler geliştirmek
    – Belli dönemlerde değerlendirme, gözden geçirme ve iç denetim faaliyetleri gerçekleştirmek
    – Belli aralıklarla sistemlerin güvenliğini ve verilerin korunmasını sağlamak adına Penetrasyon/Sızma Testi gibi etkili çalışmalar yapmak
    – İç denetimler, Penetrasyon Testi vb. uygulamalar sonrasında elde edilecek sonuçlar ile kurum yönetim sistemine sürdürülebilirliği sağlayıcı katkılar yapmak

  • Vergi Usul Kanunu Tebliğlerine göre e-Fatura, e-Defter ve e-Arşiv tanımları nedir?

               Vergi Usul Kanunu Tebliğlerine göre e-Fatura, e-Defter ve e-Arşiv tanımları aşağıdaki gibidir

    • E-fatura, 397 sıra lu VUK Genel Tebliğinde yer alan şartlara uygun olan ve elektronik belge biçiminde oluşturulmuş fatura olarak tanımlanmaktadır. E-Fatura, yeni bir belge türü olmayıp, kağıt fatura ile aynı hukuki niteliklere sahiptir.
    • Elektronik arşiv ise 433 No.lu VUK Genel Tebliğinde yer alan şartlara uygun şekilde

    elektronik ortamda oluşturulan faturanın elektronik ortamda muhafaza ve ibraz edilmesi anlamına gelmektedir E-Fatura, e-fatura sistemine kayıtlı olan mükelleflere düzenlenirken, e-arşiv olarak düzenlenen fatura e-Fatura Uygulamasına kayıtlı olmayan vergi mükelleflerine ve vergi mükellefi olmayanlarla ilgilidir.

    • e-Defter ise Vergi Usul Kanunu ve Türk Ticaret Kanunu hükümleri gereğince tutulması zorunlu olan defterlerin ilgili idareler tarafından belirlenen format ve standartlara uygun biçimde elektronik dosya biçiminde hazırlanması, bastırılmaksızın kaydedilmesi, değişmezliğinin, bütünlüğünün ve kaynağının doğruluğunun garanti altına alınması ve ilgililer nezdinde ispat aracı olarak kullanılabilmesine imkan tanımayı hedefleyen hukuki ve teknik düzenlemeler bütünü olarak tanımlanmaktadır.

    Bugüne kadar Vergi Usul Kanunu Genel Tebliğleri ile yapılan düzenlemelerle aşağıdaki mükelleflere e-defter ve e-fatura uygulaması zorunluluğu getirilmiştir.

    • Petrol Piyasası Kanunu kapsamında madeni yağ lisansına sahip olanlar,
    • Petrol Piyasası Kanunu kapsamında madeni yağ lisansına sahip olanlardan 2011 takvim yılında mal alan mükelleflerden 31/12/2011 tarihi itibariyle asgari 25 Milyon TL brüt satış hasılatına sahip olanlar,
    • Özel Tüketim Vergisi Kanununa ekli (III) sayılı listedeki malları imal, inşa veya ithal

    edenler,

    • Özel Tüketim Vergisi Kanununa ekli (III) sayılı listedeki malları imal, inşa veya ithal edenlerden 2011 takvim yılında mal alan mükelleflerden 31/12/2011 tarihi itibariyle asgari 10 Milyon TL brüt satış hasılatına sahip olanlar,
    • Elektronik fatura ve elektronik defter uygulamasına geçme zorunluluğu getirilen mükellefler; tam bölünme, birleşme (devralma şeklinde birleşme ve yeni kuruluş şeklinde birleşme) veya tür (nev?i) değişikliğine gitmeleri halinde devrolunan veya birleşilen tüzel kişi mükellefler ile tam bölünme veya tür (nev?i) değişikliği sonucunda ortaya çıkan yeni tüzel kişi mükellefler,
    • 2014 veya müteakip hesap dönemleri brüt satış hasılatı 10 Milyon TL ve üzeri olan mükellefler,
    • Özel Tüketim Vergisi Kanununa ekli I sayılı listedeki malların imali, ithali, teslimi vb. faaliyetleri nedeniyle Enerji Piyasası Düzenleme Kurumu (EPDK)’ndan lisans alan mükellefler (Bayilik lisansı olanlar, münhasıran bu lisansa sahip olmaları nedeniyle bu kapsamda değerlendirilmez).

            Hazine ve Maliye Bakanlığı, e-defter, e-arşiv ve e-fatura uygulamasına dahil olan mükellef sayılarını artırmayı hedeflemektedir. Bu kapsamda halen Gelir İdaresi Başkanlığı internet sayfasında1                   yayınlamakta olduğu Vergi Usul Kanunu Tebliği taslaklarında e-defter, e-fatura ve e-arşiv uygulamasının yaygınlaştırılmasına ilişkin düzenlemelere yer vermektedir.

    Halen yürürlükte olan Vergi Usul Kanunu Tebliğleri ile taslak düzenlemelere göre, bu uygulamaların yaygınlaştırılmasının genel çerçevesi aşağıdaki gibidir.