Etki alanı denetleyicileri şirketimiz için bir kütüphane ve bu kütüphane içinde en temelde kullanıcı oturum açma bilgileri bulunmakta.
Bazı kuruluşlarda bu bilgilere ek olarak kullanıcı Kullanıcı Adı, soyadı, TC kimlik bilgileri, karakter içeren biometric veri ve çok daha fazlası saklanmakta. Bu veriler, sahip olduğumuz büyük veri arasına saklanmış küçük veriler ve Kişisel verileri koruma kanunu kapsamında gözden kaçırılmayacak kadar önemli veridir.
Sizlere çok eski bir makale paylaşıyorum ve durumu örnekliyorum.
Çözüm park portalı üzerinde 2008 senesinde yayınlanan ve benim de hocam olan Fikri Bülent’ in kaleme aldığı bir makale. Bu makale de etki alanı üzerinde yapılan teknik bir işlemden bahsedilmekte ve etki alanı üzerinde düzenleme ve genişleme yapılmakta.
Yapılan çalışma da etki alanı kütüphanesinin artık öznitelikli verileri de tutması istenildi. Makaleyi incelediğiniz zaman bu öznitelikli veriler arasında kan grubu, tckimlik no gibi küçük ama değerli veriler bulunmakta.
O zamanlar, Kişisel verileri korumak bu kadar önem teşkil etmediği için belkide bir çok kuruluş bu teknik işlemi yaptı ve ciddi bir kütüphaneye sahip oldu.
Bu gün, bu verileri korumaktan sorumluyuz…
Bu makalede anlatıldığı gibi bir kaç öznitelik eklediysek bunları imha etmemiz çok kolay. Bunlar için yazacak olduğumuz küçük powershell araçları ile imha edebilir ve bu verilerden kurtulabiliriz.
Bunlar için yazılmış ücretsiz araçlar bulunmakta ve Etki Alanı Güvenlik Sıkılaştırma (Active Directory Security Hardenning) çalışmalarında ve KVKK Teknik uygulama çalışmaların da bu verileri imha etmekteyiz.
İmha etmeden önce KVKK kapsamında süreci nasıl yürütmeliyiz, adım-adım bunları konuşalım.
Öncelikle İdari uyum süreçleri bu veriler için tekrar edilmeli ve bu verilere ihtiyacımız olup olmadığına karar vermeliyiz. İdari uyum tarafında karar verildi ve bu verilere ihtiyacımız bulunmakta. Yasa bu verileri barındırmayacaksın demiyor, yasa bu verileri barındırıyorsan eğer korumalısın diyor. İdari uygulama tarafında kullanıcılardan gerekli izinler alınması teknik olmayan idari uygulama kısımları ve bu çalışmamızın da konusu değil.
Karar, bu verileri barındırmamız yönünde oluştuğu için işlem sırası teknik uyum kapsamında incelenmeli ve veriyi nerede saklamalıyız buna karar vermeliyiz. Bu öznitelikli veriler etki alanı kütüphanesinde mi kalacak yoksa insan kaynakları, muhasebe sunucularına yada veri ambarı sunucularına mı taşınacak, nerede saklanacak, nasıl korunacak ve nasıl imha edilecek gibi bir çok teknik uyum sorusu bulunmakta.
Bu Sorulara cevap verildikten sonra kararı eyleme geçirecek olduğumuz bölüm Teknik Uygulama bölümü.
Etki alanı kütüphanesinde tumaya karar verdik ve merkezi kimlik denetimi devam edecek. Bu karar sonrası etki alanı üzerinde güvenlik sıkılaştırma işlemlerini yapmalıyız. Yetki çizelgesinin oluşturulması ve erişimlerin kayıt altına alınması zaten en başta istenilen güvenlik tedbiri fakat bu veriler öznitelikli veri olduğu için kütüphane biraz daha hassas durumda. İçinde bulunan binlerce kayda göre daha fazla korunması ve özel kuralların yazılması da gerekmekte.
Teknik uyyum kapsamında başka bir karar da verebiliriz. Verinin taşınması ve veri özelinde delegasyon yapılmasına da karar verebiliriz. Bu hasssas verileri, Uygulama sunucularına, CRM yazılımına, muhasebe yazılımına yada insan kaynakları sunucularına aktarabiliriz.
Bu veri için yapmış olduğumuz işlemlerin özeti idari uyum kapsamında kararın verilmesi ve idari uygulama adımlarının yapılması. Sonra, Teknik Uyum kapsamına geçiş yapılmalı ve Teknik uygulama kapsamında Veriyi maskeleme, anonim hale dönüştürme, imha etme, erişimleri denetleme ve güvenlik sıkılaştırma işlemlerini yapmalıyız.. Eğer veriyi başka bir sunucuya taşıdıysak güvenlik sıkılaştırma çalışmalarını taşımış olduğumuz sunucular (SQL Server Security Hardenning) için de yapmalıyız.
Bu sunucular genellikle SQL sunucusu gibi veri ambarı sıfatına sahip sunucular ve SQL sorgularında, raporlama sunucusunda, veri tabanların da güvenlik sıkılaştırma işlemleri de yapılması gerekmekte.
Kullanmış olduğunuz yazılımlar, Nebim gibi üçüncü firmaların yazılımıysa bu firmalar da kendi yazılımları üzerinde verileri maskelemekte ve son kullanıcılara bu hassas verileri göstermemekte.
