Demo İste
Next4biz Hukuk
Güvenlik
Veri Gizliliği ve Bağımsız Denetimler

Veri Gizliliği

Neden veri, neden bilgi değil de veri, önce bundan başlamak gerekiyor. Veri, bilginin yapı taşı olarak düşünülürse, bu seviyede kurgulanmayan koruma önlemlerinin, bilgi seviyesinde yetersiz kalacağı açıktır. Katmanları doğru ayrıştırmak, her katmanın güvenlik gereksinimleri doğru anlamak ve bunları doğru kontrol etmek son derece önemlidir. Bu katmanlar, uygulama, veri tabanı, sistem, ağ veya sizin kurumunuzun topolojisine özgü kurgulanabilir. Geliştirme ortamları, alt ağ kümeleri ve buna benzer birçok mantıksal ayrımı yapabilirsiniz.

Kontrol süreçlerindeki olgunluk seviyesi son derece önemlidir. Belki de hizmet kalitesini, güvenliğini ayrıştıran farkı belirleyen en önemli katman da budur.

Kontrol süreçlerini aşağıdaki şekilde sınıflandırabiliriz;

  • İç kontrol ve testler,
  • Dış kontroller ve testler,
  • Standartlar,
  • Yönetişim sistemleri, yaşam döngüleri, kontrol noktaları.

Gerçekçi bir bakış açısıyla tasarlayacağınız bilgi güvenliği yaşam döngüsü içinde kurumunuza özgü denetim noktalarını da kurgulamalısınız. Peki, bu kontroller çalışıyor mu? Bunu izleyen yapılar var mı? Kuvvetler ayrılığı ilkesine uygun şekilde bu kontroller değerlendiriliyor mu?

Bu sorulara gönül rahatlığıyla “evet” diyorsanız, birkaç sorumuz daha var…

Yaşam döngüleri, tanımlı bir disipliner yapıya (Örnek: ISO 27701) uygun mu? Bu standartların gereği olan tanımlar, talimatlar ve politikalar tanımlı mı?

Buraya kadar da cevap “evet” ise, iyi bir noktaya geldik demektir

Şimdi sıra, dışarıdan bir uzman gözün tanımlı politika ve uygulamalarınızı incelemesi ve doğrulamasında diyebiliriz.

Bağımsız Denetim ve Gözden Geçirmeler

Bağımsız gözden geçirme kavramı, kuvvetler ayrılığı ilkesinin kurumsal düzeyde yapılandırılmasıdır. Bir dış denetimin sağlıklı ve verimli olması için aşağıdaki adımları kapsaması gerekmektedir.

  • Denetim kapsamı,
  • Denetim yetkinliği,
  • Bulgu yönetimi,
  • Bulgu giderimi,
  • Doğrulama.

Regülasyonlar, kurum hizmetleri kapsamında tabi olunan kanunlar ve sözleşmeler denetim kapsamının özü olacaktır. PCI, OWASP10 vb bilinen disiplinlerden, kod güvenliğine, sistem altyapı güvenliğinden, uygulama güvenliğine, IDOR testlerinden, penetrasyon testlerine kadar birçok şekilde bu denetimler gerçekleştirilebilir.

Next4biz ve Bağımsız Denetim Çalışmaları

Hizmet kalitesini ve güvenliğini ayrıştıran en önemli farkın kontrol seviyelerindeki olgunluk olduğunu dile getirmiştik, bu olgunluk seviyesini yükselten en önemli etken ise bağımsız denetim ve gözden geçirme çalışmalarıdır.

Next4biz Bilgi Teknolojileri olarak, uyguladığımız bilgi güvenliği yönetim sistemi çerçevesinde iç denetimlerimizi periyodik olarak gerçekleştirmenin yanı sıra konusunda uzman bilgi güvenliği denetim firmaları ile çalışıyoruz.

Her katmanımızın test metodolojilerini,

  • Her ortamın IDOR bakış açısını,
  • Her ortamın mimarisini,
  • Her platformumuzun güvenliğini,
  • Sistem/Ağ altyapısını
  • Denetim kapsamını

çok iyi belirledikten sonra her katmanımızın testini yapıyor, bulgularımızı yönetiyor ve yine bağımsız bir bakış açısıyla validasyonlarını başarı ile gerçekleştirip, güvenliği bütünleşik anlamda, kalitenin en önemli bileşeni olarak görüyoruz.

Geliştirdiğimiz yazılımlar üzerinde sızma testleri, statik kod analizleri, mantıksal testleri periyodik olarak yaptırıyoruz.

Gizli bilgi yönetim sistemi (PIMS) oluşturma, uygulama ve sürekli iyileştirme çalışmalarımızı bağımsız denetimler ile ISO 27701 sertifikamızı alarak sürdürüyoruz. Benzer şekilde sahip olduğumuz ISO 27001 kalite güvence belgemizle ve bağımsız olarak akredite edilmiş diğer sertifikalarımızla, müşterilerimize bilgi güvenliği alanında da yüksek kalite hizmetler sunuyoruz.

Sitemizdeki deneyiminizi iyileştirmek ve hizmetlerimizi daha iyi hale getirmek için yasal düzenlemelere uygun çerezler (cookies) kullanıyoruz. Çerez tercihlerinizi düzenlemek için ayarlara gidebilir veya çerez politikamız hakkında detaylı bilgi alabilirsiniz.

Zorunlu Çerezler

Her zaman etkin
Zorunlu çerezler, web sitesine ilişkin temel işlevleri etkinleştirerek web sitesinin kullanılabilir hale gelmesini sağlayan çerezlerdir. Web sitesi bu çerezler olmadan düzgün çalışmaz.
Çerez Politikamız Gizlilik Politikamız

Performans Çerezleri

Her zaman etkin
Performans çerezleri, ziyaretçilerin web sitesine ilişkin kullanım bilgilerini ve tercihlerini anonim olarak toplayan ve bu sayede web sitesinin performansının geliştirilmesine olanak sağlayan çerezlerdir.
Çerez Politikamız Gizlilik Politikamız

Fonksiyonel Çerezler

Fonksiyonel çerezler, kullanıcıların web sitesine ilişkin geçmiş kullanımlarından yola çıkılarak gelecekteki ziyaretlerinde tanınmalarını ve hatırlanmalarını sağlayan ve bu sayede web sitelerinin kullanıcılara dil, bölge vb. gibi kişiselleştirilmiş bir hizmet sunmasına olanak tanıyan çerezlerdir.
Çerez Politikamız Gizlilik Politikamız

Reklam Çerezleri

Reklam çerezleri, üçüncü taraflara ait çerezlerdir ve web sitelerinde ziyaretçilerin davranışlarını izlemek için kullanılırlar. Bu çerezlerin amaçları, ziyaretçilerin ihtiyaçlarına yönelik ilgilerini çekecek reklamların gösterilmesidir.
Çerez Politikamız Gizlilik Politikamız