Siber Güvenlik Hizmetleri
We keep all kinds of information, transactions and communications we use in our companies on computers and the internet. Cyber security measures are necessary to protect our assets in the digital environment from threats. Additionally, due to regulatory law and other legislation, there are a number of actions that must be taken before being attacked. As Systematic Fikirler, its expert staff continues to work to carry out the necessary actions required by the legislation and to prevent companies from losing information, effort, time and money.
Services Offered by Systematic Ideas
- Eğitim
- Sızma Testleri
- Kablosuz Ağ Güvenliği
- DDOS Testleri
- EndPoint İzleme
- iPv6 Yapılandırması
- SIEM
- VERBIS Kaydı
- IYS Kaydı
- KVKK/GDPR Uyum Süreçleri
KVKK Uyum Süreci
Sistematik Fikirler olarak KVKK uyum süreçlerinin tamamını 3 aşamada tamamlamaktayız.
- Hukuki Danışmanlık
- Süreç Danışmanlığı
- Teknik Danışmanlık
Verileri Saklama Zorunluluğu
Firmalar benimsemiş olduğu vizyon, misyon ve temel değerleri gereğince, idari süreçlerini ve iş süreçlerini bağlı olduğu mevzuatlar doğrultusunda yürütmek, hizmet verdiği kişilere en iyi deneyimi sağlamak için teknolojik kaynak ve altyapıları da kullanarak “veri minimizasyonu” prensibi çerçevesinde kişisel ve özel nitelikli kişisel verileri işler. Verilerin işlenmesinde kanunun 4. maddesinde belirtilen ilkeler ve 12. maddesi gereği alınması gereken tedbirler göz önünde bulundurularak işlem yapılır. Kayıt saklama ortamları: elektronik veriler için bilişim sistemi sunucuları, uygulamaları, kurumsal bilgisayarı ve depolama ortamlarıdır.
Saklamayı gerektiren hukuki sebepler aşağıdaki gibidir:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 4734 sayılı Kamu İhale Kanunu,
- 657 sayılı Devlet Memurları Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 5018 sayılı Kamu Mali Yönetimi Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- 5434 sayılı Emekli Sağlığı Kanunu,
- 2828 sayılı Sosyal Hizmetler Kanunu
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Arşiv Hizmetleri Hakkında Yönetmelik,
- Yükseköğretim Üst Kuruluşları ve Yükseköğretim Kurumları Saklama Süreli Standart Dosya Planı
Faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklarlar:
- İnsan kaynakları süreçlerini yürütmek.
- Kurumsal iletişimi sağlamak.
- Kurum güvenliğini sağlamak,
- İstatistiksel çalışmalar
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
- Yasal raporlamalar
- Çağrı merkezi süreçlerini yönetmek.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
Veri Sorumlularının (Tüzel ve Gerçek Kişiler) Yükümlülükleri
Aydınlatma Yükümlülüğü:
Kanun’un 10. maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişiler, ilgili kişileri açık bir şekilde bilgilendirilmekle yükümlüdür.
Veri Güvenliğini Sağlama Yükümlülüğü:
Veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesi ile erişimini önlemek ve kişisel verileri muhafaza etmekle yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Aynı zorunluluk veri işleyen için de geçerlidir.
VERBİS’e Kayıt Yükümlülüğü:
Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolmak zorundadır. VERBİS’e kayıt yükümlülüğü olan sorumluların, kayda esas tutulacak bir “Envanter” ve “Veri İmha Politikası” hazırlamaları zorunludur.
İlgili Kişilerin Başvurularını Cevaplama Yükümlülüğü:
Veri sorumluları, ilgili kişiler tarafından kendilerine iletilen Kanun’un uygulanmasıyla ilgili talepleri, niteliklerine göre, en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki (Veri Sorumlusuna Başvuru Usul ve Esasları Hk. Tebliğ madde 7) ücretleri başvuruda bulunan ilgili kişiden isteyebilir. Başvuru gerekçesiz reddedilemez. Kabul edilen başvuru konusu işlem, derhal yerine getirilir.
Kurul Kararlarını Yerine Getirme Yükümlülüğü:
Veri sorumluları, Kişisel Verileri Koruma Kurulu’nca yapılan incelemeler sonucu verilen kararları gecikmeksizin ve en geç otuz gün içinde yerine getirir.
Cezai Yaptırımlar
Yasada yer alan ceza miktarları her yıl yeniden değerleme oranı nispetinde güncellenerek uygulanmaktadır. Ceza miktarları dikkate alındığında veri sorumlularının ivedilikle uyum sürecini geçirerek VERBİS siciline kayıt olması gerekmektedir.
Kurul 27.12.2019 tarihinde yayımladığı kararı ile VERBİS kayıt sürelerinin uzatılmasına karar vermiştit. Karar gerekçesinde ise sicile yapılan bildirimlerde aykırılıklar ve çelişkiler olduğu bildirilmiştir. Gerçekten de sicil kayıtları incelendiğinde özellikle saklama süreleri konusunda veri sorumlularının yanılgıya düştüğü açıkça görülmektedir.
Kurul kararları ve kılavuzlardan yararlanılarak gerek açık rıza metinleri gerekse de aydınlatma metinleri tanzim edilmeli ve ilgililer bu metinler uyarınca aydınlatılmalı ve onamları alınmalıdır.
Ceza miktarları ve olası cezaya karşı uygulanacak itiraz merciin bu alanda yetersiz olduğu dikkate alınarak yasa uyumunun bir an evvel gerçekleştirilmesi veri sorumlularını bu ağır ceza yükünden kurtaracaktır.
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. 6698 sayılı Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
6698 Sayılı Kişisel Verilerin Korunması Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.013 Türk lirasından 180.264 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.636 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.066 Türk lirasından 1.802.636 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.053 Türk lirasından 1.802.636 Türk lirasına kadar,
idari para cezası verilir.
Penetrasyon Testi
Firmaların bilişim sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin (hacker) saldırmasını öngören yöntemler kullanılarak yapılan siber saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanması işlemidir.
İşlemler sırasında sızma testi uzmanlarımız, tıpkı bir hacker gibi hareket eder ve çeşitli sistemlerin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Bu güvenlik testlerinde, çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.
Kısaca pentest de denilmektedir.
Phishing (Oltalama) Testi
Sosyal Mühendislik (Social Engineering), internet korsanlarının hedeflerinde yer alan kişiyi aldatarak, istediği bilgileri ele geçirmesini sağlayan bir saldırı tekniğidir. Sistem bir kişi tarafından hazırlanır ve bu sisteme giriş yapabilme yetkisi sadece belli kişilere verilir. Bu nedenle aşılması en imkansız olan sistemler (bankalar gibi) bile gerekli materyaller sağlandığında kolaylıkla geçilebilir hale gelir. Sosyal mühendislik tekniği bu giriş yapma yetkisi olan kişilere yönlendirildiğinde yalnızca dakikalar içerisinde kötü niyetli kişiler istenilen verilerle doğru şifreye ulaşılabilir veya doğrudan bir şifreye ulaşılabilir.
Beyaz Kutu Penetrasyon Testi
Sızma testi uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar simüle ve raporlanır.
Siyah Kutu Penetrasyon Testi
Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece hedef sistemler belirtilir. Bilgi sızdırmak ya da çeşitli zararlar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak, sistemlere verilebilecek zararlar simüle edilir ve raporlanır.
Gri Kutu Penetrasyon Testi
White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Grey Box’ta ek olarak düşük yetkilerle sisteme sızma denetimleri gerçekleştirilir.
Doğrulama Testi Nedir?
Güvenlik testi bitiminde verilen rapordaki açıklıklar kapatıldıktan sonra varolan açıklıkların test edilmesidir.
İstemci Nedir?
Bir ağ üzerinde, sunucu bilgisayarlardan hizmet alan kullanıcı bilgisayarlarıdır.
SSID Nedir?
Kablosuz ağ bağlantılarının kimliği olarak tanımlanan Wifi ağ adına verilen isimdir. SSID açılımı “Service Set Identifier”, yani Servis Seti Tanımlayıcısı‘dır. Wifi ağlarına bağlanmak için önce ağı seçmemiz gerekir. Birçok Wifi ağı olan bir noktada farklı isimlerde ağlar sıralanacaktır. Hangi ağa bağlanacağımızı da bu isimler, yani SSID’ler ile bilebiliriz. Bu ağların isimlerinin her biri bir SSID’dir ve o ağın kimliğini bize belirtmektedir.
İnternet’e bağlanan her cihaza, İnternet Servis Sağlayıcısı tarafından bir IP adresi atanır ve internetteki diğer cihazlar bu cihazlara verilen IP adresleri ile ulaşırlar. IP adresine sahip iki farklı cihaz aynı ağda olmasa dahi, yönlendiriciler (router) vasıtası ile birbirleri ile iletişim kurabilirler. Örneğin: 192.168.10.5
Alan Adı Nedir?
Bir web sitesinin internetteki adı ve adresidir. Bu adres olmadan bir İnternet kullanıcısı web sitesine sadece IP adresiyle ulaşabilir. Örneğin bizim şirketimizin sitesinin alan adı www.sistematikfikirler.com ‘dur. Alan adları IP adresi denilen, bilgisayarların (sunucuların/serverların) birbirini tanımasını sağlayan numara sisteminin daha basitleştirilmiş ve akılda kalması için kelimelerle ifade edilmiş halidir.
Penetrasyon Testini Kimler Yapabilir?
Penetrasyon testinde çok farklı yöntemler ve değişkenler söz konusu olduğundan alanında uzman kişilerce ve penetrasyon testi yapan firmalar tarafından gerçekleştirilmesi gerekmektedir. Aksi taktirde bilinçsizce yapılan penetrasyon testleri sırasında yerel ağlarda tıkanıklık, doğrudan kesinti veya veri kaybı gibi problemlerle karşılaşılabilmektedir. Böyle bir durum, hem müşteriyi hem de testi yapan firmayı/kişiyi ciddi riske atmaktadır.
Penetrasyon Testi Fiyatları ve Ücreti
Penetrasyon testinin belirli bir fiyatı veya fiyat aralığı yoktur. Test ettirmek istenen sistemler göz önünde bulundurularak bir kapsam oluşturulur ve buna göre çalışma eforu belirlenerek fiyatlamalar yapılmaktadır. Penetrasyon testi fiyat teklifi almak için aşağıdaki kapsam belirleme formunu doldurabilirsiniz.