Siber Güvenlik Hizmetleri

Siber Güvenlik Önlemlerine Neden İhtiyaç Var?

Firmalarımızda kullandığımız her türlü bilgi, işlem ve haberleşmeyi bilgisayar ve internet ortamında bulunduruyoruz. Dijital ortamdaki bu varlıklarımızı tehditlerden koruyabilmek için siber güvenlik önlemleri gereklidir. Ayrıca düzenleyici kanun ve diğer mevzuat gereği saldırıya maruz kalmadan önce yerine getirilmesi gereken eylemler dizisi mevcut. Sistematik Fikirler olarak hem mevzuatın mecbur ettiği hem de firmaların bilgi, emek, zaman ve para kaybının önüne geçmek için gerekli işlemleri yapacak uzman kadrosu çalışmalarını sürdürmektedir.

Sistematik Fikirlerin Sunduğu Hizmetler

  • Sızma Testleri
  • Kablosuz Ağ Güvenliği
  • DDOS Testleri
  • EndPoint İzleme
  • iPv6 Yapılandırması
  • SIEM
  • VERBIS Kaydı
  • IYS Kaydı
  • KVKK/GDPR Uyum Süreçleri

Verileri Saklama Zorunluluğu

Firmalar benimsemiş olduğu vizyon, misyon ve temel değerleri gereğince, idari süreçlerini ve iş süreçlerini bağlı olduğu mevzuatlar doğrultusunda yürütmek, hizmet verdiği kişilere en iyi deneyimi sağlamak için teknolojik kaynak ve altyapıları da kullanarak “veri minimizasyonu” prensibi çerçevesinde kişisel ve özel nitelikli kişisel verileri işler. Verilerin işlenmesinde kanunun 4. maddesinde belirtilen ilkeler ve 12. maddesi gereği alınması gereken tedbirler göz önünde bulundurularak işlem yapılır. Kayıt saklama ortamları: elektronik veriler için bilişim sistemi sunucuları, uygulamaları, kurumsal bilgisayarı ve depolama ortamlarıdır.

Saklamayı gerektiren hukuki sebepler aşağıdaki gibidir:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 657 sayılı Devlet Memurları Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 5018 sayılı Kamu Mali Yönetimi Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Arşiv Hizmetleri Hakkında Yönetmelik,
  • Yükseköğretim Üst Kuruluşları ve Yükseköğretim Kurumları Saklama Süreli Standart Dosya Planı

Faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklarlar:

  • İnsan kaynakları süreçlerini yürütmek.
  • Kurumsal iletişimi sağlamak.
  • Kurum güvenliğini sağlamak,
  • İstatistiksel çalışmalar
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
  • Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
  • Yasal raporlamalar
  • Çağrı merkezi süreçlerini yönetmek.
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

Veri Sorumlularının (Tüzel ve Gerçek Kişiler) Yükümlülükleri

Aydınlatma Yükümlülüğü:

Kanun’un 10. maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişiler, ilgili kişileri açık bir şekilde bilgilendirilmekle yükümlüdür.

Veri Güvenliğini Sağlama Yükümlülüğü:

Veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesi ile erişimini önlemek ve kişisel verileri muhafaza etmekle yükümlüdür. Veri sorumlusu bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Aynı zorunluluk veri işleyen için de geçerlidir.

VERBİS’e Kayıt Yükümlülüğü:

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolmak zorundadır. VERBİS’e kayıt yükümlülüğü olan sorumluların, kayda esas tutulacak bir “Envanter” ve “Veri İmha Politikası” hazırlamaları zorunludur.

İlgili Kişilerin Başvurularını Cevaplama Yükümlülüğü:

Veri sorumluları, ilgili kişiler tarafından kendilerine iletilen Kanun’un uygulanmasıyla ilgili talepleri, niteliklerine göre, en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki (Veri Sorumlusuna Başvuru Usul ve Esasları Hk. Tebliğ madde 7) ücretleri başvuruda bulunan ilgili kişiden isteyebilir. Başvuru gerekçesiz reddedilemez. Kabul edilen başvuru konusu işlem, derhal yerine getirilir.

Kurul Kararlarını Yerine Getirme Yükümlülüğü:

Veri sorumluları, Kişisel Verileri Koruma Kurulu’nca yapılan incelemeler sonucu verilen kararları gecikmeksizin ve en geç otuz gün içinde yerine getirir.

Cezai Yaptırımlar

Yasada yer alan ceza miktarları her yıl yeniden değerleme oranı nispetinde güncellenerek uygulanmaktadır. Ceza miktarları dikkate alındığında veri sorumlularının ivedilikle uyum sürecini geçirerek VERBİS siciline kayıt olması gerekmektedir.

Kurul 27.12.2019 tarihinde yayımladığı kararı ile VERBİS kayıt sürelerinin uzatılmasına karar vermiştit. Karar gerekçesinde ise sicile yapılan bildirimlerde aykırılıklar ve çelişkiler olduğu bildirilmiştir. Gerçekten de sicil kayıtları incelendiğinde özellikle saklama süreleri konusunda veri sorumlularının yanılgıya düştüğü açıkça görülmektedir.

Kurul kararları ve kılavuzlardan yararlanılarak gerek açık rıza metinleri gerekse de aydınlatma metinleri tanzim edilmeli ve ilgililer bu metinler uyarınca aydınlatılmalı ve onamları alınmalıdır.

Ceza miktarları ve olası cezaya karşı uygulanacak itiraz merciin bu alanda yetersiz olduğu dikkate alınarak  yasa uyumunun bir an evvel gerçekleştirilmesi  veri sorumlularını bu ağır ceza yükünden kurtaracaktır.

Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. 6698 sayılı Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

6698 Sayılı Kişisel Verilerin Korunması Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.013 Türk lirasından 180.264 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 27.040 Türk lirasından 1.802.636 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 45.066 Türk lirasından 1.802.636 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 36.053 Türk lirasından 1.802.636 Türk lirasına kadar,

idari para cezası verilir.

KVKK Uyum Süreci

Sistematik Fikirler olarak KVKK uyum süreçlerinin tamamını 3 aşamada tamamlamaktayız.

  • Hukuki Danışmanlık
  • Süreç Danışmanlığı
  • Teknik Danışmanlık

Penetrasyon Testi Nedir?

Firmaların bilişim sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin (hacker) saldırmasını öngören yöntemler kullanılarak yapılan siber saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanması işlemidir.

İşlemler sırasında sızma testi uzmanlarımız, tıpkı bir hacker gibi hareket eder ve çeşitli sistemlerin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Bu güvenlik testlerinde, çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.

Kısaca pentest de denilmektedir.

White Box Penetrasyon Testi

Sızma testi uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar simüle ve raporlanır.

Black Box Penetrasyon Testi

Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz, sadece hedef sistemler belirtilir. Bilgi sızdırmak ya da çeşitli zararlar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak, sistemlere verilebilecek zararlar simüle edilir ve raporlanır.

Grey Box Penetrasyon Testi

White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz. Grey Box’ta ek olarak düşük yetkilerle sisteme sızma denetimleri gerçekleştirilir.

Penetrasyon Testini Kimler Yapabilir?

Penetrasyon testinde çok farklı yöntemler ve değişkenler söz konusu olduğundan alanında uzman kişilerce ve penetrasyon testi yapan firmalar tarafından gerçekleştirilmesi gerekmektedir. Aksi taktirde bilinçsizce yapılan penetrasyon testleri sırasında yerel ağlarda tıkanıklık, doğrudan kesinti veya veri kaybı gibi problemlerle karşılaşılabilmektedir. Böyle bir durum, hem müşteriyi hem de testi yapan firmayı/kişiyi ciddi riske atmaktadır.

Penetrasyon Testi Fiyatları ve Ücreti

Penetrasyon testinin belirli bir fiyatı veya fiyat aralığı yoktur. Test ettirmek istenen sistemler göz önünde bulundurularak bir kapsam oluşturulur ve buna göre çalışma eforu belirlenerek fiyatlamalar yapılmaktadır. Penetrasyon testi fiyat teklifi almak için aşağıdaki kapsam belirleme formunu doldurabilirsiniz.


     

     

     

     

     
    Raporunuz Saklansın mı?

     

     
    Sızma Testleri Kapsamında Talep Edilen Hizmetler

     
    Doğrulama Testi İstiyor musunuz?

     
    Lütfen sadece yukarıdaki talep ettiğiniz hizmetlere ait alanları doldurunuz!
     
    -----------------------------------------------------------------------------------------
     
    İnternet Üzerinden Sızma Testleri (Black Box/Dış Test)
     

     

     
    -----------------------------------------------------------------------------------------
     
    Web/API/Mobil Uygulamalarına Yönelik Sızma Testleri
     

     

     
    Test için Kullanıcı Hesabı Sağlanacak mı?

     
    ---------------------------------------------------------------------------------------
     
    Yerel Ağ Sızma Testleri (White Box/İç Test)
     

     
    ---------------------------------------------------------------------------------------
     
    Sosyal Mühendislik (Phishing) Testi
     

     
    --------------------------------------------------------------------------------------
     
    Kablosuz Ağ Sızma Testleri