Bir denetim geldiğinde sorulan soru hep aynıdır: "Bu veriye kim, ne zaman, neden erişti?" Cevabı saniyeler içinde verebiliyorsanız uyumluluk sizin için bir formaliteden ibarettir. Veremiyorsanız, dağınık log'lar ve eksik denetim izleri ciddi bir risk haline gelir.
Türkiye'de faaliyet gösteren kurumlar için KVKK (6698) ve 5651 sayılı kanun, log tutma ve erişim denetimi konusunda somut yükümlülükler getirir. Bu yazıda, ManageEngine portföyünün bu yükümlülükleri nasıl pratik ve sürdürülebilir bir uyumluluk altyapısına dönüştürdüğünü inceliyoruz.
Kısaca: ManageEngine (Manage Engine), KVKK ve 5651 uyumluluğu için ihtiyaç duyulan üç temel yeteneği bir arada sunar: merkezi log toplama ve değişmez arşivleme, kişisel veriye erişimin denetlenmesi ve Active Directory ile ayrıcalıklı erişimin izlenmesi. Log360, ADAudit Plus ve DataSecurity Plus gibi modüller, denetim izini otomatik üretip hazır raporlarla sunar.
KVKK ve 5651 Ne İster?
İki düzenleme de özünde hesap verebilirlik ister: bir olay yaşandığında ne olduğunun kanıtlanabilir olması. Pratikte bu, üç başlığa indirgenir:
- Log tutma ve bütünlük: Sistem ve erişim kayıtlarının toplanması, belirli sürelerle saklanması ve sonradan değiştirilmediğinin garanti edilmesi.
- Erişim denetimi: Kişisel veriye veya kritik sistemlere kimin eriştiğinin izlenmesi ve yetkisiz erişimin tespiti.
- Raporlanabilirlik: Denetim anında bu kayıtların anlamlı, okunabilir raporlara dönüştürülebilmesi.
5651 özellikle iç ağdaki erişim ve trafik kayıtlarının tutulup zaman damgasıyla saklanmasını öne çıkarırken, KVKK kişisel verinin işlenmesi ve bu verilere erişimin denetlenmesine odaklanır. ManageEngine portföyü her iki ihtiyacı da karşılayacak modüller barındırır.
Merkezi Log Yönetimi: Log360
Uyumluluğun temeli, doğru ve eksiksiz log toplamadır. ManageEngine Log360, sunuculardan, ağ cihazlarından, güvenlik duvarlarından, uygulamalardan ve Active Directory'den gelen log'ları tek konsolda toplar, normalize eder ve uzun süreli olarak arşivler. Kayıtlar değişmez biçimde saklandığı için denetim sırasında bütünlük sorgulanmaz.
Log360, KVKK, ISO 27001 ve PCI-DSS gibi çerçeveler için hazır raporlama şablonları sunar; gerçek zamanlı ihlal uyarılarıyla anormal erişimleri anında işaretler. SIEM korelasyonunun güvenlik tarafını SOC ve SIEM yazımızda daha geniş ele aldık.
Active Directory Denetimi: ADAudit Plus
Kişisel veriye ve kritik sistemlere erişimin çoğu, Active Directory üzerindeki hesaplarla gerçekleşir. ADAudit Plus, kullanıcı oturum açma/kapama olaylarını, grup üyeliği değişikliklerini, dosya erişimlerini ve yetki yükseltmelerini gerçek zamanlı denetler. "Kim, ne zaman, neye erişti?" sorusunun cevabı tek tıkla raporlanabilir hale gelir.
Bu yetenek, içeriden kaynaklı tehditlerin tespitinde de kritiktir; konuyu ADAudit Plus ile içeriden tehdit tespiti yazımızda derinleştirdik.
Kişisel Verinin İzi: DataSecurity Plus
KVKK açısından en kritik soru, kişisel verinin nerede durduğu ve kimin eriştiğidir. DataSecurity Plus, dosya sunucularındaki hassas veriyi keşfeder, sınıflandırır ve bu verilere yapılan erişimleri denetler. Olağandışı kopyalama, taşıma veya silme girişimlerini işaretleyerek veri sızıntısı riskini azaltır.
Ayrıcalıklı Erişim: PAM360
Yönetici (admin) hesapları, hem en büyük yetkiye hem de en büyük riske sahiptir. PAM360, ayrıcalıklı hesapların parolalarını kasada tutar, erişimleri onaya bağlar ve ayrıcalıklı oturumları kaydeder. Böylece kritik sistemlere yapılan her yönetici müdahalesi denetlenebilir bir iz bırakır.
Uyumluluğu Sürdürülebilir Kılmak
Uyumluluk tek seferlik bir proje değil, sürekli bir durumdur. ManageEngine'in bu alandaki en büyük katkısı, denetim izini otomatik üretmesi ve raporları hazır sunmasıdır. Ekipler her denetim öncesi manuel kayıt toplamak yerine, panele girip raporu indirir. Bu, hem iş yükünü azaltır hem de insan hatası kaynaklı eksikleri ortadan kaldırır.
Sıkça Sorulan Sorular
ManageEngine KVKK uyumluluğu için yeterli mi?
ManageEngine, KVKK'nın gerektirdiği log tutma, erişim denetimi ve raporlama yeteneklerini teknik olarak sağlar. Tam uyumluluk ise teknolojiyle birlikte kurumsal süreç ve politikaların da tanımlanmasını gerektirir.
5651 için hangi ManageEngine modülü kullanılır?
İç ağ erişim ve trafik kayıtlarının merkezi toplanması ve değişmez arşivlenmesi için öncelikle Log360 öne çıkar; Active Directory erişimleri için ADAudit Plus tamamlayıcıdır.
Log kayıtları ne kadar süre saklanmalı?
Saklama süresi düzenlemeye ve kurumun risk politikasına göre değişir. ManageEngine, log'ları uzun süreli ve değişmez biçimde arşivleyerek istenen saklama sürelerini karşılayacak şekilde yapılandırılabilir.
Bu modüller şirket içinde (on-premises) çalışır mı?
Evet. Verinin yurt içinde tutulmasını gerektiren kurumlar için ManageEngine modülleri on-premises kurulabilir; bu, KVKK ve 5651 açısından önemli bir avantajdır.
Sonuç
KVKK ve 5651 uyumluluğu, dağınık log'lar ve manuel süreçlerle sürdürülebilir değildir. ManageEngine (Manage Engine), log toplamadan erişim denetimine, kişisel veri görünürlüğünden ayrıcalıklı erişim yönetimine kadar uyumluluğun teknik temelini tek portföyde sağlar.
Technodus, ManageEngine yetkili iş ortağı olarak kurumların KVKK ve 5651 uyumluluk altyapısını kurmasında modül seçimi, kurulum ve raporlama yapılandırması konularında destek verir. Mevcut durumunuzu değerlendirmek için bizimle iletişime geçebilirsiniz.