Veri Sınıflandırma Taksonomileri: “Gizli / Kişisel / Özel Nitelikli” Etiketleme Motorlarının Teknik Kurulumu ve KVKK Uyumu

kullanici1

Nisan 8, 2026

KVKK,Siber Güvenlik,Siber Savunma,Veri Analizi

Dijitalleşen kurumsal dünyada verinin hacmi ve çeşitliliği katlanarak artarken, bu verinin güvenliğini sağlamanın ilk adımı “neyin korunacağını” bilmektir. Her veri aynı derecede hassas değildir; bu nedenle tüm verilere aynı güvenlik politikasını uygulamak hem maliyetli hem de operasyonel olarak verimsizdir. Veri sınıflandırma, kurumsal verilerin önceden belirlenmiş kriterlere göre etiketlenmesi ve bu etiketlere uygun koruma seviyelerinin atanması sürecidir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri sorumluları, işledikleri verileri “Kişisel” ve “Özel Nitelikli Kişisel Veri” ayrımına göre yönetmekle yükümlüdür. Bu makalede, veri sınıflandırma taksonomilerinin oluşturulması, teknik etiketleme motorlarının kurulum mimarisi ve bu sürecin yasal uyumdaki kritik rolü ele alınacaktır.

Konunun Temel Açıklaması

Veri sınıflandırma taksonomisi, verilerin hassasiyet ve kritiklik seviyelerini tanımlayan bir hiyerarşi sistemidir. Kurumsal bir yapıda genellikle “Kamuya Açık”, “Düşük (Dahili)”, “Gizli” ve “Çok Gizli” gibi gizlilik etiketleri kullanılırken; KVKK özelinde bu yapıya “Kişisel Veri” ve “Özel Nitelikli Kişisel Veri” boyutları eklenir. Etiketleme motorları ise, bu taksonomiyi dijital dokümanlara, e-postalara ve veri tabanı kayıtlarına kalıcı bir “metadata” (üst veri) olarak işleyen teknik bileşenlerdir. Bu motorlar sayesinde, bir dokümanın içinde ne olduğu (içerik) ile o dokümana nasıl davranılması gerektiği (politika) arasında kopmaz bir bağ kurulur.

Genel Koruma-Güvenlik Kalkanı

Çalışma Mantığı / Teknik Arka Plan

Teknik kurulumda etiketleme motorları genellikle üç farklı yöntemle veri tanımlama yapar:

  1. Kullanıcı Tabanlı Sınıflandırma: Dokümanı oluşturan kişinin, yazılım arayüzündeki bir buton yardımıyla etiketi manuel olarak seçmesi.
  2. Kural Tabanlı (Pattern Matching) Sınıflandırma: Düzenli ifadeler (Regex) kullanılarak T.C. Kimlik Numarası, IBAN veya kredi kartı gibi belirli dizilimlerin otomatik taranması.
  3. Makine Öğrenmesi Tabanlı Sınıflandırma: Algoritmanın, “Sağlık Raporu” veya “Maaş Bordrosu” gibi doküman tiplerini içeriğindeki kelime yoğunluğuna ve yapısına bakarak otomatik tanıması.

Teknik süreçte, seçilen etiket dosyanın “Extended File Properties” alanına veya e-posta başlıklarına (X-Header) kalıcı olarak yazılır. Bu metadata, Veri Kaybı Önleme (DLP) veya şifreleme sistemleri tarafından okunarak, örneğin “Çok Gizli” etiketli bir dosyanın USB’ye kopyalanmasını veya kurum dışına e-posta ile gönderilmesini otomatik olarak engeller.

Kullanım Senaryoları veya Saldırı Perspektifi

Saldırı ve sızıntı perspektifinden bakıldığında, sınıflandırma motorları “sessiz bir koruma katmanı” işlevi görür. Bir saldırgan ağa sızıp veri kaçırmaya çalıştığında, DLP sistemleri her dosyayı taramak yerine dosyanın üzerindeki “Özel Nitelikli Veri” etiketine bakar ve transferi durdurur. Kurumsal kullanım senaryosunda ise, bir İnsan Kaynakları personeli personelin sağlık verilerini içeren bir tabloyu yanlışlıkla genel bir gruba gönderdiğinde, etiketleme motoru devreye girer. Dosya üzerindeki “Özel Nitelikli” etiketi, alıcıların yetkisiyle uyuşmadığı için dosyanın açılmasını engeller veya dosyayı otomatik olarak şifreler. Bu, insan hatasından kaynaklanan veri ihlallerine karşı en etkili teknik bariyerdir.

Riskler ve Etkileri

Sınıflandırma sistemlerinin kurulumundaki en büyük risk, “Hatalı Sınıflandırma” (Misclassification) ve “Aşırı Sınıflandırma”dır (Over-classification). Her şeyin “Çok Gizli” olarak etiketlendiği bir yapıda, iş akışları kilitlenir ve kullanıcılar güvenlik politikalarını baypas etmenin yollarını aramaya başlar. Tam tersi durumda, hassas verilerin düşük seviyeli etiketlenmesi, KVKK kapsamında korunan verilerin savunmasız kalmasına ve kitlesel sızıntılara yol açar. Teknik bir risk olarak; etiketleme motorunun doküman performansını düşürmesi veya metadata alanlarının bazı eski dosya formatlarında (legacy) bozulması, veriye erişilebilirlik ilkesini zedeleyebilir. Bu risklerin etkisi, doğrudan hukuki uyumsuzluk ve veri kaybı olarak kuruma geri döner.

Tespit Yöntemleri

Sınıflandırma motorunun başarısını ve veri envanterindeki durumu saptamak için şu yöntemler kullanılır:

  • Veri Keşfi (Data Discovery) Taramaları: Ağ üzerindeki tüm dosya sunucularının, veri tabanlarının ve uç noktaların taranarak “etiketsiz” veya “yanlış etiketli” hassas verilerin raporlanması.
  • Gölge Veri (Shadow Data) Analizi: Bulut depolama alanlarında (OneDrive, Google Drive vb.) kurumsal taksonomi dışında kalan veri yığınlarının saptanması.
  • Politika İhlal Logları: DLP sistemleri üzerinden, belirli etiketlere sahip dosyaların en çok hangi kanallardan (Web, USB, E-posta) çıkmaya çalıştığının analizi.
  • Metadata Tutarlılık Testleri: Dosya paylaşıldığında veya formatı değiştirildiğinde üzerindeki güvenlik etiketinin kalıcılığının teknik olarak doğrulanması.

Önleme ve Güvenlik Önlemleri

Hatalı etiketlemeyi önlemek ve veriyi korumak için şu teknik önlemler alınmalıdır:

  • Varsayılan Etiketleme (Default Labeling): Yeni oluşturulan her dokümana en azından “Dahili/Kişisel” gibi temel bir etiketin sistem tarafından otomatik atanması.
  • Zorunlu Sınıflandırma: Kullanıcı etiketi seçmeden dosyanın kaydedilmesine veya e-postanın gönderilmesine izin verilmemesi.
  • Görsel Filigranlar (Watermarking): “Gizli” veya “Özel Nitelikli” etiketli dokümanların üzerine otomatik olarak dinamik filigranlar (kullanıcı adı, IP adresi, tarih) eklenerek fiziksel sızıntıların (ekran fotoğrafı vb.) caydırılması.
  • Entegrasyon: Sınıflandırma motorunun SIEM ve EDR sistemleriyle konuşturularak, yüksek hassasiyetli verilere yapılan erişimlerin anomali puanlamasına dahil edilmesi.

Kurumsal Perspektif / Gerçek Hayat Kullanımı

Kurumsal yönetim ve KVKK uyumu açısından veri sınıflandırma, “Veri Envanteri”nin yaşayan bir parçasıdır. KVKK Madde 12 uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı erişimini engellemek için gerekli teknik tedbirleri almalıdır. Kişisel Verileri Koruma Kurulu (KVKK Kurulu), veri ihlallerini incelerken kurumun “kişisel verileri tespit edip etmediğine” ve “bu verilere uygun erişim kısıtlamaları getirip getirmediğine” bakar.

Gerçek hayatta, üzerinde “Özel Nitelikli Kişisel Veri” etiketi bulunan bir dosyanın sızması durumunda, kurumun “Ben bu verinin hassasiyetinin farkındaydım ve şu teknik engelleri koymuştum” diyebilmesi, iyi niyetli teknik tedbirin kanıtıdır. Aksine, binlerce sağlık verisinin etiketsiz bir şekilde düz metin olarak sunucularda bekletilmesi, doğrudan “teknik tedbir eksikliği” olarak ağır idari para cezalarına konu edilmektedir. Bu nedenle sınıflandırma, sadece bir IT projesi değil, kurumsal risk yönetimi ve yasal uyumun temelidir.

Sonuç

Veri sınıflandırma taksonomileri ve etiketleme motorları, dijital varlıkların “kimlik kartları”dır. Veriyi “Gizli”, “Kişisel” veya “Özel Nitelikli” olarak etiketlemek, kurumsal savunma mekanizmalarına zeka ve seçicilik kazandırır. Teknik kurulumun başarısı, sadece yazılımın yeteneklerine değil, bu yapının KVKK uyum süreçleri ve çalışan farkındalığıyla ne kadar entegre olduğuna bağlıdır. Verinin sadece nerede olduğunu değil, ne olduğunu da bildiğimiz bir dünyada, siber güvenlik politikaları çok daha keskin ve etkili olacaktır. Unutulmamalıdır ki, sınıflandırılamayan veri, yönetilemeyen ve dolayısıyla korunamayan veridir. Dijital çağda gerçek koruma, verinin ruhuna (etiketine) uygun bir güvenlik kalkanı inşa etmekle mümkündür.

Tags :
#DataClassification,#DLP,#KVKK,#Metadata,#ÖzelNitelikliVeri,#SiberSavunma,#VeriSınıflandırma,#VeriYönetişimi
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.