İçereği Atla

Log Tutmak Yasal Zorunluluk mu, Güvenlik Gereksinimi mi?

Günümüz dijital dünyasında her işlem, her kullanıcı hareketi ve her sistem olayı sayısız veri üretir. Bu verilerin bir kısmı güvenlik amacıyla toplanırken, bir kısmı da yasal mevzuat gereği saklanmak zorundadır.
16 Haziran 2026 yazan
Log Tutmak Yasal Zorunluluk mu, Güvenlik Gereksinimi mi?
Amina KAPTAN
 

Bu noktada kurumlar sık sık şu soruyu sorar: “Log tutmak bir yasal zorunluluk mu, yoksa sadece güvenlik gereksinimi mi?”. Aslında cevap, hem “evet” hem de “evet”tir; ama hangi durumlarda hangisinin öncelikli olduğu konusu, sektöre, ülkeye ve iş modeline göre değişir.

Log Tutmanın Yasal Boyutu

Birçok ülke, özellikle kişisel verilerin korunması ve finansal denetimler açısından kurumların log tutmasını zorunlu kılar. Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) ve BTK düzenlemeleri, kritik altyapılarda ve hizmet sağlayıcılarında log tutulmasını öngörür. Benzer şekilde Avrupa’da GDPR, ABD’de HIPAA ve PCI-DSS standartları da belirli veri türlerinin ve işlemlerin loglanmasını yasal bir zorunluluk haline getirir.

Yasal zorunluluklar genellikle şunları kapsar:

    1. Kullanıcı işlemlerinin ve erişimlerinin kaydı
    2. Finansal ve ödeme işlemlerinin izlenebilirliği
    3. Kritik altyapı ve sistem olaylarının loglanması
    4. Belirli bir süre boyunca logların saklanması ve raporlanması

Bu yükümlülüklerin amacı, herhangi bir yasal ihlal, veri kaybı veya güvenlik olayı durumunda kurumun sorumluluklarını kanıtlayabilmesi ve denetleyici kurumlara doğru bilgi sunabilmesidir.

Log Tutmanın Güvenlik Boyutu

Log tutmanın bir diğer boyutu ise siber güvenlik ile ilgilidir. Sistemler üzerinde gerçekleşen tüm işlemler ve olaylar, olası saldırıların tespit edilmesi, analizi ve müdahale sürecinde kritik bir rol oynar. Güvenlik açısından log tutmanın önemi şunlardır:

    1. Olay tespiti: Olağandışı giriş denemeleri, başarısız loginler veya anormal sistem hareketleri loglar sayesinde fark edilir.
    2. Adli analiz: Bir saldırı gerçekleştiğinde saldırganın hareketlerini, erişimlerini ve kullandığı yolları analiz etmek için loglar gerekir.
    3. Uyum ve izleme: EDR, SIEM ve XDR sistemleri logları kullanarak sürekli izleme sağlar ve anormallikleri otomatik olarak tespit eder.
    4. Proaktif güvenlik: Loglar, tehdit istihbaratı ve davranış analizi ile birleştirildiğinde gelecekteki saldırılara karşı önleyici tedbir alınmasına yardımcı olur.

Kısacası, log tutmak sadece bir kayıt tutma işlemi değil, aynı zamanda modern siber güvenliğin temel taşıdır.

Yasal Zorunluluk ve Güvenlik Arasındaki Fark

Birçok kurum log tutmayı sadece yasal zorunluluk olarak görür; bu yaklaşım genellikle eksik ve risklidir. Çünkü loglar, yalnızca saklanmak ve denetim için kullanılmak yerine, proaktif güvenlik aracı olarak da işlev görmelidir.

Örneğin:

    1. Bir finans kurumunda log tutmak KVKK ve BDDK düzenlemeleri gereğidir. Ancak loglar aynı zamanda fraud tespiti ve yetkisiz erişim tespiti için kullanılmazsa, sistem hala risk altındadır.
    2. Bir e-ticaret platformunda ödeme işlemlerinin loglanması yasal bir zorunluluktur; fakat aynı loglar anormal alışveriş davranışlarını tespit etmek için de analiz edilmelidir.

Özetle, yasal zorunluluk logları saklama ve raporlama amacını taşırken, güvenlik gereksinimi logları izleme, analiz ve müdahale için kullanır. İdeal senaryoda, kurumlar logları hem yasal hem de güvenlik amacıyla yönetmelidir.

Log Yönetiminde En İyi Uygulamalar​

    1. Merkezi log yönetimi: Tüm sistemlerden toplanan loglar merkezi bir platformda toplanmalıdır.
    1. Uzun süreli saklama: Yasal gereksinim ve olası güvenlik analizleri için loglar belirli bir süre saklanmalıdır.
    1. İzlenebilirlik: Loglara erişim ve değişiklikler denetlenmelidir.
    1. Analiz ve uyarılar: SIEM ve EDR sistemleri ile loglar sürekli analiz edilmeli ve anormallikler otomatik olarak bildirilmeli.
    1. Düzenli denetim: Log politikaları periyodik olarak gözden geçirilmeli ve yasal değişikliklere uyum sağlanmalıdır.

Sonuç

Log tutmak, günümüzde hem yasal bir zorunluluk hem de güvenlik gereksinimidir. Sadece yasal zorunluluk olarak görüldüğünde kurumlar, veri ihlali ve siber saldırılar karşısında savunmasız kalabilir. Sadece güvenlik amacıyla log tutmak ise yasal denetimlerde sorun yaratabilir. Bu nedenle log yönetimi, hem yasal uyumu hem de güvenliği destekleyen entegre bir süreç olarak ele alınmalıdır.

Kısaca özetlemek gerekirse, loglar yalnızca kayıt değil, modern siber güvenliğin ve yasal uyumun temel yapı taşıdır.

Log Tutmak Yasal Zorunluluk mu, Güvenlik Gereksinimi mi?
Amina KAPTAN 16 Haziran 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment