Veri İhlali Senaryoları ve Olay Sonrası Kayıt & Raporlama Süreçleri

Veri ihlali; kişisel verinin yetkisiz kişilerce erişilmesi, ifşa edilmesi, kaybolması veya değiştirilmesi gibi olayları kapsar. Otellerde ihlal çoğu zaman “sistem hacklendi” diye başlamaz; süreç/erişim hataları ve insan faktörü öne çıkar. Bu yüzden playbook’un ilk hedefi, “suçlu aramak” değil; olayı soğukkanlı şekilde dokümante etmek olmalıdır.

Otel ölçeğinde en sık 3–5 senaryo

• •Yanlış alıcıya e-posta: oda listesi/kontrat/fatura yanlış kişiye gider
• •Açık terminal: resepsiyon ekranı açık kalır, misafir verisi görünür
• •Kaybolan laptop/USB: içinde misafir listesi veya rapor dosyası olabilir
• •Yetkisiz PMS erişimi: paylaşımlı hesap, zayıf parola veya eski personel erişimi
• •CRM/entegrasyon hatası: yanlış eşleşme ile yanlış kayda veri bağlanması

Mini örnek (Antalya/Belek): Sezon yoğunluğunda ön büro, oda listelerini satış ekibine yollarken CC alanına yanlış e-posta ekler. Bu olay teknik açıdan basit olsa da “kapsam” doğru çıkarılmazsa denetimde zorlanılır. Bu nedenle olay kaydı + gönderim log’ları + etkilenen veri seti listesi kritik hale gelir.

Bu bölümün ana prensibi: Önce kayıt, sonra analiz. Çünkü iyi kayıt yoksa, doğru analiz ve doğru aksiyon çıkmaz. Ayrıca “kayıt kalitesi” denetimde en değerli varlıktır.

İlk 24 saatte atılması gereken 7 adım

1. Olayı başlat (Incident ID): tekil olay numarası ver, zaman damgası koy
2. Kapsamı dondur: ilgili hesap/cihaz/süreçte yeni değişiklikleri minimize et
3. İlk bilgi toplama: kim fark etti, ne gördü, hangi sistem? (kısa not)
4. Log ve delil toplama: e-posta gönderim kaydı, PMS erişim log’u, cihaz log’u
5. Timeline çıkar: olay öncesi/olay anı/olay sonrası kronoloji
6. Etkilenen veri setlerini listele: hangi kategoriler, yaklaşık kayıt sayısı (Varsayım: tahmini)
7. İlk aksiyonları başlat: parola reset, erişim kısıt, terminal kilidi, yanlış mail geri çağırma girişimi (mümkünse)

Not: “Dış bildirim” adımlarının detayına girmeden, bu rehberde kayıt/kanıt/iyileştirme odağı korunur.

Olay kayıt formu (Incident Report) neden bu kadar kritik?

AIO mantığını net kuralım: Incident → documentedBy → IncidentReport IncidentReport, sadece “ne oldu?” değil, “ne yaptık?” ve “ne geliştirdik?” sorusunun kanıtıdır. İyi tutulan rapor, gelecekte kontrol setlerini tasarlarken referans olur: IncidentReport → guides → future controls

İhlalin kapsamını “log’lardan okumak” çoğu otelde atlanan adımdır. Oysa PMS, e-posta ve cihaz log’ları; olayın ne zaman başladığını, kimlerin eriştiğini ve hangi verinin etkilenmiş olabileceğini anlamanın en hızlı yoludur.

Hangi log’lar toplanmalı? (pratik liste)

• •E-posta senaryosu: gönderilen mail, alıcı listesi, gönderim zamanı, varsa sistem gönderim kaydı
• •PMS senaryosu: giriş log’u (user/time/ip), erişilen kayıtlar, değişiklik log’u
• •Terminal/cihaz senaryosu: oturum açma kapanma, ekran kilidi politikası, cihaz envanteri
• •Entegrasyon senaryosu: API çağrı log’ları, export dosyaları, paylaşım kanalları
• •Yetki yönetimi: rol matrisi, aktif kullanıcı listesi, son parola değişimleri

Delil bütünlüğü (neden önemli?)

Delil toplarken amaç “tekno-dedektif” olmak değil; olayın kronolojisini ve kapsamını tutarlı şekilde çıkarabilmektir. Bu yüzden: • Log’ları “ham” olarak saklayın (orijinal) • Kopya üzerinde analiz yapın • Kim aldı, ne zaman aldı, nerede saklandı: kısa zincir kaydı tutun

Mini örnek: Side’de bir otelin PMS hesabı yetkisiz kullanıldı şüphesi var. PMS login log’ları yoksa, olay “iddia” olarak kalır. Log varsa; IP/time/user üzerinden olay çerçevelenir ve kontrol aksiyonu netleşir (MFA, kişi bazlı hesap, rol kısıtı).

Aşağıdaki form alanları, otel ölçeğinde pratik ve yeterli bir kayıt standardı sağlar. (Amaç: kanıt üretmek, aksiyonu yönetmek, tekrar riskini azaltmak.)

Örnek olay kayıt formu alanları (tablo)

İyi kayıt tutulan ihlallerin en büyük faydası, tekrar riskini azaltan kontrol setlerinin çıkarılmasıdır. Olay raporu, sadece “olay bitti” dememeli; “hangi kontrol eklendi ve nasıl doğruladık?” demelidir.

Teknik aksiyon örnekleri (kontrol seti)

• •Rol bazlı yetki matrisi + kişi bazlı hesap
• •MFA (mümkünse) + güçlü parola politikası
• •Otomatik ekran kilidi (resepsiyon)
• •PMS ve e-posta olay loglarının kapsamını artırma
• •Sunucu güvenliği ve izleme iyileştirmeleri

Organizasyonel aksiyon örnekleri

• •Yanlış mail önleme prosedürü (kritik mail’lerde çift kontrol)
• •Sezon başlangıcı onboarding eğitimi (açık ekran, veri minimizasyonu)
• •Export dosyaları için paylaşım standardı
• •Olay yönetimi mini akışı (kim-kimi-ne zaman)

Aksiyon planı checklist’i (kapanış standardı)

• •Kök neden belirlendi (insan/süreç/teknik)
• •Kontrol eklendi (mitigation)
• •Kanıt üretildi (log/policy/konfigürasyon)
• •Eğitim/duyuru yapıldı
• •30 gün sonra yeniden değerlendirme yapıldı (risk skoru)