Veriler gerçekten güvende mi?

“Veri Güvenliği” kavramı son yıllarda birçok kavramdan daha fazla değer kazanmış durumda. Oysa bundan 3-5 yıl önce firmaların önemsediği tek şey büyümekte olan veriydi. Hala verinin büyümesi önemli olsa da üretilen verinin güvenliği çok daha önemli hale gelmeye başladı. Her şeyden önce “Veri nedir?” Bunu irdelemek faydalı olabilir.

Haberin Devamı

Veri; kişi ve kuruluşların ölçüm, deney, gözlem, sayım ya da araştırma yolu ile elde ettikleri ve sunucularda metin, çizim, ses ya da video görüntüsü halinde tuttukları bilgiye veri diyoruz.

Bugün veri güvenliği ile ilgili birkaç soru soralım ve bu sorulara beraber cevap arayalım.

Haydi başlıyoruz! 

Veri güvenliği neden daha önemli?

Şirketler, ürettikleri verileri derleyerek ciddi analizler yaparlar. Şirketten şirkete göre bu analizler değişse de asıl amaç, şirket verimliliğini artırmaya yöneliktir. Yapılan analizler sonucunda bir şirketin bir yıl içinde ne kadar üretim yaptığı, ne kadar satış yaptığı, kullandığı malzeme adedi, malzeme maliyeti, eleman maliyeti ve daha birçok girdi ve çıktı bilgilerini analiz ederek o senenin değerlendirilmesi ile sağlanabilir. Buna ek olarak şirket örneğin ürettiği malzemenin tasarım bilgisini tekrar kullanmak ve üzerinde revizyonlar yaparak mükemmelleştirmek isteyebilir. Bu durumda da yine ürettiği veriden ve verinin geçmiş revizyonlarından faydalanır. Şirketler ürettikleri bu kıymetli verinin çalınmasını, rakiplerinin eline geçmesini ya da bu verinin kaybedilmesini istemez. Bu da verinin büyümesi ile birlikte üretilen verinin kıymetinin ne denli önemli olduğunu göstermektedir. 

Haberin Devamı

Veriyi önemli kılan şeyler neler?

Şirketler birçok veri üretirler. Veriyi önemli kılan şey, ne amaçla üretildiği, ne amaçla kullanılacağı, bu veriyi yeniden üretmenin mümkün olup olmadığı ve zaman içerisindeki değerlenmesi, hangi amaca hizmet ettiği, başkasının eline geçerse para, zaman ve itibar kaybetmeye sebebiyet verip vermediği gibi ayrıntılardır.

Veri bu kadar kıymetli olunca da verinin korunması da bir o kadar önemli hale geliyor. 
Veriler gerçekten güvende mi
Veri nerede, nasıl tutulmalı ve nasıl korunmalı?

“Bu soruda sorulur mu?” dediğinizi duyar gibiyim. Tabii ki herkes verinin kabaca nerede tutulması gerektiğini bilir. Bu sorunun amacı, verinin korunmasına yönelik süreci konuşabilmek adınaydı aslında.

Haberin Devamı

Genel anlamda verileri, dosya sunucusu üzerinde, NAS (Network Attached Storage), bulut ortamlarında, storage olarak adlandırdığımız disk yığınlarında ve kullanıcıların bilgisayarlarında tutuyoruz. Veri bu ortamlarda tutulurken en önemli sorular “Değerli verimiz nedir?”, “Değerli verilerimiz nerededir?” sorularıdır. Değerli veriyi adreslemeden koruyabilmek gerçekten imkansıza yakındır. Yukarıda verinin kıymetli olmasından bahsedip verinin tutulduğu yeri ve koşulları doğru planlamadan pas geçmek büyük hata olur doğrusu.

Geçmişte bu kadar önemli olmayan veri güvenliği, günümüzde birçok regülasyon (27001, KVKK 5651, v.b.) çerçevesinde en önemli konu haline geldi. Kullanıcıları verilere eriştirirken yetkilendirme politikalarının doğru yapılmış olması çok önemlidir.

Haberin Devamı

Öyle şirket verileri vardır ki bu verilerin sızdırılması, kaybedilmesi, veri hırsızlığına maruz kalması gibi durumlar şirketin para kaybı, itibar kaybı hatta iflas etmesine kadar dramatik durumlar doğurabilir. Hatta bazı özel nitelikli veriler (adli veri, sağlık verisi, v.b,) şirket yetkililerinin maddi ceza ve hapis cezası almasına kadar yol açabilmektedir. 

DLP (Veri Kaybı Önleme) Çözümleri: Veri kaybını önlemek için tasarlanmış, standart yetkilendirme politikalarının üzerine üst seviye veri izleme ve koruma yetenekleri katan çözümlerdir. DLP güvenlik çözümleri ile şirketler hem dışardan şirket içine doğru yapılan saldırı atakları neticesinde verinin dışarıya sızdırılmasını engellemeye hem de mevcut çalışanların bilinçli ya da bilinçsizce hassas şirket verisini dışarı sızdırmasına engel olabilmektedir. DLP yazılımı sayesinde hassas veriler tespit edilir, sınıflandırılır ve etiketlenir. Hassas bir veriye kimin eriştiği, ne zaman eriştiği, kimin değişiklik yaptığı, kimin veriyi mail attığı, nereye göndermeye çalıştığı gibi birçok bilgi raporlanabilmekte ve korunabilmektedir. DLP çözümleri ile hassas veriler yani kredi kartı bilgisi, T.C. No, kan grubu, adli sicil verisi gibi bilgilerin bir mail gövdesinde, word ya da PDF uzantılı dosya içinde olup olmadığına, bir yazıcıdan çıktı alınıp alınmadığına bakabilir, tanımlanan politikalar çerçevesinde şirket dışına taşınmasına engel olunabilir. Hatta bir resim içerisindeki hassas veriyi bile OCR özelliği sayesinde algılayıp, dışarı sızmasını engelleyebilir. 

Haberin Devamı

Bilgi Kaybı Önleme çözümleri sayesinde önemli ve hassas bilgilerin kaybolması, yanlış kişilerin eline geçmesi, yetkisiz kullanıcılar tarafından görüntülenmesi engellenebilmektedir.

“Sadece DLP ile yeterli mi?” dediğinizi duyar gibiyim. Tabii ki tek başına yeterli değildir. Veri güvenliği birçok farklı siber güvenlik bileşenin bir ahenk içerisinde çalışması ile sağlanabilir. İyi bir veri güvenliği altyapısı oluştururken; yeni nesil antivirüs çözümleri, veri şifreleme, database güvenliği, mail ve web içerik koruması, WAF, çift katmanlı doğrulama ve daha birçok güvenlik bileşenine ihtiyaç duymaktayız. Bu yazımızda DLP’ye atıfta bulunduk. Gelecek yazılarımızda da diğer konularda değinmeye çalışacağız şimdilik görüşmek üzere.

Yazarın Tüm Yazıları