Dijital çağda veri güvenliği

1

BEĞENDİM

ABONE OL

News

0

PSM DERGİSİ

Şirketler ve devlet kurumları için en büyük tehditlerin başında veri ihlali geliyor. Veri ihlalleri büyük maddi kayıplara neden olmanın yanı sıra kurumsal imaj açısından da ciddi sorunlar yaratıyor. İş dünyasının kayda değer bölümünün dijital dönüşüme ve onun gereklerine entegre olmasıyla veri kullanımına dair birçok husus çarpıcı şekilde önem kazandı. İş akışlarında veri ve veriye dayanan çalışma şekillerinin ön plana çıkması sonucunda ise dijital güvenlik sorunları daha kritik hale geldi.
Dijital güvenlik alanında faaliyet gösteren Procenne, kurumsal verilerin saklanması ve ihlallerin önüne geçilmesi için atılması gerekli adımları ve yapılabilecekleri açıkladı…

Veri ihlali nedir?

Veri ihlali, dijital bir ortamda barındırılan verinin illegal yollar ya da çeşitli zafiyetlerden yararlanılarak yetkisiz ya da kötü niyetli kişilerin eline geçmesi anlamına geliyor. İhlal edilen ya da sızdırılan bu veriler kurumların stratejik verileri olduğu gibi bireylere ait kimlik ya da finansal veriler de olabiliyor. Tüm bu verilerin yetkisiz ya da kötü niyetli kişilerin eline geçmesi hem kurumlar hem de bireyler için son derece olumsuz sonuçlar doğurabiliyor.

Veri ihlali nasıl engellenir?

Tüm bu olumsuz sonuçları veya riskleri bertaraf edebilmek, en kötü ihtimalle asgari düzeye indirebilmek mümkün. Söz konusu veri ihlalleri ve sızıntılarının önüne geçmek için temelde atılması gereken bazı adımlar var. Atılacak adımlar arasında insan faktörünün önemsenmesi, ağ trafiğinin takip edilmesi, yazılımsal ve donanımsal güvenlik önlemlerinin alınması gibi başlıkları saymak mümkün.

İnsan faktörü önemsenmeli

Veri ihlali ya da sızıntısını önlemekteki ilk adım, şirket çalışanlarını ve son kullanıcıları bilinçlendirmektir. Burada dijital güvenlik farkındalıklarının artırılmasına yönelik çalışmalar yapılmalı. Her kurum özelinde hangi kurumsal veri tehditleriyle karşılaşılabileceğine dair eğitimler düzenlenmeli, olası bir risk karşısında nasıl davranılması gerektiği planlanmalı. Bu planlamalar çeşitli senaryolar oluşturularak bir vaka analizi şeklinde yapılabilir. Kurumsal e-postaların yanlışlıkla başka kişi ya da kurumlara gönderilmesi, kurumsal cihazların ya da evrakların kaybedilmesi en sık karşılaşılan insan hatası kaynaklı veri ihlali örnekleri arasında. Verilen eğitimler periyodik olarak tekrarlanarak pekiştirilmesi sağlanmalı.
İnsan faktörüne dair önemli bir nokta da erişimde yetkilerin tanımlanmasıdır. Kurumda çalışan bireylerin işleriyle ilgili yetkileri net olarak tanımlandığında olası yetkisiz erişim ihtimali en aza indirilmiş olur, yetkisiz bir erişim girişimi kolaylıkla tespit edilebilir.

Kritik veriler tanımlanmalı

Kurumların barındırdıkları verileri sınıflandırması son derece önemli olan bir diğer adımdır. Kurumların barındırdığı verilerin bir kısmı son derece önemli ve gizlilik oranı yüksekken, bir kısmının önem derecesi ve gizlilik sınıfı daha düşük olabilir. Tüm bu sınıflandırmaların yapılması, sonraki adımlarda atılacak adımların belirlenmesi ve gerekli önlemlerin alınması için gereklidir.

Ağ trafiği takip edilmeli

Kurumsal ağların gerçek zamanlı izlenmesi, hem mevcut düzenin haritalanması hem de olası zafiyetlerin tespit edilmesi için önemlidir. Unutulmamalı ki bir siber saldırı öncesi korsanlar (hacker), ilgili ağlar için uzun süre keşif takibi yapıyor. Bu tür durumlarla karşılaşmamak adına kurumsal ağ trafiği gerçek zamanlı olarak kesintisiz takip edilmelidir.

Tehditler tespit edilmeli, izlenmeli ve çözüm aranmalı

Bir veri güvenliği tehdidiyle karşılaşıldığında bu tehdit izlenmeli ve analiz edilmelidir. Yapılan analiz sonucu tehdit seviyesi düşük dahi çıksa dikkate alınmalı ve gerekli önlemler/çözümler uygulanmalıdır.

Ağ ve uygulama güvenliği alınmalı

Tehditleri en başarılı bertaraf etme yöntemi her zaman en güncel güvenlik önlemleri almaktır. Kurumsal ağlar ve uygulamalar için gerekli tüm güvenlik önlemleri (tespit etme, önleme, tepki gösterme) alınıp uygulanmalı ve sürekli güncellemeler yapılmalıdır. Bu şekilde bir yaklaşım olası bir riskle karşılaşılması halinde hızlıca tepki verme imkânı tanıyacaktır.
Procenne tarafından geliştirilen EndCrypt mobil uygulama güvenliği, mobil uygulama geliştiricilerin uygulama geliştirme esnasında veri güvenliğini sağlamak amacıyla kullanılabilecek yazılım geliştirme kitlerine bir örnek olarak verilebilir. Uygulama geliştirme sürecinde EndCrypt’in kullanılmasıyla olası risklere karşı önlem alınabilir, olası ihlal girişimleri karşısında tespit etme, önleme ve tepki gösterme yetenekleriyle ihlalin önüne geçilmiş olur.

Veri sızıntısı engelleme çözümleri kullanılmalı

Veri sızıntısı engelleme (DLP – Data Loss Prevention) çözümlerini her kurumun kullanması gerekir. Kurumların barındırdığı verilere ve kurumsal tercihler bağlı olarak en uygun çözüm tercih edilmeli ve kullanılmalıdır. Örnek vermek gerekirse, hassas verileri barındıran bir kurum, bu verileri saklamak için çeşitli şifreleme yazılım ve donanımları kullanmalıdır.
Procenne tarafından üretilen ProCrypt HSM ve bulut HSM hizmeti, hassas verilerin şifrelenmesi, bu şifrelerin saklanması ve çözülmesi için kullanılan bir donanımsal güvenlik modülüdür. Bu ürün sayesinde hassas veriler donanımsal olarak şifrelenir ve olası yetkisiz erişim denemelerine karşı korunur.

Acil durum planı yapılmalı

Günlük hayatın her anında olduğu gibi kurumsal hayatta da acil durum planları olmalı. Bu acil durum planlarından biri de veri güvenliğine yönelik. Veri ihlali ya da sızıntısı durumunda yapılacaklara dair oluşturulan bir acil durum planı uygulandığında olası risk karşısında nasıl davranılması, neler yapılması gerektiği tanımlanarak söz konusu riskin bertaraf edilmesi kolaylaşacak ve hızlanacaktır.