Dijitale geçiş çağındayız. Verilerimize ulaşmak zaman ve konum bağlamından kopmakta, herhangi bir zamanda herhangi bir yerden istediğimiz veriye erişebilmekteyiz. Bu esnekliğin getirisiyle saatlerce sürebilecek işlerimizi dakikalar içerisinde tamamlayabiliyoruz, farkında bile olmadan günde binlerce satırlık veriler üretiyoruz. Bu kolaylıkların ardında kafamızdaki yegâne soru şu, “verilerim ne kadar güvende?”.
Günümüzde veri güvenliği, yasal zorunluluk olmaktan çıkıp itibar ve para kaybının önlenmesi için birincil öncelik haline gelmiştir. Araştırmalara göre 100 veri sızıntısı vakasının 70’i şirketin kendi çalışanları tarafından gerçekleşmektedir. Ek olarak bu 70 çalışanın 46’sı yani %66’sı yanlışlıkla/farkında olmadan şirket verilerinin sızmasına sebep olmaktadır. Basit anlamda, İK departmanında çalışan birisinin evde çalışmaya devam ederim diyerek maaş bordrolarının çıktısını alması ve/veya kişisel e-postasına göndermesi veri sızıntısı vakasının bir örneğidir.
Bu tabloya bakıldığı zaman atılması gereken ilk adım çalışanların eğitilmesidir. Ancak yıllardır uygulanan yöntem olan sunum üzerinden saatlerce anlatım yapılması yeteri kadar etkili değildir. Bunun yerine çalışanların kurumun veri güvenliği politikalarına ters düşen bir işlem gerçekleştirdikleri o anda, bu işlemin neden hatalı bir işlem olduğunu, kurum için doğurabileceği sonuçları ve doğru olanın ne olduğunun anlatılması çok daha verimli olacaktır. Bu sayede hem eğitim için ayrılan bütçe şirkete kâr kalacaktır hem de çalışanların iş akışları engellenmeden kurum politikalarını çok daha verimli bir şekilde benimseyeceklerdir.
İkinci adım verilerin sınıflandırılmasıdır. Şirketin bütün verileri aynı gizlilik seviyesinde değildir. Bu sebeple hangi verinin şirket dışıyla paylaşılamayacağının ve/veya hangi verinin dışarıyla paylaşılabileceğinin belirlenmesi gerekmektedir. Verilerin kullanıcı tabanlı ve/veya veri güvenliği politikaları gereğince otomatik olarak sınıflandırılması gerekmektedir. Verilere, kullanılan sınıflandırma çözümü ile yazılabilecek maksimum sayıda bilgi yazılmalıdır. Bunun sebebini bir örnekle açıklamak gerekirse; “Merkezden bir polis memuruna ihbar geliyor. Bu ihbarda aranan kişinin araba ile kaçmakta olduğu bildiriliyor. Ancak aranan kişinin adı, soyadı, araç plaka bilgileri bulunmamakta. Bu durumda polis memurunun aranan kişiyi bulması neredeyse imkansızdır.”
Böylelikle sınıflandırmanın ötesine geçerek üçüncü adım olan verinin kimlik kazandırılmasına giriyoruz. Nasıl ki bireylerle ilgili işlemler yapılırken kimlik bilgileri kontrol ediliyorsa, veriler işlenirken de kimlikleri kontrol edilmeli. Bir veriyi sadece gizli olarak sınıflandırmak, o verinin kimliğini yansıtmaz. Veri sorumluları olarak kendimize şu soruları sormamız gerekir; “hangi departmanlar için gizli, ne kadar süre gizli kalmalı, bir süre sonra silinmesi gerekiyor mu, kimlerle paylaşılmalı vb.”. Bu detayların cevapları veriye işlendiği zaman verinin kimliği haline gelmektedir. Bu sayede çalışanlarınız ve güvenlik ekosisteminizdeki çözümleriniz (DLP, firewall, CASB vb.) kimliklendirilen verileri en doğru şekilde işleyeceklerdir.
Üç adımda uygulanan ve veri güvenliğinin temelini oluşturan veri kimliklendirme projesini çalışanların iş akışını engellemeden kurumun kültürü haline getiren TITUS Identification kullanılarak, verinin işlenildiği sırada kullanıcıları eğitebilir, veriyi sınıflandırabilir ve kimliklendirebilirsiniz. TITUS’un esnek politika motoru sayesinde olay tabanlı (doküman açılırken, kapanırken, kaydedilirken, yazıcıya gönderilirken vb.) politika yazmaya ve esnek metadata kullanımı ile birçok kimlik bilgisinin verilere işlenmesine olanak sağlar.
Bu sayede, 100 kişilik bir kurumdaki 66 kişilik bilinçsiz kullanıcı eğitilmiş, 34 kişilik kötü niyetli kullanıcı ve dışardan gelen saldırılardan kaynaklanan %30’luk oran engellenmiş oldu.
コメント