Veri Güvenliği Neden Önemlidir?

Veri Güvenliği Neden Önemlidir?

Şub 20, 2022 / Kron

Bilgisayarlar, sunucular, veritabanları ve web siteleri üzerinden sağlanabilen yetkisiz erişimleri engellemek için geliştirilen bir dizi önlemi ifade eden veri güvenliği, veri yığınlarının kaybolmasının ve bozulmasının da önüne geçiyor. Dijitalleşmenin iş dünyasının önemli bileşenlerinden biri haline geldiği günümüzde küçük, orta ve büyük ölçekteki herhangi bir şirketin önemli bir siber güvenlik unsuru olan veri güvenliğini ihmal etmemesi gerektiğinin altını çizmek gerekiyor. Siber tehditler karşısında gelişmiş bir veri ve erişim güvenliği tesis etmek için ise sayısız neden var.

Veri Güvenliği Neden Önemlidir?

Verileri kullanım süreleri boyunca yetkisiz erişimler sonucu ortaya çıkan veri ihlali vakalarından korumak amacıyla uygulanan veri güvenliği protokollerinde en önemli husus, güvenliğin ve gizliliğin entegrasyonunu doğru şekilde sağlamaktır. Birbiriyle ilişkili bu iki terim aynı anlama gelmemektedir ancak şirketler ve bireysel kullanıcılar açısından her ikisinin de benzer yükümlülükler doğurduklarını belirtmek bir hayli önemli. Söz konusu yükümlülükler şu şekilde sıralanabilir:

  • Bütünlük ve doğruluk: Verilerin hatasız olduğuna ve değiştirilmediğine yönelik güvence sunabilmek hem veri güvenliği hem de veri gizliliği ile ilgilidir.
  • Erişim kontrolü: Yetkili erişim veri gizliliğinin temelinde yer alır. Veri gizliliğinin temelinde yetkili erişimi ise veri güvenliği ile sağlamak mümkün.
  • Hesap verebilirlik: Verilerle ilgili şirket politikaları gizliliği ve güvenliği bünyesine dahil etmelidir.

Fakat veri güvenliği ve gizliliğinin birbirlerinden ayrıldıkları noktalar da mevcut. Veri güvenliği, en yalın haliyle, veri gizliliği, bütünlüğü ve erişilebilirliği ile ilgili durumların güvence altına alınması olarak tanımlanabilir. Bu bağlamda veri güvenliği siber saldırı ve çevrim içi dolandırıcılık girişimlerine karşı koruma, veri şifreleme, veri ihlallerini önleme gibi uygulamaları içerir. Öte yandan veri gizliliği şirketlerin bireyler hakkında ne ölçüde veri toplayabileceğine ve bu verileri nasıl işleyebileceğine odaklanır.

Veri güvenliği açısından önemli konulardan biri de iç tehditlerdir. Veri ihlali olaylarında önemli bir paya sahip olan iç tehditler şirket çalışanlarının bilinçli ya da bilinçsiz şekilde şirkete ait verileri veya çalışanların kişisel verilerini dışarı sızdırmalarını içerebilir. İç tehditlerin kazara neden olduğu ihlallerde phishing saldırıları ön plana çıkarken bilinçli ihlal girişimleri veri sızdırıldıktan sonra fidye yazılımı saldırısına dönüşebilir.

Tam da bu noktada, Risk Based Security ve Flash Point tarafından hazırlanan 2021 yıl sonu raporu iç tehditler ile ilgili önemli veriler ortaya koyuyor. Rapora göre 2021’de Dış tehditler ve iç tehditlerin sebep olduğu yedi veri ihlali vakası, şimdiye kadarki en büyük veri ihlali olarak kabul edilen FBS Markets sızıntısı da dahil olmak üzere, 19 milyar verinin ifşa edilmesine neden oldu. Yine aynı raporda iç tehditlerden kaynaklanan veri ihlali vakalarının %53’ünün yetkili erişimin yetkisiz kullanıcılara verilmesinden kaynaklandığı aktarıldı.

Veri güvenliği gizlilik ve finansal güvence açısından önemli olduğu kadar, şirketlerin kamuoyu önündeki imajı için de son derece önemli. Ponemon Enstitüsü tarafından IBM ile ortaklaşa yürütülen Veri İhlali Maliyeti Çalışması, Amerika Birleşik Devletleri’nde bir veri ihlali vakasının yarattığı ortalama mali kaybın 8 milyon dolar olduğunu gösterdi. Nitekim bir veri ihlalinden etkilenen ortalama kullanıcı sayısı ise 25.575 olarak belirtildi.

Siber güvenliği tehdit eden unsurların her geçen dönem farklılaşması ve önlem almanın daha zor hale gelmesi kapsamlı bir veri güvenliği çözümü ihtiyacı yaratıyor. Detaylı bir veri güvenliği inşa edebilmek için şirketlerin farklı birimlerinin iş birliği içinde çalışması ve veri korumaya yönelik çözümlerin şirketin BT altyapısındaki tüm unsurlar gözetilerek oluşturulması gerekiyor. Bu noktada veri güvenliği maliyetini gelecekteki yatırım getirilerini düşünerek değerlendirmenin önemli olduğunu da vurgulamakta yarar var.

İşletmeler İçin Veri Güvenliğinin Önemi

İşletmeler için veri güvenliği iş sürekliliğini sağlamak, veri ihlallerinin önlemek ve yetkisiz erişimlerin önüne geçmek açısından oldukça önemli. İş dünyasının büyük oranda dijitalleştiği ve yeni teknolojilerin farklı iş modellerine entegre edildiği düşünüldüğünde veri güvenliğinin şirketlerin en mühim gündemlerinden biri olduğu rahatlıkla söylenebilir. “Veri yeni petroldür.” sözünden hareketle ekonomik hareketliliğin ve şirketlerin kar etme potansiyellerinin sürdürülebilirliği açısından da veri güvenliğinin kritik bir konumda olduğunu söylemek mümkün.

Şirketlerin finansal kayıplar yaşamamak, kamuoyuna karşı sorumluluklarını yerine getirmek ve güven oluşturabilmek için siber riskler karşısında doğru önlemler alıp tüm BT altyapısını hem kendisi hem de paydaşları için güvenli hale getirmesi gerekiyor. Nitekim bugünün iş dünyasında yer alan şirketler de veri güvenliği sağlayamadıkları takdirde iş akışlarının ciddi şekilde tehlikeye girebileceğinin farkında.

Veri Güvenliği Her Zaman Olduğundan Daha Önemli

The Economist’e göre zettabyte çağında yaşıyoruz, bulut ve veri merkezlerinden gelen veri miktarı inanılmaz boyutlara ulaşmış durumda. Bu nedenle kritik verileri muhafaza ederken ve aktarırken her aşamada en iyi şekilde korumak gerekiyor. Söz konusu korumayı sağlayabilmek için de yetkisiz erişimleri denetlemek ve iç tehditleri kısa sürede fark edip gerekli önlemleri almak büyük önem taşıyor.

Veri ve erişim güvenliğine dair en önemli konulardan biri de iç tehditler. Negligent insiders (ihmalkârlar), malicious insiders (kötü niyetli kişiler) ve credential insiders (kimlik bilgilerini sızdıranlar) olarak üçe ayrılan iç tehditler, şirketlerin yüksek boyutlarda veri kayıpları yaşamalarına sebep olabilir. İhmalkârlar genelde dijital farkındalığı yüksek olmayan ve bu nedenle phishing saldırıları başta olmak üzere, farklı siber saldırılara kolayca maruz kalabilen çalışanlardan oluşuyor. Kötü niyetli kişiler bilerek veri sızdırarak şirketlerin fidye yazılımı saldırıları ile karşı karşıya kalmasını sebep oluyor. Kimlik bilgilerini sızdıranlar ise şirket çalışanlarının kişisel verilerini üçüncü kişilerle paylaşarak veri sızıntısı yaratıyor. Bu grup fidye yazılımı saldırılarının da önünü açarak, tıpkı kötü niyetli kişiler gibi, şirketlerin siber tehditlere açık hale gelmesini kolaylaştırıyor. Nitekim şirketlerin siber saldırılara açık hale gelmesi de iş akışlarının sekteye uğrama ihtimalini hatırı sayılır seviyede artırıyor.

Söz konusu veri güvenliği sorunlarına engel olmanın yolu ise yetkili ve yetkisiz erişimleri denetleyen Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM) uygulamaları kullanmaktan geçiyor.

Veri Güvenliğinin En Güçlü Bileşeni: Ayrıcalıklı Erişim Yönetimi

PAM çözümleri şirketlerin siber güvenlik stratejilerinde önemli rol üstleniyor. Erişimleri denetlemek ve daha güvenli kılmak veri güvenliği tesis etmenin ilk adımlarından biri olduğu için Ayrıcalıklı Erişim Yönetimi sistemleri kapsamlı bir çözüm sunuyor.

Kron olarak geliştirdiğimiz PAM çözümü Single Connect de erişim ve veri güvenliği sağlayan gelişmiş modülleri ile ileri seviye güvenlik katmanı yaratıyor. Single Connect’te kapsamlı bir siber güvenlik altyapısı oluşturmanızı sağlayan beş temel modül bulunuyor.

  • Yetkili Oturum Yöneticisi: Privileged Session Manager (PSM) olarak da adlandırılan bu modül şifreli yönetici oturumlarını kontrol etme, izleme ve denetleme yeteneğine sahiptir. Oturum yöneticisi, kullanıcılar ve hedef uç noktalar arasında bir ağ geçidi olarak çalışır. Komutlara ve bağlama duyarlı filtreleme özelliği dahil olmak üzere tüm oturumların günlüğe log'lanması ve kaydedilmesini sağlar.
  • Merkezi Parola Yönetimi: Yetkili oturumları doğrulamaya ve tamamı şifrelenmiş bir BT altyapısı yaratmaya yarayan bu modülde, şifreleri ağdan izole ederek koruyan şifre kasası özelliği de mevcuttur.
  • İki Faktörlü Kimlik Doğrulama: İngilizce tanımıyla Two-Factor Authentication (2FA) olarak da bilinen bu çözüm, ayrıcalıklı erişim talebi isteyen kullanıcılardan aynı anda yer ve zaman doğrulaması talep ediyor. Böylece bilinen 2FA çözümlerine göre daha gelişmiş bir şekilde yetkisiz erişimlerin önüne geçiyor.
  • Veritabanı Erişim Yöneticisi ve Dinamik Veri Maskeleme: Ayrıcalıklı hesapların ve ağ yöneticilerinin sistemde yaptıkları her şeyi kaydedip maskeleyen bu modül sayesinde ağdaki herhangi bir hareket hakkında soru işareti oluşmuyor.
  • Ayrıcalıklı Görev Otomasyonu: Privileged Task Automation (PTA) adıyla da anılan bu çözüm sayesinde rutin görevler otomatik hale getirilerek insan kaynaklı hatalara mahal vermeden, servis kesintileri ortadan kaldırılabiliyor.

Omdia’nın hazırladığı Selecting a PAM Solution, 2021-22 raporunda yer alarak uluslararası seviyede en iyi PAM çözümlerinden biri olduğunu ortaya koyan Single Connect, şirketlerin daha gelişmiş bir erişim ve veri güvenliği altyapısına sahip olmasını sağlıyor. Siz de Single Connect ile ilgili merak ettikleriniz öğrenmek için bizimle iletişim kurabilirsiniz.

Diğer Bloglar