BT güvenliği, bilgi güvenliği ve veri güvenliği, aynı önemli görevi tanımlayan üç terimdir: Veri miktarının patlayıcı bir hızla arttığı günümüzde, KOBİ’ler şirket ve üretim açısından kritik verilerini mümkün olan en iyi şekilde korumalıdır. Bu bağlamda nelere dikkat etmeniz gerektiğini burada okuyabilirsiniz.
Bilgi güvenliği
Bilgi güvenliği terimi, bilgilerin korunmasına yönelik tüm teorileri ve önlemleri kapsar. Amacı tehditleri bertaraf etmek, zararları önlemek ve riskleri en aza indirmektir. Bilgi güvenliğinin önemli bir alanı da veri güvenliğidir. Büyük Veri (Big Data) ve GDPR (DSGVO) Reformu konuları, bu alanı geniş bir kamuoyunun odağına taşımıştır.
Varonis Global Data Risk Report 2018 raporuna göre, bir şirkette tek bir kötü amaçlı yazılım saldırısının yol açtığı zararın onarılma maliyeti ortalama 2,4 milyon dolar civarındadır. Bu nedenle, riskleri zamanında önlemek ve teknolojik veri güvenliği önlemlerine yatırım yapmak çok daha akıllıca bir yaklaşımdır. Nitekim birçok şirket de bunu yapmaktadır. Kurumların veri ve bilgi güvenliğine yönelik toplam harcamaları son iki yılda 102 milyar dolardan 124 milyar dolara yükselmiştir.
KOBİ’lerin neden güvende olması gerekir?
“Bir şirketin saldırıya uğrayıp uğramayacağı değil, ne zaman uğrayacağı meselesidir. Üstelik bu, şirketin büyüklüğünden bağımsızdır.”
Konica Minolta Business Solutions Germany GmbH BT Güvenliği Müdürü Florian Goldenstein, günümüzde büyük şirketlerin siber saldırılara karşı giderek daha iyi hazırlandığını, bu nedenle siber suçluların odağının giderek küçük ve orta ölçekli işletmelere (KOBİ’lere) kaydığını açıklıyor.
Yakından bakıldığında, birçok şirket aslında “kolay hedef” durumundadır. Aynı raporda, şirketlerin yaklaşık %75’i 1.000’den fazla eski ve hassas dosyayı yönettiklerini itiraf etmiştir; bu da büyük bir güvenlik riski anlamına gelir. Şirketlerin %41’i ise kredi kartı numaraları veya tıbbi dosyalar gibi tamamen korumasız hassas veri tabanlarına sahip olduklarını belirtmiştir.
2025 yılına kadar beklenen veri artışı muazzam
Statista GmbH’nin her yıl üretilen dijital veri miktarına ilişkin öngörülerine göre, güvenlik konusu bugün olduğu kadar gelecekte de büyük önem taşımaya devam edecektir. Veri hacminin 2018’de yaklaşık 33 zettabayttan 2025’te 175 zettabayta çıkması beklenmektedir. Karşılaştırma yapmak gerekirse, bir zettabayt = 1.000 exabayt, yani 1 rakamının yanına 21 sıfır eklenmiş hâlidir.
IDC ve Seagate tarafından hazırlanan Data Age 2025 çalışması da 2025’e kadar veri miktarında devasa bir artış öngörmektedir. Bugüne kadar dünya genelinde üretilen verilerin çoğu son kullanıcılar tarafından sağlanırken, gelecekte bu durumun şirketler lehine değişmesi beklenmektedir. Uzmanlar, 2025 yılında küresel verinin yaklaşık %60’ının şirketler tarafından üretileceğini tahmin etmektedir. Ayrıca IoT (Nesnelerin İnterneti) sayesinde, son kullanıcılar 2025’te günde ortalama 4.800 kez ağ bağlantılı cihazlarla etkileşimde bulunacaklardır. Ve bu verilerin tamamının korunması gerekecektir.
Veri artışı, veri koruması ve veri güvenliğini gerektirir
Artan veri hacmini güvenli bir şekilde yönetebilmek için iki kavramın birbiriyle entegre çalışması gerekir: veri koruması (data protection) ve veri güvenliği (data security). Bu iki terim sıklıkla birbirinin yerine kullanılsa da anlamları biraz farklıdır:
Veri korumasının tanımı:
Her vatandaşa bilgiye ilişkin kendi kaderini belirleme hakkı tanır ve kişisel verilerin kötüye kullanılmasını önler. Hangi verilerin toplanıp işlenebileceği sorusu da veri koruması kapsamındadır.
Veri güvenliğinin tanımı:
Yönetimsel ve kurumsal verilerin korunmasına yönelik teknik ve organizasyonel önlemleri ifade eder. Hangi adımların verileri korumak için atılacağını belirler. “Bilgi güvenliği” terimi ise tüm türde depolanmış bilgileri kapsar.
Veri güvenliği bütünsel hedefler belirler
Kişisel veriler, üretim, geliştirme veya müşteri bilgileri fark etmeksizin; veri güvenliği, bu değerli bilgilerin siber saldırıların cazip hedefi hâline gelmesini önlemek için çeşitli unsurları dikkate alır. Bu doğrultuda kapsamlı hedefler belirlenir:
- Verilerin zarar görmesi, silinmesi veya çalınması gibi kötüye kullanımların önlenmesi
- Dış saldırılara (ör. siber saldırılar) karşı en yüksek düzeyde koruma
- Çalışan erişim ve yetkilerinin düzenlenmesiyle iç güvenliğin sağlanması (gizlilik ilkesi)
- Tüm şirket verilerinin güvenli biçimde her zaman erişilebilir olması
- Verilerin doğruluğunun (authenticity) garanti altına alınması
- Verilerin bütünlüğünün (integrity) korunması
Profesyonel veri güvenliği kavramları temel önemdedir
Stratejik olarak planlanan veri güvenliği konseptleri bu hedeflerin tamamını kapsar ve bütünsel bir güvenlik anlayışına dayanır. Çünkü BT uzmanlarının deneyimiyle sabittir:
“Bir veri size ne kadar fayda sağlıyorsa, başkası için de o kadar değerlidir.”
Günümüzde BT altyapıları son derece karmaşıktır. Şirketlerin iş akışları uluslararası boyutta ilerler, veriler sınırlar ötesinde paylaşılır. Yeni çalışma yöntemleri verimliliği artırsa da aynı zamanda kurumları daha kırılgan hâle getirir.
Veri güvenliği önlemleri – bu beş temel konuyu biliyor musunuz?
Kapsamlı bir güvenlik konsepti, birbirini tamamlayan çeşitli önlemler içerir. Bunların en önemlilerinden beşi şunlardır:
1. Ağ veya çevre güvenliği (Perimeter Security):
Güvenlik duvarları (firewall) gibi sistemlerle yetkisiz ağ erişimlerini engellemek ve verileri şifreleme teknolojileriyle korumak.
2. Uç nokta güvenliği (End-point Security):
Şirket içi parola koruması, antivirüs ve anti-spam önlemleri.
3. Kimlik doğrulama teknolojisi (Authentication):
Tüm kurumsal verilerin güvenli erişim kontrolüyle korunması.
4. Veri kaybına karşı koruma (Data Loss Protection):
Siber saldırılar, elektrik kesintileri, kısa devreler veya yangın gibi durumlara karşı yedekleme araçları ve yazılımlarla güvenli kopyaların oluşturulması.
5. Güvenli veri paylaşımı (Secure Data Exchange):
Hem dahili hem de harici iletişimde güvenli veri aktarımının sağlanması.
İyi güvenlik konseptleri “insan faktörünü” de dikkate alır
Güvenlik tehditleri yalnızca kötü amaçlı yazılımlardan veya bilgisayar korsanlarından ibaret değildir. Bu nedenle profesyonel güvenlik yaklaşımları, tüm çalışanların düzenli olarak eğitilmesini de kapsar.
İnsan faktörü en zayıf halkalardan biridir:
Yetersiz farkındalık nedeniyle zararlı eklerin açılması veya tehlikeli bağlantılara tıklanması en yaygın hatalardandır.
Florian Goldenstein şöyle der:
“Satın alma, satış, müşteri hizmetleri veya geliştirme fark etmez; her çalışan, veri güvenliğinin şirketin başarısı için temel bir unsur olduğunu bilmelidir.”
Her çalışanın, kurum içi veri güvenliği standartlarını tanıması ve güvenlikle ilgili bir olay yaşandığında ne yapacağını bilmesi gerekir.
Şeffaf bir BT altyapısı: sağlam güvenliğin temeli
Veri güvenliğinin etkili şekilde işlemesi için şeffaf ve düzenli bir BT altyapısı şarttır.
Bunun için şu alanlar kritik öneme sahiptir:
- Şirket bünyesindeki sunucular / korumalı veri merkezleri
- Bulut çözümleri
- Güvenlik / sistem arızalarına karşı koruma
- Risk analizi / koruma gereksinimi analizi / yetkilendirme yönetimi
- Uç nokta güvenliği ve mobil cihaz kontrolü
- Ağ güvenliği
Veri güvenliği için “itfaiye ekibi” gibi tepki: Olay müdahalesi (Incident Response)
Bir siber saldırı gerçekleştiğinde, olaya hızlı tepki verebilen sistemler büyük önem taşır. Bu nedenle KOBİ’ler, stratejik olarak planlanmış Incident Response (olay müdahale) süreçlerini kurmalı ve güçlendirmelidir.
Saldırı anında kötü amaçlı yazılımlar hızla tespit edilip hasar minimize edilebilir.
Saldırı sonrası “lessons learned” (ders çıkarma) aşamasında ise adli bilişim yöntemleriyle açık noktalar belirlenir, saldırının izleri analiz edilir ve benzer tehditlere karşı gelecekte daha güçlü koruma stratejileri geliştirilir.
Veri güvenliği önlemlerini düzenli olarak gözden geçiren ve sistemlerini test eden KOBİ’ler uzun vadede daha güvenli çalışır. Böylece değerli veriler korunur ve kurumun mevcut güvenlik durumu her zaman net bir şekilde izlenebilir.
