Veri güvenliği nedir? İşletmeler için kritik önlemler ve stratejiler

Bireysel ya da kurumsal faaliyetler sırasında ortaya çıkan bilgiler ve sonuçlar ile bu faaliyetler sırasında elde edilen üçüncü taraf bilgileri veri olarak adlandırılır. Büyük bir hızla dijitalleşen dünyada bireyler ve şirketler yoğun bir şekilde veri üretmekte veya elde etmektedir. Veri kavramının en önemli özellikleri arasında büyük yığınlar oluşturması ve hızla artan değeri vardır.

Veri güvenliği nedir?

Veri kümelerinin değerli olması onlara erişmek ve kullanmak isteyenlerin iştahını kabartan bir unsurdur. Günümüz dünyasının veriye dayalı ekonomik değerler üretebilen yapısı onu değerli bir maden gibi aranan konuma sokmuştur. Bütün gözlerin üzerinde olduğu, elde edebilmek için aynı anda çok sayıda rakibin yarıştığı verilerin sıkı sıkıya korunması kaçınılmaz olmaktadır.

Bu noktada devreye giren veri güvenliği kavramı işletmelere önemli görevler yükler. Verilerin kötü amaçlı kişilere ve yazılımlara karşı korunması, öncelikle izinsiz erişimin engellenmesi ile mümkün olabilir. Genel olarak bu amaca yönelik olarak atılan her türlü adım veri güvenliği olarak kabul edilir.

Veri güvenliği nedir sorusunu cevaplamak üzere daha kısa ve somut bir tanım yapmak gerekirse veri güvenliği, dijital ortamda bulunan kişisel, kurumsal ya da üçüncü taraf verilerine izinsiz erişimin engellenmesi amacıyla alınan koruyucu önlemlerin toplamı olarak ifade edilebilir.

Veri güvenliği olarak anılan iş ve işlemler ile alınan tedbirler oldukça geniş bir kapsama sahiptir. Bu amaçla kullanılan ağa dahil her türlü cihazın ve depolama birimlerinin fiziksel güvenliği, yönetsel kontrolü, erişim sınırlamaları, kurumsal politikalar ve konuya ilişkin her türlü prosedür veri güvenliği kapsamına dahil olan unsurlardandır.

İngilizce data security, dilimizdeki karşılığı veri güvenliği olan kavramın yeterli düzeyde olabilmesi alınan önlemlerin kapsamına ve kalitesine ciddi şekilde bağlıdır. Verilerin korunması ve yetkisiz erişim yoluyla veri kaybının önlenmesi, olası riskleri tamamen bertaraf edecek şekilde gerekli tedbirlerin alınmasına bağlıdır. Verileri güvenli hale getirmek amacıyla olası saldırı yöntemlerini belirlemek ve uygun önlemleri almak son derece önemlidir.

Veri yığınlarına yönelik saldırı yöntemleri arasında onları şifreleyebilen veya yok edebilen fidye yazılımı gibi saldırgan unsurlar ile verileri değiştirebilen ya da bozabilen yazılımlar olabilir. Ayrıca verilerin kısmen veya tamamen çalınması da bir başka saldırı yöntemidir. Veri güvenliğinin kapsamına dahil olan tedbirler alınırken saldırı amacı ve yöntemleri hakkında bilgi sahibi olmak ve bunlara karşı uygun önlemleri almak son derece önemlidir.

Veri güvenliğinin sağlanması ya da verilerin korunması, veri bağlamının doğru şekilde anlaşılmasına, yetkisiz kullanımın engellenmesine ve risklerin minimize edilmesine fazlasıyla bağlıdır. Siber saldırılar ve tehdit unsurlarının günümüz dünyasında hızla yayılması dolayısıyla veri güvenliği ile ilgili tedbirlerin ciddiyetle uygulanması gerekir.

Veri güvenliği türleri

Etkin bir veri güvenliği yönetimi için başlangıçtan itibaren elde bulunan verilerin hassasiyeti ve organizasyonun yasal yükümlülükleri çerçevesinde politikalar geliştirilmesi zorunludur. Herhangi bir veri ihlalinden, hırsızlığından veya daha farklı saldırı yöntemlerinden korunmanın ilk adımlarının doğru atılmış olması gerekir. Bu aşamadan sonra veri güvenliği türleri konusunu irdelemek ve ihtiyaçların neler olduğunu belirlemek yerinde olabilir.

Erişim kontrolü; elde mevcut verileri korumanın en iyi yollarından biri bu verilere kimlerin erişebileceğini kontrol etmektir. Verilere erişme hususunda yetki tanımları net bir şekilde belirlendiğinde güvenlik unsurunun ilk adımı doğru bir şekilde atılmış olur. Erişim kontrolünün çalışma prensibi ile ilgili iki temel süreçten söz edilebilir.

·       Kimlik doğrulaması: Veri erişimi talep eden kişinin gerçekten yetkili kişi olup olmadığı

·       Yetki seviyesi: Kimlik doğrulama adımını geçen kişinin hangi verilere ya da kaynaklara erişebileceği

Identity and Access Management (IAM) yani kimlik ve erişim yönetimi bileşenlerinden birisi olan kimlik doğrulama ve yetkilendirme işlemi oldukça detaylı kontrol mekanizmaları ile denetlenir. Üst düzey güvenlik seviyesinde koruma gerektiren mobil bankacılık gibi uygulamalardan aşina olunan çok faktörlü kimlik doğrulama, minimum parola uzunluğu, düzenli parola değişikliği mecburiyeti gibi süreçler etkin denetim için gereken unsurlar arasındadır.

Şifreleme; çoğu zaman düz bir metin ile ilgili olarak oluşturulan şifreleme işlemi bir algoritma aracılığıyla düzensiz karakterlere dönüştürmeyi ve okunamaz hale getirmeyi hedefler. Söz konusu metin bu haliyle şifre anahtarına sahip olmayan kişiler tarafından anlaşılamaz bir durumdadır. Böylece veri şifreleme ile ilgili olarak beklenen amaç gerçekleşir ve elde edilen belge kendi başına bir işe yaramayacağından koruma faaliyeti sonuç vermiş olur.

Veri maskeleme; verilerin okunamayacak şekilde gizlenmesi, perdelenmesi işlemidir. Maskelenmiş veriler her ne kadar gerçek verilere benziyor olsa da buna erişen kişinin buradan bir bilgi elde etmesi söz konusu olmaz. İlk bakışta şifreleme ile benzeşiyor gibi görünmekle birlikte temelde oldukça farklı uygulamalardır. Hassas veriler için uygun bir koruma yöntemi olmayabilir.

Veri yedekleme; sistem verilerini içeren dosya ve veri tabanlarına ait kopyaların birden fazla konumda yedeklerinin bulundurulması sıklıkla başvurulan bir önlemdir. Böylece asıl verilerin kaybedilmesi ya da bozulması durumunda diğer konumda korunanlar kullanılabilir. Felaket kurtarma planları kategorisinin en önemli unsurlarından birisi olan veri yedekleme, kurumun verilerini tamamen kaybetmesi yerine bir önceki noktaya dönmesini sağlar.

Veri kaybından korunma; kurumsal veri güvenliği bakımından oldukça değerli olan veri kaybından korunma araçları normal dışı durumlar için önemli bir hazırlık anlamına gelir. Data Loss Prevention (DLP) araçları erken uyarı ve otomatik yanıtlar oluşturmak üzere diğer teknolojilerle iş birliği halinde çalışır.

Veri güvenliği unsurlarının herhangi biri veya birden fazlası işletmelerde veri güvenliği ihtiyaçları doğrultusunda planlanabilir. Yüksek güvenlik düzeyine gereksinim duyan veriler ile çalışan kurumlar üst seviye veri güvenliği katmanları ile koruma sağlar. Bu çerçevede verileri yönetmek ve depolamak amacıyla veri sınıflandırması yapılması genel bir kural olarak kabul edilebilir. Çoğu durumda veriler dört standart veri sınıflandırma kategorisi üzerinden değerlendirmeye tabi tutulur.

·       Kullanıcı verileri

·       Kamuya açık veriler

·       Hassas veriler

·       Gizli veriler

Homojen bir veri tanımı olmadığı gibi güvenlik unsurlarının da tek bir anlayışa göre düzenlenmesi pratikte karşılaşılan bir durum değildir. Kurum ve kuruluşlar kendi beklentileri ve veri güvenliği stratejileri doğrultusunda kullanılacak araçlardan politikalara kadar farklı kombinasyonlarla güvenlik koruması oluşturur.

Veri güvenliği neden önemlidir?

Şirketlerin elde etmiş olduğu veriler tıpkı sermayeleri ya da diğer varlıkları gibi bir değere sahiptir. Dijital ortamdaki veriler bir yandan ileriye dönük adımların doğru atılması için karar süreçlerinde etkili olur. Diğer yandan rakiplerin veya kötü niyetli kişilerin eline geçmesi durumunda beklenmeyen zararlar ile karşılaşmak kaçınılmaz hale gelebilir.

Yukarıda sayılanların yanı sıra elde edilen ve korunmaya çalışılan veriler ile şirketler iş süreçlerini doğru yönetmeyi, müşteri memnuniyeti, pazarlama ve operasyonel verimlilik gibi konularda başarılı sonuçlar almayı hedefler. Bunun bir sonucu olarak gelirlerin ve şirket karlılığının arttırılması ana hedeflerden birisidir.

Sonuç olarak veri güvenliği, bir işletmeye ait verilerin gizliliğini, bütünlüğünü ve kendi menfaatleri doğrultusunda serbestçe kullanılabilirliğini korumanın anahtarıdır. Yetkisiz erişim durumunda verilerin istenmeyen kişilerin eline geçmesi işletme hedeflerini baltalayacak önemli bir zarar unsuru olacaktır.

Veri güvenliğinin bir başka önemli yanı ise yasal düzenlemelere uymak bakımından karşı karşıya olunan zorunluluktur. Gerek Türkiye’de gerekse diğer ülkelerde kişisel verilerin korunması ile ilgili önemli yaptırımlar söz konusudur. Ayrıca verilerin gizliliğine dikkat eden işletmeler müşterileri ile arasında kendi lehlerine önemli bir güven unsuru ilave edecektir. Şirket imajını koruyan ve rekabette öne geçmede avantaj sağlayan bu husus da oldukça önemlidir.

Veri güvenliği tehditleri ve riskleri

Veri güvenliği tehditleri arasında siber saldırılar sıklıkla karşılaşılan durumlardandır. Siber saldırı, işletmelerin bilgisayar sistemlerine ve dijital ağlarına zarar vermek amacını güdebilir. Ayrıca bu sistemlerden verileri çalmak da bir başka hedef olabilir. Siber saldırı atakları çoğu zaman kötü niyetli kişiler ve onların kontrolü altındaki yazılımlar tarafından gerçekleştirilir. Siber saldırı atakları veri güvenliği açısından büyük tehditler oluşturur.

Veri sızıntısı, kurumların elinde bulunan hassas verilerin siber suçlara aşina olan kişilerin eline geçmesi ile sonuçlanan bir güvenlik açığıdır. Bazı durumlarda internet ya da e-posta gibi yollardan kaynaklanan veri sızıntısı kimi zaman da USB bellek gibi donanımsal eklentiler ile gerçekleşir. Veri sızıntısı başlıca üç şekilde gerçekleşebilir.

·       Sistemsel açıklar: Veri sızıntılarının önemli sebeplerinden birisi gerektiği gibi dizayn edilmemiş veri güvenliği sistemleri olabilmektedir.

·       Siber saldırılar: Kötü niyetli kişi ya da bunların kontrolündeki yazılımlar aracılığıyla oluşturulan siber saldırılar veri sızıntısı ile sonuçlanabilir.

·       İnsan hataları: Veri güvenliği sisteminde açık olmamakla birlikte insan eliyle oluşan hatalar da önemli veri sızıntısı sebepleri arasında sayılabilir.

Fidye yazılımı olarak bilinen ve talep edilen fidye ödenene kadar kullanımı engelleyen kötü amaçlı yazılımlar sanılandan daha sık karşılaşılan bir sorundur. Kimi zaman bir reklama tıklamak bu yazılımın sisteme ilk adımı atmasına neden olabilir. Kötü niyetli kişiler bu yazılımları elektronik posta ekinde göndererek daha yaygın bir şekilde kullanıcı ağına sirayet etmeye çalışabilir.

Son zamanlarda yaygın olarak kullanılan bir başka yöntem ise kimlik avcılığıdır. Kimi zaman saygın bir kurum, banka ya da kişi görünümüne bürünen saldırganlar kişilerin kredi kartı numarası veya şifresi gibi hassas verilerine ulaşmayı hedeflemektedir. Söz konusu verilere ulaşmaları halinde kişilerin ciddi şekilde zarara uğramaları mümkün olmaktadır.

Veri hırsızlığı veya dolandırıcılık gibi yöntemlerle dışarıdan kaynaklanan problemlere tedbir alan kurumlar kimi zaman içeriden gelecek zararlara karşı hazırlıksız yakalanabilmektedir. Kötü niyetli olmamakla birlikte bir personelin ihmali bazen ciddi zararlarla sonuçlanabilir. Herhangi bir hassas veriyi veya şifre bilgilerini yakın bir arkadaşı ile paylaşan bir personel kimsenin tahmin edemeyeceği zararların ilk adımını atmış olabilir.

İşletmelerde veri güvenliği stratejileri

İşletme bünyesine uygun ve kapsamlı bir veri güvenliği stratejisi oluşturmak deneyimli bir ekiple ortaya çıkarılabilecek önemli bir iştir. Standartlara ve şirket gereksinimlerine uygun kontrol mekanizmalarının ve politikaların oluşturulması ancak yetkin bir ekibin analiz süreci sonucunda gerçekleştirilebilir. Bu amaçlara uygun olan doğru araç setinin seçilmesi veri güvenliği stratejilerinin ilk adımı sayılabilir.

Bir işletmede veri güvenliği stratejisi ile ilgili olarak yapılacak işlemlerde öncelikle şu hususların irdelenmesi yerinde olacaktır.

·       Fiziksel güvenlik; verilerin saklanacağı sunucularla ilgili olarak yapılacak tercihler son derece önemlidir. Sunucuların işletme bünyesinde, kurumsal bir veri bloğunda ya da bulut sistemi üzerinde olması farklı sonuçlar doğuracak önemli kararlardır.

·       Erişim yönetimi; verilerin bulunduğu sunuculara sağlanacak erişimin yetkilendirilmesi ve bunun doğru bir şekilde yapılması en önemli hususlardandır. Olabildiğince sınırlı kişiye ve gerektiği kadarıyla sağlanacak erişim imkânı veri güvenliğinin olmazsa olmaz kurallarındandır.

·       Personel eğitimi; gizlilik, güvenlik ve siber saldırılar hakkında bilgi sahibi olan personel ile verilecek hizmet verilerin korunması anlamında büyük öneme sahiptir.

·       Uygulama güvenliği; sunucular üzerinde bulunan her türlü programın lisanslı olması ve yayımlanan tüm güncellemelerinin titizlikle takip edilmesi siber tehditler ile mücadele ve veri güvenliği bakımından önemli olan hususlardandır.

·       Yedekleme; bir veri setinin periyodik olarak yedekleniyor olması ve bu yedeklerin asıl olanlardan farklı adreslerde bulunması işletmeyi büyük zararlardan koruyabilir. Herhangi bir olumsuzluk halinde en kötü ihtimalle son kayıt ile güncellenen veri seti işletmeyi yakın bir geçmişteki noktaya götürerek daha büyük kayıplardan uzak tutar.

·       Dayanıklılık;son yıllarda oldukça popüler olan bir stratejik unsurdur. Siber saldırıya uğrayan bir kuruluşun saldırı sonrasında oluşan duruma uyum sağlama ve toparlanma yeteneği dayanıklılık olarak adlandırılır.

Yasal düzenlemeler ve uyumluluk

GDPR (General Data Protection Regulation) olarak bilinen veri güvenliği yasası Avrupa Birliği sathında geçerli olan önemli bir yasal düzenlemedir. Genel Veri Koruma Yönetmeliği olarak dilimize çevrilebilecek olan bu düzenleme dünya üzerindeki önemli regülasyonlardan birisidir.

HIPAA olarak kısaltılan (Health Insurance Portability and Accountability Act) Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası veri güvenliği bölümlerini de içeren ve temelde sağlık sigortasının düzenlemesine odaklanan bir ABD federal yasasıdır. İnternet üzerinden sağlık gizliliği ihlallerinin gerçekleşmesi ihtimaline karşılık tüketicilere sağlık bilgilerinin açıklanmasını kontrol etme hakkı tanır.

Amerika Birleşik Devletlerinde interneti hedef alan en kapsamlı veri gizlilik yasası CCPA olarak anılan California Consumer Privacy Act 2018 yılından beri yürürlüktedir. Ve ülkede federal düzeyde bir benzeri halen yoktur.

Avrupa Birliği ve Amerika Birleşik Devletleri ile ilgili bu örneklerin yanı sıra Türkiye’de de 6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılından bu yana yürürlüktedir. Bu doğrultuda yasal sınırlamalara uygun bir veri yönetimi dünyada olduğu kadar ülkemizde de önemlidir.

Veri güvenliğinin geleceği: Yeni trendler

Veri güvenliği konusunda gelecek projeksiyonu yeni nesil çözüm unsurları ile şekillenmeye aday görünüyor. Bu alandaki en önemli faktör ise kendisine pek çok kullanım alanı bulan yapay zekâ (AI) olarak ifade edilebilir. Yığın veri kümelerini çok daha kolay denetleyebilen ve işleyen AI, yakın gelecekte başrol oyuncusu olarak hızlı karar alma süreçlerine dahil olacak.

Veri güvenliği trendi arasında sayılabilecek olan bulut güvenliği, benzerlerinin başarısı ile bu alana dahil olan önemli bir unsurdur. Kurumların kendi verilerinin yanı sıra pek çok uygulaması da günümüz koşullarında bulut teknolojisinde yer alıyor. Veri güvenliğinin önemli parametrelerinden birisi olan bulut teknolojisi yeni nesil koruma uygulamalarının ev sahibi olarak emin adımlarla ilerliyor.

Veri güvenliği trendlerinden olan quantum geleneksel teknolojilerin şimdiden önüne geçmiş durumda. Şifreleme algoritmalarının eklenmesi ile veri güvenliği konusunda benzersiz bir noktaya ulaşacağı öngörülüyor.

Veri hacmi büyüdükçe değeri artan bir hale gelirken buna göz diken ve haksız kazanç peşinde koşan kötü niyetli kişiler de harekete geçmekte gecikmez. Veri güvenliği uygulamaları hızla geliştirilirken aynı hızla teknolojik imkanlardan yararlanan korsanlar da yeni tehditlerle verilerin peşindeki yerini alıyor.

Bu noktada kamu otoritesinin devreye girerek yasal düzenlemeler ve caydırıcı cezalar ile verilerin korunmasına katkıda bulunması zorunlu bir ihtiyaç olarak düşünülebilir. Bununla birlikte işletmelerin veri güvenliği ile ilgili açıklarını kapatması ve ihtiyacı olan koruma kalkanını mutlaka oluşturması oldukça önemli bir çözüm olacaktır.