Bilgisayarlar, sunucular, veritabanları ve web siteleri üzerinden sağlanabilen yetkisiz erişimleri engellemek için geliştirilen bir dizi önlemi ifade eden veri güvenliği, veri yığınlarının kaybolmasının ve bozulmasının da önüne geçiyor. Dijitalleşmenin iş dünyasının önemli bileşenlerinden biri haline geldiği günümüzde küçük, orta ve büyük ölçekteki herhangi bir şirketin önemli bir siber güvenlik unsuru olan veri güvenliğini ihmal etmemesi gerektiğinin altını çizmek gerekiyor. Siber tehditler karşısında gelişmiş bir veri ve erişim güvenliği tesis etmek için ise sayısız neden var.
Verileri kullanım süreleri boyunca yetkisiz erişimler sonucu ortaya çıkan veri ihlali vakalarından korumak amacıyla uygulanan veri güvenliği protokollerinde en önemli husus, güvenliğin ve gizliliğin entegrasyonunu doğru şekilde sağlamaktır. Birbiriyle ilişkili bu iki terim aynı anlama gelmemektedir ancak şirketler ve bireysel kullanıcılar açısından her ikisinin de benzer yükümlülükler doğurduklarını belirtmek bir hayli önemli. Söz konusu yükümlülükler şu şekilde sıralanabilir:
Fakat veri güvenliği ve gizliliğinin birbirlerinden ayrıldıkları noktalar da mevcut. Veri güvenliği, en yalın haliyle, veri gizliliği, bütünlüğü ve erişilebilirliği ile ilgili durumların güvence altına alınması olarak tanımlanabilir. Bu bağlamda veri güvenliği siber saldırı ve çevrim içi dolandırıcılık girişimlerine karşı koruma, veri şifreleme, veri ihlallerini önleme gibi uygulamaları içerir. Öte yandan veri gizliliği şirketlerin bireyler hakkında ne ölçüde veri toplayabileceğine ve bu verileri nasıl işleyebileceğine odaklanır.
Veri güvenliği açısından önemli konulardan biri de iç tehditlerdir. Veri ihlali olaylarında önemli bir paya sahip olan iç tehditler şirket çalışanlarının bilinçli ya da bilinçsiz şekilde şirkete ait verileri veya çalışanların kişisel verilerini dışarı sızdırmalarını içerebilir. İç tehditlerin kazara neden olduğu ihlallerde phishing saldırıları ön plana çıkarken bilinçli ihlal girişimleri veri sızdırıldıktan sonra fidye yazılımı saldırısına dönüşebilir.
Tam da bu noktada, Risk Based Security ve Flash Point tarafından hazırlanan 2021 yıl sonu raporu iç tehditler ile ilgili önemli veriler ortaya koyuyor. Rapora göre 2021’de Dış tehditler ve iç tehditlerin sebep olduğu yedi veri ihlali vakası, şimdiye kadarki en büyük veri ihlali olarak kabul edilen FBS Markets sızıntısı da dahil olmak üzere, 19 milyar verinin ifşa edilmesine neden oldu. Yine aynı raporda iç tehditlerden kaynaklanan veri ihlali vakalarının %53’ünün yetkili erişimin yetkisiz kullanıcılara verilmesinden kaynaklandığı aktarıldı.
Veri güvenliği gizlilik ve finansal güvence açısından önemli olduğu kadar, şirketlerin kamuoyu önündeki imajı için de son derece önemli. Ponemon Enstitüsü tarafından IBM ile ortaklaşa yürütülen Veri İhlali Maliyeti Çalışması, Amerika Birleşik Devletleri’nde bir veri ihlali vakasının yarattığı ortalama mali kaybın 8 milyon dolar olduğunu gösterdi. Nitekim bir veri ihlalinden etkilenen ortalama kullanıcı sayısı ise 25.575 olarak belirtildi.
Siber güvenliği tehdit eden unsurların her geçen dönem farklılaşması ve önlem almanın daha zor hale gelmesi kapsamlı bir veri güvenliği çözümü ihtiyacı yaratıyor. Detaylı bir veri güvenliği inşa edebilmek için şirketlerin farklı birimlerinin iş birliği içinde çalışması ve veri korumaya yönelik çözümlerin şirketin BT altyapısındaki tüm unsurlar gözetilerek oluşturulması gerekiyor. Bu noktada veri güvenliği maliyetini gelecekteki yatırım getirilerini düşünerek değerlendirmenin önemli olduğunu da vurgulamakta yarar var.
İşletmeler için veri güvenliği iş sürekliliğini sağlamak, veri ihlallerinin önlemek ve yetkisiz erişimlerin önüne geçmek açısından oldukça önemli. İş dünyasının büyük oranda dijitalleştiği ve yeni teknolojilerin farklı iş modellerine entegre edildiği düşünüldüğünde veri güvenliğinin şirketlerin en mühim gündemlerinden biri olduğu rahatlıkla söylenebilir. “Veri yeni petroldür.” sözünden hareketle ekonomik hareketliliğin ve şirketlerin kar etme potansiyellerinin sürdürülebilirliği açısından da veri güvenliğinin kritik bir konumda olduğunu söylemek mümkün.
Şirketlerin finansal kayıplar yaşamamak, kamuoyuna karşı sorumluluklarını yerine getirmek ve güven oluşturabilmek için siber riskler karşısında doğru önlemler alıp tüm BT altyapısını hem kendisi hem de paydaşları için güvenli hale getirmesi gerekiyor. Nitekim bugünün iş dünyasında yer alan şirketler de veri güvenliği sağlayamadıkları takdirde iş akışlarının ciddi şekilde tehlikeye girebileceğinin farkında.
The Economist’e göre zettabyte çağında yaşıyoruz, bulut ve veri merkezlerinden gelen veri miktarı inanılmaz boyutlara ulaşmış durumda. Bu nedenle kritik verileri muhafaza ederken ve aktarırken her aşamada en iyi şekilde korumak gerekiyor. Söz konusu korumayı sağlayabilmek için de yetkisiz erişimleri denetlemek ve iç tehditleri kısa sürede fark edip gerekli önlemleri almak büyük önem taşıyor.
Veri ve erişim güvenliğine dair en önemli konulardan biri de iç tehditler. Negligent insiders (ihmalkârlar), malicious insiders (kötü niyetli kişiler) ve credential insiders (kimlik bilgilerini sızdıranlar) olarak üçe ayrılan iç tehditler, şirketlerin yüksek boyutlarda veri kayıpları yaşamalarına sebep olabilir. İhmalkârlar genelde dijital farkındalığı yüksek olmayan ve bu nedenle phishing saldırıları başta olmak üzere, farklı siber saldırılara kolayca maruz kalabilen çalışanlardan oluşuyor. Kötü niyetli kişiler bilerek veri sızdırarak şirketlerin fidye yazılımı saldırıları ile karşı karşıya kalmasını sebep oluyor. Kimlik bilgilerini sızdıranlar ise şirket çalışanlarının kişisel verilerini üçüncü kişilerle paylaşarak veri sızıntısı yaratıyor. Bu grup fidye yazılımı saldırılarının da önünü açarak, tıpkı kötü niyetli kişiler gibi, şirketlerin siber tehditlere açık hale gelmesini kolaylaştırıyor. Nitekim şirketlerin siber saldırılara açık hale gelmesi de iş akışlarının sekteye uğrama ihtimalini hatırı sayılır seviyede artırıyor.
Söz konusu veri güvenliği sorunlarına engel olmanın yolu ise yetkili ve yetkisiz erişimleri denetleyen Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM) uygulamaları kullanmaktan geçiyor.
PAM çözümleri şirketlerin siber güvenlik stratejilerinde önemli rol üstleniyor. Erişimleri denetlemek ve daha güvenli kılmak veri güvenliği tesis etmenin ilk adımlarından biri olduğu için Ayrıcalıklı Erişim Yönetimi sistemleri kapsamlı bir çözüm sunuyor.
Kron olarak geliştirdiğimiz PAM çözümü Single Connect de erişim ve veri güvenliği sağlayan gelişmiş modülleri ile ileri seviye güvenlik katmanı yaratıyor. Single Connect’te kapsamlı bir siber güvenlik altyapısı oluşturmanızı sağlayan beş temel modül bulunuyor.
Omdia’nın hazırladığı Selecting a PAM Solution, 2021-22 raporunda yer alarak uluslararası seviyede en iyi PAM çözümlerinden biri olduğunu ortaya koyan Single Connect, şirketlerin daha gelişmiş bir erişim ve veri güvenliği altyapısına sahip olmasını sağlıyor. Siz de Single Connect ile ilgili merak ettikleriniz öğrenmek için bizimle iletişim kurabilirsiniz.