Bilgi güvenliğini geliştirmenin püf noktaları açıklandı

Son yıllarda veriye olan bağımlılık büyük ölçüde arttı. Birçok şirketin en büyük sermayesi sahip oldukları veriler olmaya başladı. Veriler artık en değerli madenlerden dahi daha kıymetli. Ancak birçok kişi ve kurum bu en değerli varlığı için yeterli önemi göstermiyor. Verilerin eskisinden çok daha sıkı bir şekilde korunması, veri sızmalarına karşı gerekli önlemlerin alınması gerekiyor.

Geçtiğimiz günlerde Citrix bir açıklama yaparak kişileri ve kurumları uyararak dikkat etmeleri gereken noktaları açıkladı.

Bilgi güvenliğini iyileştirmek için gerekli olan şeyler ve püf noktaları şöyle:

• Hangi verilerin hassas, içsel veya kişiye özgü tanımlayıcı bilgi niteliğinde olduğu belirleyen, katı ve tüm firmayı kapsayan veri sınıflandırması. Her veri eşdeğer değildir. Ancak çoğu firmada yürürlükte olan sağlam bir sınıflandırma sistemi bulunmaz. Bu yüzden hangi veri gruplarının ne kadar bağlantılı olduğu konusunda net bir fikir edinemezler.
• Hassas bilgileri takip etmek için gerekli teknik araçlar (ör. kişiye özgü tanımlayıcı bilgi): bu özgün verilerin veritabanlarında ve içerik yönetim sistemlerinde (CMS) güvenli bir şekilde depolanması; eklemeler, güncellemeler ve değişikliklerin ise takip edilmesi ve platfromlar arasında tutarlılık sağlanması gerekiyor. Bu genellikle izleme ve varlık yönetim araçlarının kurulması anlamına geliyor.
• Hassas bilgilere güvenli ve görev bazlı erişim için BT güvenlik sistemleri: bilgi güvenliğinin bu yönü; hedeflenen saldırılar ve içten gelen tehditlere karşı veri kaybının önlenmesi için Kimlik ve Erişim Yönetimi (IAM), kurumsal kaynaklara VPN tabanlı erişim ve veri sızıntısı önleme (DLP) araçlarının kullanılmasını gerektiriyor.
• İçerik İş Birliği Platformu (CCP): veri kaybı riskini en aza indirerek çoklu bulut ortamlarında dahi merkezi olarak kontrol edilen güvenli bilgi paylaşımına olanak sağlayan bir platform.
• Sanal çalışma alanları ve uç nokta yönetimi: veri güvenliği ihlalleri çoğunlukla kurumsal şirketlerin son kullanıcısından kaynaklanmakta. Bu sebeple kuruluşlar, tüm kaynaklar için erişim ve kullanımı merkezden kontrol etmelerini sağlayan sanal bir iş alanı platformu vasıtasıyla son kullanıcı erişimini kurumsal kaynaklarla bağdaşık hale getirmeli. En iyi şekilde uygulandığı senaryoda tamamlayıcı olarak mobil uç noktaların yönetiminin ve güvenliğinin sağlanması için kurumsal mobilite yönetimine yönelik bir çözüm (Windows 10’un yanı sıra) geliştirilmeli.
• Yazılım tanımlı bir çevre: uygulama dağıtımı kontrol cihazları ve analiz yazılımlarıyla sağlanan akıllı ağ oluşturma, bağlamsal kontrolü ve davranış izlemeyi geleneksel veri merkezinin ötesine taşıyor. Bu, BT’nin engelleyici önlemler alarak veri güvenliğini sağlaması, ihlalleri tespit etmesi ve firmanın karşılaşacağı riski azaltmasına olanak tanıyor.
• Diğer yandan Mayıs 2018’de yürürlüğe girecek Genel Veri Koruma Yönetmeliği (GDPR) diğer bir önemli konu. GDPR, AB vatandaşlarıyla iş yapan ve onlara özgü tanımlayıcı bilgileri saklayan veya işleyen tüm kuruluşların son teknoloji veri koruma yöntemleri kullanmalarını gerektiriyor. Yönetmelik, belirli kuruluşların Veri Koruma Memuru (DPO) adında yeni bir görevlendirme yapmalarını da istiyor: devlet makamlarının yanı sıra yüksek hassasiyete sahip kişiye özgü tanımlayıcı bilgileri geniş çapta işleyen kuruluşların DPO bulundurması zorunlu. Bunlara örnek olarak hastaneler veya sigorta firmaları gösterilebilir.
• Bütüncül bir güvenlik anlayışı: Modern ekonomide verilerin gittikçe artan bir öneme sahip olduğu dikkate alındığında kuruluşların bilgi güvenlik süreçleri, araçları ve görevlerini gözden geçirmesi gerektiği açık. Değerli bilgilerin korunması, riskin yönetilebilmesi ve uyumluluğun sağlanması için tek yol bütüncül bir güvenlik anlayışıdır.