ALEV AKKOYUNLU / Laykon Bilişim Operasyon Direktörü
Dijitalleşmenin de artmasıyla verilere yönelik siber saldırılarda artış yaşanmaya devam ediyor. Dijitalleşen dünyada kişisel verileri korumak da önem kazanıyor. Bu noktada hem kişilerin hem de şirketlerin siber güvenlik anlamında ciddi önlemler almaları gerekiyor.
İnternet üzerinden alışveriş yapmak, sosyal medya platformlarını kullanmak veya çevrimiçi hizmetlerden yararlanmak gibi günlük faaliyetlerimiz sırasında birçok kişisel bilgiyi paylaşıyoruz. Bu bilgilerin güvenliğini sağlamak kimlik hırsızlığı, dolandırıcılık ve diğer kötü amaçlı faaliyetlerden korunmak için temel bir gereklilik oluşturuyor.
Veri güvenliği, sadece teknolojiyle ilgili değil, aynı zamanda insan faktörüyle de yakından ilişkili. Bu noktada bilgi güvenliği politikalarının oluşturulması, uygulanması, çalışanların eğitimi ve farkındalığının artırılması büyük önem taşıyor.
1. Veri kaybının en çok olduğu yerde önlem alınmalı. Veri kaybının bir numaralı nedeni, profesyonel siber suçlular tarafından gerçekleşmiyor. Veri ihlallerin birçoğu, çalışanların hatalarından kaynaklanıyor. Aslında çoğu veri ihlali, siber güvenlik önlemleriyle kolay bir şekilde önlenebilecekken, dikkatsizlikten kaynaklı nedenlerden dolayı güvenlik ihlaliyle karşılaşıyor. Şirketler, güvenlik stratejilerine karar verirken ve çalışanlara erişim yetkisi verirken dikkatli olmaları gerekiyor. İzinler ve erişimler yalnızca gerekli durumlar için paylaşılmalı. Bunun için profesyonel DLP çözümlerinin kullanılmasını öneriyoruz.
2. Tüm olası veri sızıntısı noktaları göz önünde bulundurulmalı. Bugün, tüm uç noktalarda antivirüs/anti-malware çözümü kullanmayan bir kuruluş olmaması gerekiyor. Bu tür korumalar, uzun zaman önce zorunluluk haline geldi. Kuruluşların çalışanlarını kimlik avının tehlikeleri konusunda eğitmeleri gerekiyor. Ancak hala bu temel koruma yöntemlerinin ötesine geçemeyen işletmeler ve kurumlar var. Birçok şirket mesajlaşma uygulamaları, e-posta ve bağlı cihazlar üzerinden hangi verilerin paylaşıldığını kontrol etmeyebiliyor. Önleyici tedbirler alınmadığı takdirde, dikkatsiz bir kullanıcı hassas verileri yanlış kişiyle paylaşarak kolayca bir trajediye neden olabilir. Bundan dolayı, kimlik avı, açık ağ bağlantı noktaları, güvenli olmayan IP adresleri ve virüsler yoluyla veri ihlalinden korunma sağlanıyorsa, potansiyel olarak sorumsuz ve kazara yapılan faaliyetler gibi diğer potansiyel veri sızıntısı noktalarına da aynı derecede dikkat edilmeli. Burada gözlemlediğimiz en büyük zafiyette cihazların tümünün koruma altına alınmaması diyebiliriz. Ekonomik nedenlerden en kritik cihazlar koruma altına alınırken, önemsiz olarak görünen cihazlar korumasız kalabiliyor. Bu durum da zayıf halkalar güvenliğimizin en çok zafiyet oluşturduğu alanlar olabiliyor.
3. Tüm potansiyel hassas bilgi kaynakları gözlemlenmeli. Birçok kuruluş, siber güvenlik teknolojisinin mevcut gelişme durumuyla, hassas bilgilerin sadece oluşturulma şekliyle tanımlanmasının mümkün olduğunun farkında değil. Sosyal medya gibi güvensiz bir kanal üzerinden gönderilmeden önce hassas verileri tanıyan bir veri profilleme çözümü kullanarak gizlilik koruması uygulanmalı. Kullanıcılar, çevrimiçi gizlilik konusunda bilgisiz olabilir ve bazı veri türlerinin (hassas sağlık bilgileri) olarak kabul edildiğini veya biyometrik verileri temsil ettiğini fark etmeyebilir. Ancak akıllı bir BT çözümü bu hatayı yapmayacaktır. Hassas bilgiler, yalnızca iyi tanımlanmış kaynaklarda bulunmuyor. Depolandığı yere göre değil, içeriğin kendisine göre modern çözümler kullanılmalı.
4. Mümkün olan her yerde şifreleme kullanılmalı. Yıllar önce bilginin şifrelenmesi nadir bir olay olarak görülürken ve yalnızca gizli bilgilerin iletilmesiyle gerçekleşirken, bugün neredeyse her veri iletiminin şifrelendiği veri taşınabilirliği çağında yaşıyoruz. Çoğu web sayfası, tarayıcı ile web sitesi arasındaki iletişimi kimsenin dinleyemeyeceğini garanti eden SSL/TLS (HTTPS) bağlantılarını kullanıyor. Ancak her web sitesi yalnızca güvenli bağlantılara izin vermiyor, birçoğu hala şifrelenmemiş veri aktarımını kullanmayı mümkün kılıyor. Bu nedenle, özellikle veri toplama işlemine herhangi bir hassas bilginin dahil edilebileceği şüphesi varsa, mümkün olan her yerde şifreleme zorunlu kılınmalı. Mümkün olan her yerde şifreleme uygulanmalı. Güvenli kanallar kullanılıyorsa bile, ekstra veri şifreleme kimseye zarar vermez ve ek bir koruma katmanı sağlar.
5. Güvenlik bir zorunluluk olarak değil, bir yatırım olarak ele alınmalı.Tüm ekstra güvenlik önlemleri bir yük gibi görünebilir. Geçmişte sadece kapıda iyi kilitlere ihtiyacımız varken şimdi tüm bu potansiyel veri sızıntısı kaynaklarını da düşünmek zorundayız. Birçok işletme, siber güvenlik için çok fazla para harcamaktan memnun değil ve risk alarak bu tür harcamaları sınırlamaya karar veriyor. Ancak, en büyük veri ihlalleri listelerinde yer alanlar tam da bu tür şirketler. Sadece veri koruma ve veri gizliliği değil, güvenliğin en önemli unsurlarından biri de zihniyet. Siber güvenliğin bir şirket için yatırım olarak görülmesi gerekiyor. Güvenlik önlemleri, emniyet kemeri gibi ele alınarak siber güvenlik girişimlerine doğru zihniyetle başlanmalı ve veri koruma için bizim için kritik olan verilerin de mutlaka yedeklerinin alınmasını da geleceğe olan bir yatırım olarak düşünülmeli.
Alev Akkoyunlu
Laykon Bilişim Operasyon Direktörü
