Veri güvenliği, kurumsal verileri koruma ve yetkisiz erişim yoluyla veri kaybını önleme sürecidir. Buna, fidye yazılımı gibi verileri şifreleyebilecek veya yok edebilecek saldırıların yanı sıra verilerinizi değiştirebilecek veya bozabilecek saldırılara karşı koruma da dahildir. Veri güvenliği ayrıca, verilerin işletmede erişimi olan herkes tarafından erişilebilir olmasını sağlar.
Bazı endüstrilerin, veri koruma yönetmeliklerine uymak için yüksek düzeyde veri güvenliği sağlaması gerekir. Örneğin, ödeme kartı bilgilerini işleyen işletmeler, ödeme kartı verilerini güvenli bir şekilde kullanmalı ve saklamalıdır.
İşletmeniz bir düzenlemeye veya uyumluluk standardına tabi olmasa bile, modern bir işletmenin hayatta kalması, hem işletmenin temel varlıklarını hem de müşterilere ait özel verileri etkileyebilecek veri güvenliğine bağlıdır.
Veri Güvenliği Neden Önemlidir?
Veri güvenliği önemlidir, çünkü bir ihlal işletmeniz için ciddi sonuçlar doğurabilir. IBM ve The Ponemon Institute’a göre 2020’deki ortalama bir veri ihlali için harcanan tutar 3,86 milyon dolardır.
Bir veri ihlaliyle ilişkili doğrudan maliyetlerin en büyük kısmı, takip eden iş kaybından kaynaklanır. Bununla birlikte, CMO’ların %71’i bir ihlalin en büyük etkisinin marka değeri olduğu konusunda hemfikirdir.
Bir marka değerlendirme ajansı olan Interbrand’e göre, bir markanın değerinin büyük bir kısmı “markanın satın alma kararlarında oynadığı rolden” gelir. Başka bir deyişle, güçlü marka değeri, müşterilerinizin ürün veya hizmetleriniz için ödeme yapma istekliliğini gerçekten artırabilir.
Ancak bu aynı zamanda zayıf marka değerinin tam tersi bir etkiye sahip olabileceği anlamına da gelir. Araştırmalar, tüketicilerin %65 ila %80’inin verilerini sızdıran bir şirkete olan güvenini kaybedeceğini gösterdiğinden (marka değerine büyük bir darbe), bir ihlalin yaratabileceği potansiyel etki, markanızı gelecek yıllarda da etkileyebilir.
Güven kaybının marka imajınız üzerindeki gerçek etkisi, büyük ölçüde ihlalin ayrıntılarına, bunun müşteriyi nasıl etkilediğine vb. faktörlere bağlıdır.
Veri Güvenliği vs Veri Koruması vs Veri Gizliliği
Veri güvenliği, genellikle “veri koruma” ve “veri gizliliği” gibi benzer terimlerle karıştırılır, çünkü bunların tümü verilerinizin güvenliğini sağlamanın yollarını ifade eder. Bununla birlikte, bu terimler arasındaki fark, ilk etapta bu verilerin güvenliğinin sağlanmasının nedenlerinde ve bunu yapmanın yöntemlerinde yatmaktadır.
Veri güvenliği, verilerinizin yetkisiz erişime veya bu verilerin açığa çıkmasına, silinmesine veya bozulmasına neden olabilecek kullanıma karşı korunması anlamına gelir. Bilgisayar korsanlarının verilerinizi kullanmasını önlemek için şifreleme kullanmak, veri güvenliğine bir örnek olabilir.
Veri koruma, yanlışlıkla silinmeye veya kaybolmaya karşı koruma sağlamak için yedeklerin oluşturulması veya verilerin çoğaltılması anlamına gelir. Verilerinizin bir yedeğini oluşturmak, veri korumaya bir örnek olabilir. Bu sayede verileriniz bozulursa (veya sunucularınız doğal bir felaket tarafından tahrip edilirse), bu verileri sonsuza kadar kaybetmezsiniz.
Veri gizliliği, verilerinizin nasıl işlendiğiyle ilgili endişeleri ifade eder. Çerezleri kullanarak web sitesi ziyaretçilerinden veri toplamak için onay alınması veri gizliliğine örnek olabilir.
Veri Güvenliği Riskleri
Aşağıda, her büyüklükteki işletmenin hassas verileri korumaya çalışırken karşılaştığı birkaç yaygın sorun bulunmaktadır:
1. Kazara Maruz Kalma (Accidental Exposure)
Veri ihlallerinin büyük bir yüzdesi, kötü niyetli bir saldırının sonucu değil, hassas verilerin ihmal edilmesinden veya kazara açığa çıkmasından kaynaklanır. Bir işletme çalışanlarının, kazara veya güvenlik politikalarından haberdar olmadıkları için değerli verileri paylaşması, bunlara erişim vermesi, kaybetmesi veya yanlış kullanması yaygındır.
Bu büyük sorun, çalışan eğitimiyle değil, aynı zamanda veri kaybı önleme (DLP) teknolojisi ve iyileştirilmiş erişim kontrolleri gibi diğer önlemlerle de çözülebilir.
2. Kimlik Avı ve Diğer Sosyal Mühendislik Saldırıları
Sosyal mühendislik saldırıları, saldırganlar tarafından hassas verilere erişmek için kullanılan birincil yöntemdir. Kişileri manipüle etmeyi veya kandırmayı, özel bilgi sağlama veya ayrıcalıklı hesaplara erişim sağlamayı içerir.
Kimlik avı, sosyal mühendisliğin yaygın bir biçimidir. Güvenilir bir kaynaktan geliyormuş gibi görünen ama aslında bir bilgisayar korsanı tarafından gönderilen mesajları içerir. Hedef alınan kişilere özel bilgiler sağlanarak kötü amaçlı bir bağlantıyı tıklamaları sağlanır. Bu yüzden saldırganlar cihazlarının güvenliğini tehlikeye atabilir veya bir şirket ağına erişim elde edebilir.
3. İçeriden Tehditler (Insider Threats)
İçeriden tehditler, bir işletmenin verilerinin güvenliğini istemeden veya kasıtlı olarak tehdit eden çalışanlardır. Üç adet içeriden tehdit türü vardır:
Kötü niyetli olmayan içeriden bilgi – Bunlar, yanlışlıkla, ihmal yoluyla veya güvenlik prosedürlerinden habersiz oldukları için zarar verebilecek kullanıcılardır.
Kötü niyetli içeriden bilgi – Bunlar, kişisel kazanç için aktif olarak veri çalmaya veya işletmeye zarar vermeye çalışan kullanıcılardır.
Güvenliği ihlal edilmiş içeriden bilgi – Bunlar, hesaplarının veya kimlik bilgilerinin harici bir saldırgan tarafından ele geçirildiğinin farkında olmayan kullanıcılardır. Saldırgan daha sonra meşru bir kullanıcı gibi davranarak kötü amaçlı etkinlik gerçekleştirebilir.
4. Fidye Yazılımı
Fidye yazılımı, her büyüklükteki şirketteki veriler için büyük bir tehdittir. Fidye yazılımı, kurumsal cihazlara bulaşan ve verileri şifreleyen, şifre çözme anahtarı olmadan kullanılamaz hale getiren kötü amaçlı yazılımdır. Saldırganlar, anahtarı serbest bırakmak için ödeme ister, ancak çoğu durumda fidyeyi ödemek bile etkisizdir ve veriler kaybolur.
Birçok fidye yazılımı türü hızla yayılabilir ve bir şirket ağının büyük bölümüne bulaşabilir. Bir işletme düzenli yedekleme yapmıyorsa veya fidye yazılımı yedekleme sunucularına bulaşmayı başarıyorsa, verilerinizi kurtarmanın bir yolu olmayabilir.
5. Bulutta Veri Kaybı
Birçok işletme, daha kolay paylaşım ve işbirliğini kolaylaştırmak için verileri buluta taşır. Ancak veriler buluta taşındığında, veri kaybını kontrol etmek ve önlemek daha zordur. Kullanıcılar, kişisel cihazlardan ve güvenli olmayan ağlar üzerinden verilere erişir. Yanlışlıkla veya kötü niyetle bir dosyayı yetkisiz kişilerle paylaşmak çok kolaydır.
6. SQL Enjeksiyonu (SQL Injection)
SQL enjeksiyonu (SQLi), saldırganlar tarafından veri tabanlarına yasa dışı erişim sağlamak, veri çalmak ve istenmeyen işlemler gerçekleştirmek için kullanılan yaygın bir tekniktir. Masum bir veri tabanı sorgusuna kötü amaçlı kod ekleyerek çalışır.
SQL injection, sorgunun bağlamını değiştiren bir kullanıcı girişine özel karakterler ekleyerek SQL kodunu işler. Veri tabanı bir kullanıcı girdisini işlemeyi bekler, ancak bunun yerine saldırganın hedeflerini ilerleten kötü amaçlı kodu işlemeye başlar. SQL enjeksiyonu, müşteri verilerini, fikri mülkiyeti açığa çıkarabilir veya saldırganlara ciddi sonuçlara yol açabilecek bir veri tabanına yönetici erişimi verebilir.
SQL enjeksiyon güvenlik açıkları, genellikle güvenli olmayan kodlama uygulamalarının sonucudur. Kodlayıcılar, tüm modern veri tabanı sistemlerinde bulunan kullanıcı girdilerini kabul etmek için güvenli mekanizmalar kullanıyorsa, SQL enjeksiyonunu önlemek nispeten kolaydır.
İşletmeler Bulut Ortamında Veri Güvenliğini Nasıl Sağlayabilir?
Veri güvenliğini artırabilecek çeşitli teknolojiler ve uygulamalar vardır. Hiçbir teknik sorunu çözemez, ancak aşağıdaki tekniklerin birkaçını birleştirerek işletmeler güvenlik duruşlarını önemli ölçüde iyileştirebilir.
1. Veri Keşfi ve Sınıflandırma (Data Discovery and Classification)
Modern BT ortamları, verileri sunucularda, uç noktalarda ve bulut sistemlerinde depolar. Veri akışları üzerinde görünürlük, hangi verilerin çalınma veya kötüye kullanılma riski altında olduğunu anlamada önemli bir ilk adımdır. Verilerinizi düzgün bir şekilde korumak için, verinin türünü, nerede olduğunu ve ne için kullanıldığını bilmeniz gerekir. Bu noktada veri keşfi ve sınıflandırma araçları işletmenize yardımcı olabilir.
Veri algılama, hangi verilere sahip olduğunuzu bilmenin temelidir. Veri sınıflandırması, hangi verilerin hassas olduğunu ve güvenliğinin sağlanması gerektiğini belirleyerek ölçeklenebilir güvenlik çözümleri oluşturmanıza olanak tanır. Veri algılama ve sınıflandırma çözümleri, dosyaların uç noktalarda, dosya sunucularında ve bulut depolama sistemlerinde etiketlenmesini sağlayarak, uygun güvenlik ilkelerini uygulamak için verileri kuruluş genelinde görselleştirmenize olanak tanır.
2. Veri Maskeleme (Data Masking)
Veri maskeleme; yazılım testi, eğitim ve gerçek verileri gerektirmeyen diğer amaçlar için kullanabileceğiniz kurumsal verilerinizin sentetik bir sürümünü oluşturmanıza olanak tanır. Amaç, gerektiğinde işlevsel bir alternatif sunarken verileri korumaktır.
Veri maskeleme, veri türünü korur ancak değerleri değiştirir. Veriler, şifreleme, karakter karıştırma ve karakter veya sözcük değiştirme dahil olmak üzere çeşitli şekillerde değiştirilebilir. Hangi yöntemi seçerseniz seçin, değerleri tersine mühendislik uygulanamayacak şekilde değiştirmelisiniz.
3. Kimlik Erişim Yönetimi (Identity Access Management)
Kimlik ve Erişim Yönetimi (IAM), işletmelerin dijital kimlikleri yönetmesini sağlayan bir iş süreci, strateji ve teknik çerçevedir. IAM çözümleri, BT yöneticilerinin bir işletme içindeki hassas bilgilere kullanıcı erişimini kontrol etmesine olanak tanır.
IAM için kullanılan sistemler, tekli oturum açma sistemleri, iki faktörlü kimlik doğrulama, çok faktörlü kimlik doğrulama ve ayrıcalıklı erişim yönetimini içerir. Bu teknolojiler, işletmenin kimlik ve profil verilerini güvenli bir şekilde saklamasını ve altyapının her bir parçasına uygun erişim politikalarının uygulanmasını sağlayarak yönetişimi desteklemesini sağlar.
4. Veri Şifreleme
Veri şifreleme, verileri okunabilir bir biçimden (düz metin) okunamaz kodlanmış bir biçime (şifreli metne) dönüştürme yöntemidir. Yalnızca şifre çözme anahtarı kullanılarak şifrelenmiş verilerin şifresi çözüldükten sonra veriler okunabilir veya işlenebilir.
Açık anahtarlı şifreleme tekniklerinde, şifre çözme anahtarını paylaşmaya gerek yoktur. Gönderici ve alıcının her birinin şifreleme işlemini gerçekleştirmek için birleştirilen kendi anahtarı vardır. Bu, doğası gereği daha güvenlidir.
Veri şifreleme, bilgisayar korsanlarının hassas bilgilere erişmesini engelleyebilir. Çoğu güvenlik stratejisi için gereklidir ve birçok uyumluluk standardı tarafından açıkça gereklidir.
5. Veri Kaybını Önleme (DLP)
Veri kaybını önlemek için işletmeler, verileri başka bir konuma yedekleme de dahil olmak üzere bir dizi güvenlik önlemi kullanabilir. Fiziksel yedeklilik, verilerin doğal afetlerden, kesintilerden veya yerel sunuculara yönelik saldırılardan korunmasına yardımcı olabilir. Yedeklilik, yerel bir veri merkezinde veya verileri uzak bir siteye veya bulut ortamına kopyalayarak gerçekleştirilebilir.
DLP yazılım çözümleri, yedekleme gibi temel önlemlerin ötesinde, kurumsal verilerin korunmasına yardımcı olabilir. DLP yazılımı, hassas verileri belirlemek için içeriği otomatik olarak analiz eder, merkezi kontrol ve veri koruma politikalarının uygulanmasını sağlar ve şirket ağı dışında kopyalanan büyük miktarda veri gibi hassas verilerin anormal kullanımını algıladığında gerçek zamanlı olarak uyarı verir.
6. Yönetişim, Risk ve Uyumluluk (GRC)
GRC, veri güvenliğini ve uyumluluğu iyileştirmeye yardımcı olabilecek bir metodolojidir.
Yönetişim, uyumluluk ve veri korumasını sağlamak için bir işletme genelinde uygulanan kontroller ve politikalar oluşturur.
Risk, potansiyel siber güvenlik tehditlerini değerlendirmeyi ve işletmenin bunlara hazırlıklı olmasını sağlamayı içerir.
Uyumluluk, verileri işlerken, erişirken ve kullanırken kurumsal uygulamaların düzenleyici ve endüstri standartlarına uygun olmasını sağlar.
7. Password Hygiene
Veri güvenliği için en basit en iyi uygulamalardan biri, kullanıcıların benzersiz, güçlü parolalara sahip olmasını sağlamaktır. Merkezi yönetim ve zorlama olmadan, birçok kullanıcı kolayca tahmin edilebilir parolalar veya birçok farklı hizmet için aynı parolayı kullanır. Bilgisayar korsanları tarafından yapılacak saldırılar zayıf parolalara sahip hesapları kolayca tehlikeye atabilir.
En basit önlem, daha uzun şifreler uygulamak ve kullanıcılardan şifreleri sık sık değiştirmelerini istemektir. Ancak bu önlemler yeterli değildir. Bu yüzden işletmeler, çok faktörlü kimlik doğrulama (MFA) çözümünlerini düşünmelidir.
Diğer bir tamamlayıcı çözüm, çalışan parolalarını şifrelenmiş biçimde saklayan, birden fazla kurumsal sistem için parolaları hatırlama yükünü azaltan ve daha güçlü parolaların kullanımını kolaylaştıran bir kurumsal parola yöneticisidir. Ancak, parola yöneticisinin kendisi, işletme için bir güvenlik açığı haline gelebilir.
8. Kimlik Doğrulama ve Yetkilendirme
İşletmeler, web tabanlı sistemler için OAuth gibi güçlü kimlik doğrulama yöntemlerini uygulamaya koymalıdır. Dahili veya harici herhangi bir kullanıcı hassas veya kişisel veriler istediğinde, çok faktörlü kimlik doğrulamanın zorunlu kılınması önemle tavsiye edilir.
Ayrıca, işletmelerin, her kullanıcının bir işlevi yerine getirmek veya bir hizmeti tüketmek için tam olarak ihtiyaç duydukları erişim haklarına sahip olmasını ve daha fazlasını değil, tam olarak sahip olmasını sağlayan açık bir yetkilendirme çerçevesine sahip olması gerekir. İzinleri temizlemek ve artık bunlara ihtiyacı olmayan kullanıcılar için yetkileri kaldırmak için periyodik incelemeler ve otomatik araçlar kullanılmalıdır.
9. Veri Güvenliği Denetimleri
İşletmeler, en az birkaç ayda bir güvenlik denetimleri gerçekleştirmelidir. Bu denetimler işletmelerin güvenlik duruşundaki boşlukları ve güvenlik açıklarını tanımlar. Denetimi, bir sızma testi modelinde, üçüncü taraf bir uzman aracılığıyla gerçekleştirmek iyi bir fikirdir. Ancak, kurum içinde güvenlik denetimi yapmak da mümkündür. En önemlisi, denetim güvenlik sorunlarını ortaya çıkardığında, işletme bunları ele almak ve düzeltmek için zaman ve kaynak ayırmalıdır.
10. Kötü Amaçlı Yazılımdan Koruma, Antivirüs ve Uç Nokta Koruması
Kötü amaçlı yazılım, modern siber saldırıların en yaygın vektörüdür. Bu nedenle işletmeler; mobil cihazlar, sunucular ve bulut sistemleri gibi uç noktaların uygun korumaya sahip olduğundan emin olmalıdır. Temel önlem virüsten koruma yazılımıdır, ancak bu artık dosyasız saldırılar ve bilinmeyen sıfırıncı gün kötü amaçlı yazılımları gibi yeni tehditleri ele almak için yeterli değildir.
Uç nokta koruma platformları (Endpoint protection platforms – EPP), uç nokta güvenliğine daha kapsamlı bir yaklaşım getirir. Antivirüs ile cihazdaki anormal davranışların makine öğrenimine dayalı analizini birleştirerek bilinmeyen saldırıları tespit etmeye yardımcı olabilirler. Çoğu platform, güvenlik ekiplerinin uç noktalardaki ihlalleri gerçekleştikleri anda belirlemelerine, bunları araştırmalarına ve etkilenen uç noktaları kilitleyip yeniden görüntüleyerek yanıt vermelerine yardımcı olan uç nokta algılama ve yanıt (EDR) yetenekleri de sağlar.
11. Sıfır Güven (Zero Trust)
Sıfır güven; ABD hükümeti, birkaç teknik standart kuruluşu ve dünyanın en büyük teknoloji şirketlerinin çoğu tarafından benimsenen bir güvenlik modelidir. Sıfır güvenin temel ilkesi, ağ çevresinin dışında veya içinde olmasına bakılmaksızın ağdaki hiçbir varlığın güvenilir olmamasıdır.
Sıfır güven, veri güvenliğine özel olarak odaklanır, çünkü veri, saldırganların ilgilendiği birincil şeydir. Sıfır güven mimarisi, tüm erişim girişimlerini sürekli olarak doğrulayarak ve varsayılan olarak erişimi reddederek verileri içeriden ve dışarıdan gelen tehditlere karşı korumayı amaçlar.
Sıfır güven güvenlik mekanizmaları, hassas veriler etrafında birden çok güvenlik katmanı oluşturur. Örneğin, ağdaki hassas varlıkların diğer varlıklardan izole edilmesini sağlamak için mikro segmentasyon kullanır. Gerçek bir sıfır güven ağında, saldırganların hassas verilere çok sınırlı erişimi vardır ve herhangi bir anormal veri erişimini tespit etmeye ve bunlara yanıt vermeye yardımcı olabilecek kontroller vardır.
Veri Tabanı Güvenliği
Veri tabanı güvenliği, Oracle, SQL Server veya MySQL gibi veri tabanı yönetim sistemlerinin yetkisiz kullanım ve kötü niyetli siber saldırılara karşı korunmasını içerir. Veri tabanı güvenliği tarafından korunan ana unsurlar aşağıdaki gibidir:
Veri tabanı yönetim sistemi (DBMS).
Veri tabanında depolanan veriler.
DBMS ile ilişkili uygulamalar.
Fiziksel veya sanal veri tabanı sunucusu ve herhangi bir temel donanım.
Veri tabanına erişmek için kullanılan herhangi bir bilgi işlem ve ağ altyapısı.
Bir veri tabanı güvenlik stratejisi, bir veri tabanı ortamında güvenliği güvenli bir şekilde yapılandırmak ve sürdürmek ve veri tabanlarını izinsiz giriş, yanlış kullanım ve hasardan korumak için araçları, süreçleri ve metodolojileri içerir.
