Data Classification is a Business Imperative. TITUS White Paper. Veri Sınıflandırma Artık Bir Zorunluluk!

Transkript

1 Data Classification is a Business Imperative TITUS White Paper Veri Sınıflandırma Artık Bir Zorunluluk!

2

3 1.0 Veri Güvenliği Kurumsal verinin korunması sadece IT departmanının değil; o veriyi üretenin de sorumluluğunda olmalıdır. Korumasız veri kurumların entellektüel varlıklarının tehlikeye girmesine sebep olur. Önemli açıklar oluşur ve bu da müşteri ve yatırımcıların kaybına sebep olur. Veri paylaşımı uygulamaları ile mobil cihazlar ve otomatik kontrol edilen cihazlar üzerinde verinin korurunması görevi sadece IT departmanlarının sorumluluğuna bırakıldığı takdirde çok büyük ve fazla bir sorumluluk demektir. Bir yandan teknoloji veri güvenliği politikalarını güçlendirme potansiyeline sahipken; yaygın bir teknoloji kültürü yoksa kullanıcılar hatalara düşebilirler. Eğitim eksikliği ya da güvenlik araçlarının karmaşıklığından ötürü, çalışmaların gösterdiğine göre çalışanlar sıklıkla güvenlik protokollerini ihlal etmektedirler. Daha da kötüsü, birçok çalışan önleyici güvenlik metodlarını kullandıkları için performanslarının altında kaldıklarını hissederler. En büyük riskler kurumunuz içerisinde, zayıf eğitim olanakları, güvenlik prosedürlerinde yer alan açıklar ve çalışanlarınızdan kaynaklanan risklerdir. Verinizi koruma altına almak için, kıdemli uzmanların, temel bir veri koruma ve bilgi güvenliği kültürü oluşturmaları gerekmektedir. Veri sınıfandırma, bilgi korumada kullanıcılara kolay ve hızlı bir biçimde veri koruma sağlar. Ek olarak, kurumsal bilginin de ne kadar değerli olduğunu ortaya koyar. Kalıcı metadatanın sınıflandırılması önemli bir ugulamadır zira bilgi güvenliği teknolojilerini de güncel tutar. Veri sınıflandırma süreci bilgi Güvenliği çalışanlarını için ekstra bir fayda demektir. Değerli bilginin koruması sürecine hizmet ederken aynı zamanda çalışanların işgücüne de katkıda bulunmaktadır. Veri sınıflandırma ile güçlenen tümleşik güvenlik ekosistemi güvenlik politikasına göre veri ve bilgi yönetimi bilgisini de bünyesinde barındırır. 2

4 2.0 Veri Güvenliği Neden Zorunluluk At the heart of any organization is the data that powers it. From financial data, to employee files, to new ideas and inventions, your organization is filled with information that, if lost or stolen, could seriously impact your business. Bir kurumun kalbi sahip olduğu değerli entellektüel bilgisidir. Finansal veriden tutun da çalışanların dosyalarına, yeni fikir ve buluşlara, bulut depolama cihazlarına kadar tüm veri paylaşım cihazlarının profilinin çıkarılması; BT güvenlik uzmanlarının hassas veriyi korumada daha fazla zorlanması anlamına gelmektedir. Gerçekte ise; veri güvenliği parametreleri veriler farklı alanlarda deoplandıkça otomatik olarak değişmektedir. Gerçekten de kurum verinizin %60 I ciddi bir biçimde güvenlik ekibinize herhangi bir uyarı gelmeksizin riske girmiş olur. Bundan da ötesi veri ihlali ve bunun fark edilmesi arasında geçen süre 200 günü bulmaktadır. Bu durumun kurum imajını sarsıcı tarafı ise maalesef bu veri ihlallerinin çoğu Müşteri ya da iş ortaklarınız tarafından fark edilmektedir. Veri ihlalinde Kurumsal sınıflandırmanın önemi de bu noktada ortaya çıkmaktadır. Riskler herzaman için dışarıdan profesyonel bir saldırgan ya da kurum içinden kötü niyetli biri, bir çalışan tarafından ortaya çıkmaz. Aynı zamanda daha verimli çalışmaya çaba gösteren bir çalışanınız da bu ihlali gerçekleştirebilir. Çalışanlar mevcut güvenlik protokolleri ve politikalarından haberdar değillerse ve onları eğitecek, bilgilendirecek ve çalışmalarını riske attıklarını gösterecek bir sistem mevcut değilse; risk daha da fazla demektir. İçeriden gelen ihlaller insani ve kültürel problemlerden kaynaklanabilmektedir. Kurumsal verilerin buluta kopyalanmasını engelleyecek teknolojiler ve önlemler kullanabilirsiniz ancak kullanıcılarınız ellerindeki değerli bilginin kıymetinin farkında değillerse; teknolojiyi iş akışlarından bağımsız olarak değerlendireceklerdir. Olaya bir veri koruma bakış açısı ile bakarsak; tüm verinizi sonsuza kadar koruma içgüdüsü veri Güvenliği konseptiniz üzerinde olumsuz bir etki yaratacaktır. Depolama maliyetleri çıkarıldıktan sonra ilgi gösterilen ikinci alan genellikle kullanılmayan ve yer kaplayan diğer veri olacaktır. Bununla beraber; yapılandırılmamış veri entellektüel varlıkların %80 ini de anlamsız kılmaktadır. Veri Güvenliği uzmanları nedense herşeyi sonsuza kadar korumaları gereken ekipler olarak görülmektedir fakat, hepsinin korunmasının doğurduğu maliyetleri de gözden kaçırmamak gerekir. 3

5 3.0 Güvenlik Kültürü Kurumlar veri güvenliği risklerini bertaraf etmede sıkıntı yaşamaktadırlar ancak doğru bir strateji ve doğru liderlik ile bu sorun kolay bir biçimde çözümlenebilir. Yönetim rehberliği olmadan, BT departmanları sürekli bir bütçesel kısıt içerisinde boğuşup duracaklardır. Veri ve BT Güvenliği uzmanları, kurumun güvenlik kültürünü tek başlarına yapılandıramazlar. Neyin gerekli olduğunu, hangi alanların riskli olduğunu gösterebilirler ancak, külümatif bir çözüm sağlamalarını beklemek anlamsız olacaktır. Aksine, kıdemli yönetim ekipleri çalışanlar ile direk iletişim kurdukları takdirde ve güvenlik projelerine liderlik ettikleri takdirde Kurumsal güvenlik kültürü de bir o kadar sağlıklı gelişecektir. Kurumsal bir inisiyatif yönetim sponosorluğunda geliştiği vakit, bu durum çalışanlara da cesaret verir ve onları da motive edecektir. Kurumu genel bir güvenlik kültürü seviyesine ulaştırmak için, veri güvenliği kültürünü çalışanlara faz faz benimsetmek gerekmektedir. 4

6 4.0 Veri Sınıflandırma Zorunluluğu Veri Güvenliği konusunda temel bir bileşen veri sınıflandırmadır. Yapılandırılmamış bir veri öbeğinde yapılacak sınıflandırma ve yapılandırma çalışması bilginin sağlıklı korunması konusunda en önemli unsurlardandır. Sınıflandırılmış veri hem güvenlik sistemlerinin geneline bir katma değer sağlarken hem de kullanıcılara bir kolaylık sağlamaktadır. Bilginin değeri artar ve sınıflandırılmış veri ile kurumun güvenlik bilinci artar, veri kaybının önüne geçilmiş olur ve kayıt Yönetimi prosedürlerine uyum sağlanır. Bir çalışan gözünden ise kullanılan veriye değer kazandıran sınıflandırma işlemi, çalışanların güvenlik bilincini artırır ve farkındalık seviyelerini yükseltir. Sınıflı veriye koruma kodları eklemek çok daha kolay olacaktır. 5

7 4.0 Veri Sınıflandırma Zorunluluğu Sınıflandırma aynı zamanda, uyum prosedürlerindeki bilgi güvenliği gereklerine de hizmet edecektir. Ve Kurumsal kayıtların saklanmasında önemli bir rol oynayacaktır. Önemli dökümanlar sıklıkla denetlendiği için ve yasal birtakım uyumluluk gereklerine tabi olduğu için sınıflandırma bu dökümanın kaynağına ulaşmada da kolaylık sağlayacaktır. Mesela dökümanın hangi departmana ait olduğunu bulmada sınıflandırma önemli bir rol oynar. Sınıflandırma günlük işlerin bir parçası haline geldiğinde; güvenlik farkındalığı artar ve riskler azalır. Böylelikle bu durum bütün kurum kültürüne yansır. Veri sınıflandırıldığı zaman metadata değerleri artar ve veri güvenlik ihlalleri minimuma iner. 6

8