Eylül 2018 Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın SECURRENT Sposorluğunda IDC Infobrief Raporu
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın KVKK Kişisel Verilerin Nasıl İşleneceğini Değiştiriyor Kişisel Verileri Korunma Kanunu (KVKK), Nisan 2018 de yürürlüğe girmiştir. KVKK, tüketici verilerini korumak için bir dizi yükümlülüğü ve cezayı içermektedir. Bilgi Yönetişimi Hangi kişisel verilere sahibim, nerede, ne kadar hassas, niçin var, veriyi kullanmak için onayım var mı, silebilir miyim? Özel Gereksinimlerin Karşılanması Ananonimleştirme, Onay Alma,, Veri Kaybını Önleme, Veri Taşınabilirliği, Erişim Kontrolü, Kayıt tutma, Olay Cevaplama, vb. 1 2 3 KVKK sadece verilerin nasıl depolandığı ve işlendiği hakkında değil, aslında iş süreçlerinizi ve güvenlik altyapınızı sıfırdan tasarlamanızı gerektiren bir kanundur. Genel Veri Koruma Regülasyonu (GDPR) Mayıs 2018'de Avrupa'da yürürlüğe girmiştir. AB vatandaşlarına ait kişisel verileri topluyor ve/veya işliyorsanız, siz de GDPR yeuyumlu hale gelmelisiniz. Dokümantasyon ve Gözden Geçirme Tüm süreçler için uygun teknik ve organizasyonel önlemler alma ve dokümantasyon pg 1
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın Güçlü bir Risk Azaltma Aracıdır S. KVKK'yauymak için hangi aksiyonları alıyorsunuz? CIO Zirvesi 2018 anket sonuçlarına göre, CIO larınyarısından fazlası şifrelemenin KVKK uyumluluğu için ana yatırım alanlarından biri olduğunu gösteriyor. Veri ihlallerinde itibar kaybı yaşanması, şirketlerin siber güvenlik saldırılarına karşı daha güçlü engeller oluşturmasına yol açıyor. Şirketler, müşteri güvenini riske atan, yasal uyumluluk ve gelirler üzerinde olumsuz etki yaratan veri kayıplarını engellemek için önleyici tedbirleri uygulamaya odaklanıyorlar. Veri korumasını sağlamak için şifreleme teknolojisine yatırım yapmak Olası veri ihlallerine karşı bir olay-cevap planı oluşturmak %44 %56 %58 Veri korumasını sağlamak için kimlik ve erişim yönetimi teknolojisine yatırım yapmak %45 Turkiye CIO Zirvesi Anke, Nisan 2018, n=77 Veri korumasını sağlamak için veri sızıntısı koruma teknolojisine yatırım yapmak %32 Elimizdeki verileri anlamak için ediscovery teknolojilerine yatırım yapmak pg 2
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın ile Arttırılmış Veri Güvenliği siber güvenlik alanının katmanlı savunmasında kilit rol oynar. KVKK, mevcut güvenlik kontrollerini yeniden gözden geçirmek ve yeniden tasarlamak için bir fırsat sunmaktadır. Durağan veriyi, veri depoları ve veri tabanları şeklinde koruma Kriptografiyi kullanarak kimlik doğrulama özellikli yetkili veri erişimi Ağ üzerinden aktarılan verileri koruma Farklı Çözümlerini Değerlendirin Farklı şifreleme çözümlerinin birleştirilmesi, veri işlemenin doğasında var olan riskleri veya kişisel verilerin ihlalini azaltır. pg 3
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın Doğru bir Yönetmelikte Uygulanması Gerekir Verileri tam olarak korumak, depolama ortamındaki durağan veriler, bir ağ üzerinden aktarılan veriler ve bir sistemde kullanılan veriler için farklı şifreleme türleri gerektirir. için Temel Başarı Faktörleri Doğru ve güçlü kriptografik algoritmayı seçmek şifrelemenin anahtarıdır. - teknolojileriyle ilgili doğru beceri kümesine veya teknik bilgiye sahip değilseniz, yeniden tasarım sürecinin en başından itibaren şifreleme konusunda uzman bir ekipten hizmet almanız faydalı olacaktır. Kriptografik anahtar oluşturma -> Bilinmeyen ve ifşa olmamış Mümkün olan en güvenli ortamda şifreleme işlemleri yürütmek Kriptografik Kimlik Doğrulama Veritabanı Dosya Klasör Çözümlerinin Türleri Disk Ağ Trafiği Cihaz Uygulama İçi pg 4
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın Çözümlerinin Zorluklarını Nasıl Aşarsınız? çözümleri, bazı zorlukları ve sınırlamaları beraberinde getirir. Bunların bir kısmını Donanımsal Güvenlik Modülleri (HSM) ile adresleyebilirsiniz. HSM ler, dijital anahtarları güvenli bir şekilde saklamak ve yönetmek ve şifreleme işlemini gerçekleştirmek için tasarlanmıştır. HSM ler, saldırganların anahtara erişmesini ve sistemi tehlikeye atmasını önler. HSM leren yeni şifreleme algoritmalarını barındırır. Bu ayrıca, artık güvenli olarak kabul edilmeyen algoritmaları kullanmanızı engeller. FIPS 140-2, CommonCriteriaEAL 4+ ve PCI HSM gibi sertifikalar HSM lerinen yüksek güvenlik standartlarına sahip olduğunu belgeler. Anahtar Yönetimi anahtarlarını korumak zor ama önemli bir görevdir. Algoritmalar Zayıf şifreleme algoritmaları yeterli güvenlik sağlamaz. Bellekte Şifre Çözme Bellek hedefli bir saldırı meydana gelirse, bu durum bir güvenlik açığı oluşturabilir. Kriptografik Kimlik Doğrulama Kriptografik kimlik doğrulama yeterli değildir, yalnızca bir kimlik doğrulama bileşeni olabilir. pg 5
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın KVKK için Beş İlkesi Katmanlı Savunmanın bir Parçası olarak Algoritmalarının Gücü Anahtarını Korumak Kritiktir Merkezi Yönetim ve Ölçeklenebilirlik Anahtarlarının Yaşam Döngüsü Sınırlıdır, veri sızıntısını önlemek için tasarlanmış bir dizi savunmaya bir katman daha ekler. algoritmaları, yeni ortaya çıkan algoritmikaçıklıklar açısından sürekli olarak gözden geçirilmelidir. Donanımsal Güvenlik modülleri (HSM'ler) kullanımı, anahtarları en güvenli şekilde oluşturmak ve saklamak için kullanılır. katmanı daha fazla karmaşıklık oluşturmamalıdır, bu yüzden dikkatli bir yönetim gerektirir. anahtarlarının düzenli olarak rotasyonu sağlanmalıdır. yanlış konumlandırılmış veya yanlış yapılandırılmışsa, güvenlik açıklarına neden olabilir. Bunu önlemek için, şifreleme teknolojisi konusunda uzman güvenlik danışmanlarından destek almak önemlidir. Unutmayın siber güvenlik ekosisteminde hayati bir rol oynamaktadır, ancak her şifreleme çözümü doğru bir şekilde uygulanmalıdır. pg 7
Güvenlik Seviyenizi Arttırmak için Teknolojisinden Yararlanın Öneriler Gelecek 3 Ay Gelecek 12 Ay 12 Ay ve Sonrası Sistemdeki tüm hassas verilerin keşfi ve sınıflandırması yapılmalıdır. Güvenlik danışmanlarından durağan veri, kullanımdaki veri ve aktarılan veri şifrelemesi hakkında bilgi edinilmelidir. Uçtan uca süreçleri tasarlanmalı ve düzgün bir şekilde uygulanmalıdır. Risk değerlendirmeleri düzenli olarak gerçekleştirilmeli ve risk değerlendirmesi sırasında belirlenen boşluklar doldurulmalıdır. pg 8
Sınırları Korumanız Yetmez, Hassas Verilerinizin Kendisini Koruyun Şifreleyin! Destek Verdiğimiz Alanlardan Bazıları: Uçtan Uca Tasarım Doğru Çözümünün Seçilmesi Hassas Verinin Keşfi için Risk Değerlendirmesi Daha fazla bilgi için www.securrent.com sitesini ziyaret edebilirsiniz This IDC InfoBrief was produced by IDC Custom Solutions. Copyright 2017 IDC. Any IDC information or reference to IDC that is to be used in advertising, press releases, or promotional materials requires prior written approval from IDC.