Citrix, veri ekonomisi çağında bilgi güvenliğini geliştirmenin püf noktalarını açıklayarak IT sektörünü uyarıyor.
Verinin petrol değeri kazandığı bir çağda yaşıyoruz. Bu çağda müşteri davranış ve eğilimleri, ürün kullanımı veya hareket şablonlarıyla bağlantılı verilerin büyük çapta işlenmesi tüm firmalar için gitgide daha büyük önem teşkil edecek. Bu firmalar arasında otomobil imalatçısı, tüketim malları üreticisi, akıllı aygıt satıcısı veya herhangi bir hizmet sağlayıcı gösterilebilir.
Maalesef, bu yeni veri ekonomisinin yolunu açan dijital dönüşüm öyle hızlı ilerliyor ki BT kuruluşlarının bilgi güveliği savunmalarını güncel tutmakta zorluk çektiği zamanlar olabiliyor. Bu yüzden hangi endüstride olursa olsun tüm firmaların bilgi güvenliği süreçleri, görevleri ve araçlarına daha yakından bakması gerekiyor. Aksi takdirde veriyle bağlantılı risklerin artması kaçınılmaz. Bunlar ise kolaylıkla fikri mülkiyetin sızdırılması, müşteri memnuniyetsizliği, uyumluluk ihlali, itibar zedelenmesi ve maddi hasara yol açabilir.
Citrix’e göre, bilgi güvenliğini iyileştirmek için kuruluşların ihtiyacı olan şeyler ve püf noktalar şunlar;
- Hangi verilerin hassas, içsel veya kişiye özgü tanımlayıcı bilgi niteliğinde olduğu belirleyen, katı ve tüm firmayı kapsayan veri sınıflandırması. Her veri eşdeğer değildir. Ancak çoğu firmada yürürlükte olan sağlam bir sınıflandırma sistemi bulunmaz. Bu yüzden hangi veri gruplarının ne kadar bağlantılı olduğu konusunda net bir fikir edinemezler.
- Hassas bilgileri takip etmek için gerekli teknik araçlar (ör. kişiye özgü tanımlayıcı bilgi): bu özgün verilerin veritabanlarında ve içerik yönetim sistemlerinde (CMS) güvenli bir şekilde depolanması; eklemeler, güncellemeler ve değişikliklerin ise takip edilmesi ve platfromlar arasında tutarlılık sağlanması gerekiyor. Bu genellikle izleme ve varlık yönetim araçlarının kurulması anlamına geliyor.
- Hassas bilgilere güvenli ve görev bazlı erişim için BT güvenlik sistemleri: bilgi güvenliğinin bu yönü; hedeflenen saldırılar ve içten gelen tehditlere karşı veri kaybının önlenmesi için Kimlik ve Erişim Yönetimi (IAM), kurumsal kaynaklara VPN tabanlı erişim ve veri sızıntısı önleme (DLP) araçlarının kullanılmasını gerektiriyor.
- İçerik İş Birliği Platformu (CCP): veri kaybı riskini en aza indirerek çoklu bulut ortamlarında dahi merkezi olarak kontrol edilen güvenli bilgi paylaşımına olanak sağlayan bir platform.
- Sanal çalışma alanları ve uç nokta yönetimi: veri güvenliği ihlalleri çoğunlukla kurumsal şirketlerin son kullanıcısından kaynaklanmakta. Bu sebeple kuruluşlar, tüm kaynaklar için erişim ve kullanımı merkezden kontrol etmelerini sağlayan sanal bir iş alanı platformu vasıtasıyla son kullanıcı erişimini kurumsal kaynaklarla bağdaşık hale getirmeli. En iyi şekilde uygulandığı senaryoda tamamlayıcı olarak mobil uç noktaların yönetiminin ve güvenliğinin sağlanması için kurumsal mobilite yönetimine yönelik bir çözüm (Windows 10’un yanı sıra) geliştirilmeli.
- Yazılım tanımlı bir çevre: uygulama dağıtımı kontrol cihazları ve analiz yazılımlarıyla sağlanan akıllı ağ oluşturma, bağlamsal kontrolü ve davranış izlemeyi geleneksel veri merkezinin ötesine taşıyor. Bu, BT’nin engelleyici önlemler alarak veri güvenliğini sağlaması, ihlalleri tespit etmesi ve firmanın karşılaşacağı riski azaltmasına olanak tanıyor.
- Diğer yandan Mayıs 2018’de yürürlüğe girecek Genel Veri Koruma Yönetmeliği (GDPR) diğer bir önemli konu. GDPR, AB vatandaşlarıyla iş yapan ve onlara özgü tanımlayıcı bilgileri saklayan veya işleyen tüm kuruluşların son teknoloji veri koruma yöntemleri kullanmalarını gerektiriyor. Yönetmelik, belirli kuruluşların Veri Koruma Memuru (DPO) adında yeni bir görevlendirme yapmalarını da istiyor: devlet makamlarının yanı sıra yüksek hassasiyete sahip kişiye özgü tanımlayıcı bilgileri geniş çapta işleyen kuruluşların DPO bulundurması zorunlu. Bunlara örnek olarak hastaneler veya sigorta firmaları gösterilebilir.
- Bütüncül bir güvenlik anlayışı: Modern ekonomide verilerin gittikçe artan bir öneme sahip olduğu dikkate alındığında kuruluşların bilgi güvenlik süreçleri, araçları ve görevlerini gözden geçirmesi gerektiği açık. Değerli bilgilerin korunması, riskin yönetilebilmesi ve uyumluluğun sağlanması için tek yol bütüncül bir güvenlik anlayışıdır.