VERİ GÜVENLİĞİ

by admin

Siber saldırganların hedef gözetmeksizin artan saldırıları ile küçük şirketler için de büyük maddi sorunlar ortaya çıkarabiliyor. Beraberinde ise maalesef ki iş gücü kaybı, iş süreçlerinde aksama gibi şirketleri olumsuz etkileyecek sonuçları da görebiliyoruz.

Küçük işletmeler için müşteri bilgilerini muhafaza etmek ve yönetmek en önemli unsurlardan biridir. Mevcut kanunlara uyum, kurum ağının verimli kullanımı, iş sürekliliğinin aksamaması ve kurum ağının siber saldırılara karşı korunması zorlu bir süreçtir. Bu noktada veri güvenliği ön plana çıkmaktadır. Yapılan siber saldırılar analiz edildiğinde siber saldırganların küçük işletmelere düzenlemiş olduğu saldırıları artırdıklarını ve sonuçları açısından büyük maddi külfetlere mal olduğunu göstermektedir.

Veri sayısallaşıp dijital dünyada depolanmaya ve dijital dünyada işlenmeye başladıkça şirketler de bu dijital süreci en etkin şekilde kullanmak durumundalar. Düne kadar binlerce sayfa kağıt ve kalem kullanılırken verinin güvenliğinden pek de söz edilmezdi. Ancak bu verilerin dijitalleşmesi ile birlikte veri güvenliği ön plana çıkarak siber saldırganların iştahlarının kabarmasına sebep oluyor.

Veri Güvenliği Nedir?

Basit anlamda veri güvenliği, verilerin yetkisiz erişime karşı korunması olarak tanımlanır. Veri güvenliğinde en önemli odak noktası kişisel veya kurumsal verileri korurken gizliliğini sağlamak ve bütünlüğünü doğrulamaktır.

Verilerimiz sunucularda, veri tabanlarında, ağınızda, kişisel bilgisayarlarda ve en önemlisi kurum çalışanlarının aklında bulunur. Veri nerede olursa olsun verinin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak zorundayız. Verilerimiz yazılı, sesli, görüntülü veya çizim gibi herhangi bir formatta saklanabilir ve yetkili kişiler bu verileri talep ettiklerinde kullanılabilir durumda olmalıdır. Aksi halde veri güvenliğinden bahsedilemez. Veri sayısallaştıkça siber saldırganların da ilgi odağı olmaya başlamıştır. Aslında bu ilgi odağı durumun en temel noktası verinin artık bir değer ifade etmesi ve karşılığında kazanç elde edilebilir hale gelmesidir.

Kurumların sahip olduğu varlıkların en başında veri gelir. Kurumlar sahip oldukları veriyi derler, değiştirir, değer elde eder, satar, bir ürün/hizmet haline getireblir, veya paylaşabilir. Bu sayede gelir elde ederler.

Siber saldırganlar da her zaman olduğu gibi bu verilere erişmek ve bu veriler üzerinden illegal olarak gelir elde etmeye çalışırlar. Bu noktada gelişmiş koruma ürünlerine ve büyük ekiplere sahip olan kurumları tercih etmek yerine, daha kolay bir av olarak gördükleri ve herhangi bir firewall (güvenlik duvarı) ürünü dahi olmayan küçük işletmelere saldırarak çaba sarf etmeden kolaylıkla gelir elde etmeye odaklanırlar.

Bu verilere izinsiz olarak erişilmesi büyük şirket, KOBİ (Küçük ve Orta Boyutlu İşletme) veya bireysel ev kullanıcısı için çok sayıda soruna yol açmaktadır. Banka hesap bilgilerinizin çalınması, veri tabanındaki müşteri bilgilerinin çalınması, verilerin kriptolanarak fidye talep edilmei en sık görülen siber saldırılardır.

Veri Güvenliğindeki Ana Unsurlar

Veri güvenliği üç ana unsur üzerine kuruludur. Bu üç unsurun da yerine getirilmesi ile veri güvenliği ortaya çıkar. Aksi takdirde veri güvenliğinden söz edilemeyeceğini hatırlatmak isteriz. Bu üç ana unsur ise verinin gizliliği, verinin bütünlüğü ve verinin kullanılabilirliği olarak sıralanır.

GİZLİLİK: Hassas verilerin yetkisiz kişilerden veya yetkisiz erişimlerden korumak.

BÜTÜNLÜK: Bilgilerin kasıtlı veya tesadüfi şekilde değiştirilmesini engellemek.

KULLANILABİLİRLİK: Gerektiği zaman yetkili kullanıcılar tarafından erişilebilir olmasıdır.  

Günümüz dünyasında dijital verilerimiz KOBİ’lerin veya şirketlerin en önemli gelir kaynaklarından biri haline gelmiştir. Verilerimiz belirlenen güvenlik protokollerine sahip değillerse veya yeterince korunmuyorsa maalesef ki siber tehditlere açık bir hale gelerek ve siber saldırganların her an hedefi olabilir.

Bu noktada tedbir almayan her kurumun (küçük veya büyük fark etmeksizin) siber saldırılarla her an karşılaşabileceği ve büyük maddi kayıplara yol açabileceği aşikar bir durumdur. İnternete bağlı herhangi bir bilgisayara erişme şansı elde eden kötü niyetli siber saldırganlar kurumun ana sunucularından mali verilerine kadar her türlü veriyi çalabilir, zarar verebilir veya karşılığında fidye isteyebilirler. Bu durum özellikle KOBİ sınıfındaki şirketleri zora sokmakta ve ciddi sonuçlar doğurmaktadır.

Günümüzde veri ihlali sonrası yetkili makamlar tarafından verilen para cezaları oldukça ağır olabilir. Bu yaptırım ve cezalar maalesef KOBİ’lerin veya çok küçük işletmelerin maddi durumlarını aşabilecek kadar yüksektir.

Veri ihlallerindeki sürekli olarak artışta ve siber güvenlik uzmanlarının raporlarına göre bu artış her yıl daha da büyüyerek karşımıza çıkıyor. Bu artışlarda herhangi bir azalma emaresi görülmediği gibi siber saldırıya açık olan kolay hedeflerin de daha fazla tercih edilmeye başlandığını göstermektedir.

Veri Güvenliğinde Neler Yapılabilir?

Siber suç artık dijital hayatımızın korkulu rüyası olmaya başladı. Bu suç türü artık hayatımızda ve kurumlara çok ciddi zararlar verilebiliyor. Büyük firmalar siber saldırganlara karşı ciddi yatırımlar yaparak kendilerini korumaya çalışsa dahi, çok ciddi zararlarla karşılaştıklarını da görmeye başladık. Öte yandan KOBİ’ler maalesef hem maddi konuda yeterli yatırımı yapamama hem de güvenlik ekipleri noktasında yeterli insan gücüne de sahip olmadıklarını görüyoruz. Bu noktada kişisel varlıklarını ve bu varlıkları değerli hale getiren bilgiyi korumakta yetersiz kalabiliyorlar.

Siber suçların önüne geçmek imkansız bir hale gelmiştir. Ancak bu durum yerine sisteminizi güçlendirmek korumak ve iyi yönetmekle daha sağlıklı adımlar atılabileceğini rahatlıkla söyleyebiliriz.

Çalışanlarınıza siber güvenlikle ilgili temel bilgileri artırmak, bilgi güvenliği farkındalığı oluşturmak en önemli güvenlik tedbirlerinin başında gelir. Bu noktada sosyal mühendislik saldırıları, oltalama saldırıları, bilinmeyen e-postalardan veya web sitelerinden gelen dosyaları açmamak veya kişisel bilgilerinin şifreli olarak saklanmasını sağlamak her zaman büyük bir avantaj sağlayacaktır.

Çalışanlar İçin Veri Güvenliği

Kurum çalışanları güvenlik dünyasındaki en zayıf halkayı temsil ederler. Ne kadar güçlü bir savunmanız olursa olsun, ne kadar büyük yatırım yapıyor olursanız olun, siber saldırganların sosyal mühendislik ve oltalama saldırılarını kullanarak kurum çalışanlarını sıklıkla tuzağa düşürdükleri aşikar bir durumdur. Bu saldırılara karşı kurum çalışanlarını bilgilendirmek ve bilinçlendirmek zorundayız. Kurum çalışanlarına gönderilen sahte bağlantılar, virüslü dosyalar, tehdit veya ödül içerikli spam e-postalar saldırganlar için kurum ağına sızarken tercih edilen en etkili yöntemlerdir. 

Kısacası en zayıf nokta her zaman çalışanların bilgi güvenliği farkındalık eksikliğidir. Çalışanların, güçlü şifreler kullanmaları veya bir Password Manager Uygulaması ile şifrelerini saklamaları artık zorunlu hale gelmiştir.

Onlara hassas verilerin korunmasında neler yapabileceklerini düzenli olarak hatırlatmak, düzenli aralıklarla bilgi güvenliği farkındalık eğitimleri vererek farkındalıklarını üst düzeyde tutmanız gerekir. Diğer bir yandan yeni işe başlayan kişilere oryantasyon eğitimleri verilebildiği gibi dikkat etmeleri gereken hassas verileri ve siber saldırganların verebileceği zararları da öğretmek durumundayız.

İllegal yazılımlardan uzak durmak yasal yazılımların kullanılmasını sağlamak, internet üzerinden indirilen dosyaların antivirüs veya benzeri güvenlik taramalarından geçirmek her zaman bir adım önde olmanızı sağlar. Bu gibi farkındalık artırıcı faaliyetler milyonlarca dolarlık güvenlik yazılımların yapamadığı birçok güvenlik tecrübesidir.

Önemli verilerin yedeklerini almak ve işletim sistemlerinin veya kullanılan uygulamaların güncellemelerinin yapılması da önem arz eden konulardır