Veri Koruması

Veri Koruma Nedir?1

Veri koruma, hassas bilgileri hasar, kayıp veya bozulmaya karşı koruma sürecidir. Oluşturulan ve depolanan veri miktarı benzeri görülmemiş bir oranda arttığından, veri koruması giderek daha önemli hale geliyor. Buna ek olarak, iş operasyonları giderek daha fazla veriye bağımlı hale geliyor ve kısa bir kesinti süresi veya küçük bir miktar veri kaybı bile bir işletme üzerinde önemli sonuçlar doğurabilir. Bir veri ihlali veya veri kaybı olayının sonuçları, kuruluşları dizlerinin üzerine çöktürebilir. Verilerin korunamaması, günümüzde çoğu kuruluşun bazı veri gizliliği standartlarına veya düzenlemelerine tabi olduğu göz önüne alındığında, mali kayıplara, itibar ve müşteri güveni kaybına ve yasal sorumluluğa neden olabilir. Veri koruma, her büyüklükteki kuruluşta dijital dönüşümün en önemli zorluklarından biridir. Bu nedenle, çoğu veri koruma stratejisinin üç temel odağı vardır: Veri güvenliği – verileri kötü niyetli veya kazara oluşan hasarlardan koruma Veri kullanılabilirliği – Hasar veya kayıp durumunda verileri hızlı bir şekilde geri yükleme Erişim kontrolü – verilerin, başka hiç kimse tarafından değil, gerçekten ihtiyaç duyanlar tarafından erişilebilir olmasını sağlamak

Veri Koruma İlkeleri

Veri korumanın temel ilkesi, verilerin güvende kalmasını ve her zaman kullanıcıları tarafından kullanılabilir kalmasını sağlamaktır. Veri korumanın iki temel ilkesi şunlardır: veri kullanılabilirliği ve veri yönetimi. Veri kullanılabilirliği, verilerin bozulması veya kaybolması durumunda bile kullanıcıların iş yapmak için ihtiyaç duydukları verilere erişebilmelerini sağlar. Veri yönetimi, veri korumanın iki ana alanını kapsar:

• Veri yaşam döngüsü yönetimi: Bağlamına ve hassasiyetine bağlı olarak önemli verileri otomatik olarak çevrimiçi ve çevrimdışı depolamaya dağıtır. Günümüzün büyük veri ortamında bu, değerli verileri belirleme ve işletmenin bu verileri raporlama, analitik, geliştirme ve test için açarak bu verilerden veri elde etmesine yardımcı olma yöntemlerini içerir.
• Bilgi yaşam döngüsü yönetimi: Uygulama ve kullanıcı hatalarını, kötü amaçlı yazılım veya fidye yazılımı saldırılarını, sistem çökmelerini veya arızalarını ve donanım arızalarını önlemek için bilgi varlıklarını değerlendirir, sınıflandırır ve korur.

Kurumsal Veri Koruma Trendleri

Veri koruma politikası ve teknolojisindeki en son trendler şunları içerir:

Hiper Yakınsama

Hiper birleşik sistemlerin ortaya çıkmasıyla birlikte satıcılar, bilgi işlem, ağ iletişimi ve depolama altyapısını entegre eden tek bir cihazda yedekleme ve kurtarma sağlayabilen cihazları piyasaya sürüyor. Hiper bütünleşik sistemler, geleneksel veri merkezindeki birçok cihazın yerini alıyor ve şirket içinde bulut benzeri yetenekler sağlıyor.

Fidye Yazılımı Koruması

Fidye yazılımı, bir sisteme bulaşan, verilerini şifreleyen ve serbest bırakmak için fidye ücreti talep eden bir tür kötü amaçlı yazılımdır. Geleneksel yedekleme yöntemleri, verileri fidye yazılımlarından korumak için kullanışlıdır. Bununla birlikte, yeni fidye yazılımı türleri yedekleme sistemlerine de bulaşabilir ve onları işe yaramaz hale getirebilir. Bu, verilerin orijinal sürümünü geri yüklemeyi çok zorlaştırır. Bu sorunu çözmek için, yeni yedekleme çözümleri kurumsal ağdan tamamen izole edilecek ve fidye yazılımlarının yedeklemelere bulaşmasını önlemek için bekleyen veri şifreleme gibi diğer önlemleri kullanacak şekilde tasarlanmıştır.

Hizmet Olarak Olağanüstü Durum Kurtarma

Hizmet Olarak Felaket Kurtarma (DRaaS), bir kuruluşun yerel sistemlerin veya hatta tüm veri merkezinin uzak bir kopyasını oluşturmasına ve bunu felaket durumunda operasyonları geri yüklemek için kullanmasına olanak tanıyan bulut tabanlı bir çözümdür. DRaaS çözümleri, düşük kurtarma süresi hedefi (RTO) sağlamak için yerel veri merkezinden gelen verileri sürekli olarak çoğaltır, bu da feci bir arızadan dakikalar veya saniyeler sonra harekete geçebilecekleri anlamına gelir.

Veri Kopyalama Yönetimi (CDM)

CDM çözümleri, kuruluş tarafından depolanan verilerin kopyalarının sayısını azaltarak veri korumasını basitleştirir. Bu, genel gider, bakım ve depolama maliyetlerini azaltır. Otomasyon ve merkezi yönetim sayesinde CDM, geliştirme yaşam döngülerini hızlandırabilir ve birçok iş sürecinin üretkenliğini artırabilir.

Veri Koruma Stratejisi

Her kuruluşun bir veri koruma stratejisine ihtiyacı vardır. İşte sağlam bir stratejinin birkaç temel direği:

• Hassas Verilerin Denetimi
• İç ve Dış Risklerin Değerlendirilmesi
• Veri Koruma Politikası Tanımlama
• Güvenlik Stratejisi
• Uyum Stratejisi

Hassas Verilerin Denetimi

Veri koruma denetimlerini benimsemeden önce, önce verilerinizi denetlemeniz gerekir. Kuruluş genelinde kullanılan veri kaynaklarını, veri türlerini ve depolama altyapısını tanımlayın. Verileri duyarlılık düzeylerine göre sınıflandırın ve kuruluşta hangi veri koruma önlemlerinin zaten mevcut olduğunu, ne kadar etkili olduklarını ve hangilerinin daha hassas verileri korumak için genişletilebileceğini görün. Çoğu zaman, en büyük potansiyel, "ortalıkta dolaşan" veya kuruluş genelinde tutarlı bir şekilde kullanılmayan mevcut veri koruma sistemlerinden yararlanmaktır.

İç ve Dış Risklerin Değerlendirilmesi

Kuruluştaki güvenlik ekibi, kurum içinde ve dışında ortaya çıkabilecek güvenlik risklerini düzenli olarak değerlendirmelidir. Veri koruma programları, bu bilinen riskler etrafında tasarlanmalıdır. Dahili riskler arasında BT yapılandırmasındaki veya güvenlik politikalarındaki hatalar, güçlü parolaların olmaması, zayıf kimlik doğrulama ve kullanıcı erişim yönetimi ve depolama hizmetlerine veya cihazlara sınırsız erişim yer alır. Büyüyen bir tehdit, tehdit aktörleri tarafından ele geçirilen kötü niyetli içeriden kişiler veya güvenliği ihlal edilmiş hesaplardır. Dış riskler arasında kimlik avı, kötü amaçlı yazılım dağıtımı gibi sosyal mühendislik stratejileri ve SQL enjeksiyonu veya dağıtılmış hizmet reddi (DDoS) gibi kurumsal altyapıya yönelik saldırılar yer alır. Bunlar ve çoğu güvenlik tehdidi, saldırganlar tarafından hassas verilere yetkisiz erişim elde etmek ve bunları sızdırmak için yaygın olarak kullanılır.

Veri Koruma Politikası Tanımlama

Kuruluşun veri varlıklarına ilişkin analizine ve en ilgili tehditlere dayanarak, aşağıdakileri belirleyen bir veri koruma politikası geliştirmelidir:

• Her veri kategorisi için risk toleransı—veri korumanın bir maliyeti vardır ve koruma önlemleri verilerin hassasiyetine uygun olarak uygulanmalıdır.
• Yetkilendirme ve kimlik doğrulama politikası: Hangi iş uygulamalarının veya kullanıcı hesaplarının hassas verilere erişmesi gerektiğini belirlemek için en iyi uygulamaları ve geçmiş bilgileri kullanın.

Güvenlik Stratejisi

Veri koruma ile ilgili olarak, bir kuruluşun güvenlik stratejisi şunları yapmalıdır:

• Tehdit aktörlerinin hassas verilere erişmesini önlemek için önlemler alın
• Güvenlik önlemlerinin üretkenliğe zarar vermediğinden veya çalışanların ihtiyaç duydukları zaman ve yerde verilere erişmelerini engellemediğinden emin olun
• Fidye yazılımlarını veya diğer tehditleri önlemek ve sürekli veri kullanılabilirliği sağlamak için yedeklemeleri etkili bir şekilde yönetin

Uyum Stratejisi

Son olarak, bir veri koruma stratejisi uyumluluk yükümlülüklerini dikkate almalıdır. Kuruluşlar veya belirli iş birimleri, çeşitli düzenlemelere veya sektöre özgü uyumluluk standartlarına tabi olabilir. Aşağıda, günümüzde veri korumasını etkileyen en önemli düzenlemeler yer almaktadır. Avrupa Birliği (AB): GDPR Genel Veri Koruma Yönetmeliği (GDPR), şirketin AB içinde veya dışında bulunup bulunmadığına bakılmaksızın AB vatandaşlarıyla iş yapan tüm kuruluşlar için geçerlidir. Buna uyulmaması, dünya çapındaki satışların %4'üne veya 20 milyon Euro'ya kadar para cezasına neden olabilir. GDPR, ad, kimlik numarası, doğum tarihi veya adresi, web analizi verileri, tıbbi bilgiler ve biyometrik veriler gibi kişisel verileri korur. ABD'deki veri koruma yasaları ABD'de GDPR'ye eşdeğer kapsamlı bir düzenleme yoktur, ancak veri korumasını etkileyen çeşitli düzenlemeleri vardır:

• Federal Ticaret Komisyonu Yasası, kuruluşların tüketici gizliliğine saygı duymasını ve gizlilik politikalarına uymasını gerektirir.
• Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), sağlık bilgilerinin depolanmasını, gizliliğini ve kullanımını düzenler.
• Gramm Leach Bliley Yasası (GLBA), kişisel verilerin finansal kurumlar tarafından toplanmasını ve saklanmasını düzenler.
• Kaliforniya Tüketici Gizliliği Yasası (CCPA), Kaliforniya'da ikamet edenlerin kişisel bilgilerine erişme, silinmesini isteme ve kişisel verilerinin toplanmamasını veya yeniden satılmamasını talep etme hakkını korur.

Avustralya'daki veri koruma yasaları Avustralya İhtiyati Düzenleme Kurumu (APRA), 2019'da CPS 234 adlı zorunlu bir veri gizliliği düzenlemesi getirdi. CPS 234, kuruluşların kişisel verileri saldırılardan korumak için bilgi güvenliği önlemlerini iyileştirmesini gerektirir. CPS 234, akredite mevduat kabul eden kurumlar (ADI), genel sigorta şirketleri, hayat sigortası şirketleri, özel sağlık sigortası kuruluşları ve RSE kapsamında lisanslı şirketler için geçerlidir.

Imperva ile Veri Koruması

Imperva'nın veri güvenliği çözümü, verilerinizi nerede olursa olsun şirket içinde, bulutta ve hibrit ortamlarda korur. Ayrıca güvenlik ve BT ekiplerine verilere nasıl erişildiği, kullanıldığına ve kuruluş genelinde nasıl taşındığına ilişkin tam görünürlük sağlar. Kapsamlı yaklaşımımız, aşağıdakiler de dahil olmak üzere birden fazla koruma katmanına dayanır:

• Veritabanı güvenlik duvarı: Bilinen güvenlik açıklarını değerlendirirken SQL enjeksiyonunu ve diğer tehditleri engeller.
• Kullanıcı hakları yönetimi—aşırı, uygunsuz ve kullanılmayan ayrıcalıkları belirlemek için ayrıcalıklı kullanıcıların veri erişimini ve etkinliklerini izler.
• Veri maskeleme ve şifreleme—hassas verileri gizler, böylece bir şekilde çıkarılsa bile kötü aktör için işe yaramaz olur.
• Veri kaybı önleme (DLP)—Hareket halindeki, sunucularda beklemedeki, bulut depolama alanındaki veya uç nokta cihazlarındaki verileri inceler.
• Kullanıcı davranışı analizi: Veri erişim davranışının temellerini oluşturur, anormal ve riskli olabilecek etkinlikleri algılamak ve uyarmak için makine öğrenimini kullanır.
• Veri keşfi ve sınıflandırması: Şirket içindeki ve buluttaki verilerin konumunu, hacmini ve bağlamını ortaya çıkarır.
• Veritabanı etkinliği izleme: İlke ihlalleri hakkında gerçek zamanlı uyarılar oluşturmak için ilişkisel veritabanlarını, veri ambarlarını, büyük verileri ve ana bilgisayarları izler.
• Uyarı önceliklendirmesi—Imperva, güvenlik olaylarının akışını incelemek ve en önemli olanlara öncelik vermek için yapay zeka ve makine öğrenimi teknolojisini kullanır.