Bu makalenin ilk bölümünü burayı tıklayarak okuyabilirsiniz.
Risk-temelli bir veri güvenliği yaklaşımının merkezinde ise en temel 21. Yüzyıl işletme yöntemlerinin gözden geçirilmesi yatmakta: veriler nasıl yaratılıyor, nasıl depolanıyor, nasıl değiştiriliyor ve nasıl siliniyorlar? Aslında masa-üstü veya diğer son noktalarda yer alabilen her veri Vahşi Batı vari bir ortam yaratmış oluyor. Uygulama sunucularının pek çoğu ve veritabanları aslında oldukça iyi korunumlular ancak neredeyse hiçbiri uygulama sunucu veya veritabanı masa-üstünde yer alan verilerin üzerinde nasıl oynamalar yapılabileceği, kopyalanabileceği ve depolanabileceği konusunda herhangi bir yönetime sahip değil.
Veri bir defa masa-üstüne ulaştıktan sonra CD-ROM’lara yazılabilir, USB sürücülere ya da MP3 çalarlara kopyalanabilir ve herkese e-mail yoluyla gönderilebilir hale geliyor. Pek çok şirket e-mail riski konusunda uyanmış durumdalar ancak burada bile güvenlik önlemleri içerden kaynaklanabilecek risklerden ziyade dışarıdan kaynaklanabileceklere (spam ve phishing saldırıları) yönelik durumda.
Masa-üstü dışındaki diğer son-noktalara bakacak olursak problemin benzer biçimde varlığını koruduğunu görüyoruz. Örneğin satış noktası terminallerini ele alalım. Neredeyse herkesçe bilinen ve çok pahalıya mal olan TJX veri hırsızlığı da depolamamaları gereken verileri depolayan POS (satış noktası) terminallerinden kaynaklanmıştı.
|
1. Şirketten ayrılması 2. Şirketiniz 3. Hassas verilerin nerde 4.E-mail, web mail, IM 5.Son-noktalarda |
Tüccarların kredi kartlarını nasıl idare edeceklerini belirleyen bir standart olan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı’na (Payment Card Industry Data Security Standard – PCI Veri güvenliği Standardı) göre manyetik bantlarda yer alan kişisel bilgilerin kaydı alınmamalı ve depolanmamalıdır. Ancak maalesef bu hassas güvenlik işlemi genellikle pazarlama ve satış süreçleri ile ters düşmektedir ve şirketler genellikle ilgili birimleri aracılığı ile edinebildikleri her yerde ve şekilde tüketici bilgilerini elde etmeye bakmaktadırlar.
TJX vakasında da elde edilmemesi gereken kişisel bilgiler elde edilmiş ve çok zayıf bir güvenliğin ardında depo edilmişlerdi.
Aberdeen Group firmasının güvenlik teknolojileri departmanında araştırma sorumlusu olan Carol Baroudi “Herkesin veriler konusunda çok daha bilinçli bir hale gelmesi gerekmekte,” diyor. “En azından şirketler kendilerine şu soruları sormalılar: Veriler nerede saklanmakta? Kimin erişim yetkisi var? Ve bu veriler nasıl korunuyor?”
DLP atılımcıların nakit parasını cezbediyor
Şirketlerin çatlak işletme yöntemlerini gözden kaçırmaları çok kolay olduğundan ve de tipik e-işletme ortamında verilerin pratikte herhangi bir yere taşınması çok kolay olduğundan Verdasys ve Vontu gibi DLP sağlayıcıları hassas verilere ilişkin işletme politikalarının oluşturulması ve uygulamaya konması konusunda şirketlerin otomatikleşmelerini sağlamaya çalışıyorlar.
En basit düzeyde bile DLP sağlayıcıların sundukları araçlar kurumsal networkler üzerinde gezen bilgileri tarayabilir ve sabit yapıları sebebiyle kolaylıkla tanınabilen Sosyal Güvenlik numarası veya kredi kartı numarası gibi “planlı verilerin” taşınmasını bloke edebilir. Bu araçların daha sofistike olanları ise verinin içeriğini sorgulayarak fikri mülkiyetler gibi daha az planlı olan verileri koruyabiliyorlar.
Veri korunumunda DLP yaklaşımı Risk Sermayesi girişimcilerinin paraları sayesinde oldukça ilgi görüyor gibi. Son zamanlarda güvenlik firmalarının DLP sağlayıcılarını satın almalarıyla birlikte ortam iyice önem kazanmış durumda. Yakın zamanda RSA Tablus’u satın alırken, Websense PortAuthority’yi satın aldı ve son olarak da Symantec Vontu’yu satın aldı.
Munroe “DLP pazarında yaşanan son satın alımlar ile birlikte DLP’nin çok daha büyük ve hala büyümeyi sürdüren bir güvenlik pazarının birer küçük parçası olduğu kanıtlanmış oluyor,” dedi.
Munroe’ya göre global şirketler çalışanlar, ortaklar ve dış kaynakların işbirliği aracılığı ile kullanıcı üretkenliğini, işletme kıvraklığı ve rekabeti arttırma çabasındayken, özgür veri paylaşımının oluşturduğu riskler gündeme geldiğinde biraz ayakları havada kalmaktalar. Bu riskler belirlenene ve çözümlenene dek işbirliği sayesinde kazanılan üretkenlik artışı ve “çevik” işletme uygulamaları olası kazanımları fazlasıyla aşan riskler karşısında gerçekleştirilmekten uzak kalmak zorundalar.
Kaynak : 