Kontrolsüz dosya paylaşımı da risk doğurup kurumsal verilerin ele geçirilmesine neden olabiliyor. Ancak doğru yapıldığı takdirde dosya paylaşımının bir risk faktöründen güvenli bir verimlilik aracına dönüştürülebileceğini düşünen Citrix’in bu noktada şirketlerde bazı uyarıları var.
Hepimiz veri ihlalleri hakkında haberler duymaya alıştık. Bu tür olaylar sanki her gün yaşanıyormuş gibi gelebilir. Birçoğu küçük çaplı olsa da bazıları çok büyük ve riskli. Örneğin, bu yıl Mart ayındaki spam gönderme operasyonunda River City Media’nın başarılı bir yedekleme gerçekleştiremeyip 1.3 milyar veri setini kaybetmesi gibi. Bu gibi örneklerden çıkarılacak ders şu; sektörü veya büyüklüğü ne olursa olsun her web sitesi bir hedef olabilir.
Her kuruluş, Darknet’te satılmasını istemeyeceği hassas bilgilere sahip. Çoğu durumda bu veri havuzları müşteri veritabanı, çalışanları kişisel olarak tanımlayabilecek bilgiler, CAD planları, yasal belgeler, şirketin gelecek yol haritası ayrıntılarını içeren PowerPoint sunumları gibi fikri mülkiyetler ve bir şirkete ve o şirketin iş kolunun yanı sıra uyması gereken yasal gerekliliklere göre değişen başka milyonlarca öğe içeriyor. Maalesef bu hassas bilgileri bir banka kasasına kilitleyip “anahtarı denize atmak” gibi bir seçenek de söz konusu değil. Ar-Ge ekiplerinden harici danışmanlara, denetçiler ve avukatlara kadar çalışanlar ve çoğu durumda iş ortakları ve/veya müşteriler, bu veri havuzlarına sürekli erişim ihtiyacı duyuyorlar.
Günümüzde bilgi paylaşımının altın standardı ise “Bulut”. Dropbox veya Google Drive gibi bulut tabanlı tüketici dosya paylaşım servislerinin popüler olmalarının ardında iki sebep var: Tüketici tarzı “her şeyi akıllı cihazda tek bir dokunuş veya sürükleme ile yapma” kolaylığı ve herkesin verisini her zaman ve her yerde kolay erişime hazır tutacağını vadeden bulut servislerinin yaygınlığı. Dolayısıyla kullanıcılar doğal olarak, bilgiyi hızlı ve zahmetsiz bir şekilde paylaşmaya ihtiyaç duyduklarında bu tarz dosya paylaşım servislerine başvuruyorlar. Bu da şirketlerin IT departmanlarının ve güvenlik uzmanlarının işini zorlaştırıyor.
Citrix, son kullanıcıların dosya paylaşım ihtiyaçlarını kurumsal düzeyde güvenlik gereksinimleriyle dengelemek söz konusu olduğunda, şirketlerin birkaç üst düzey enformasyon güvenliği uygulamasına başvurmasını öneriyor
– Veri havuzlarına pozisyon bazlı erişim için kısıtlayıcı politikaları oluşturun. Yalnızca bir veri havuzuna erişmesi gereken kişilerin elde edebileceği ‘en düşük ayrıcalık’ ilkesini kullanın.
– İstemci makinelerde ve flash bellekler gibi USB aygıtlarında yerel veri depolama seçeneklerini sınırlandırmak için sanal çalışma alanlarını – bir şirketin özel bulutunda veya Microsoft Azure gibi genel bulut hizmetlerinde barındırılan güvenli dijital çalışma ortamlarını – kullanın.
– Veri trafiğini yetkisiz erişime ve şüpheli veri hareketlerine karşı kontrol etmek için veri sızıntısını önleme ve/veya güvenlik izleme araçlarını kullanın.
– Halka açık ve potansiyel olarak güvenli olmayan tüketici dosya paylaşım hizmetlerinin kullanımını kısıtlayın. Bunun yerine sıkı denetimi, bir mobil aygıttan gelen verilere erişirken bile kolay tüketici tarzı dosya paylaşımı ile birleştiren bir kurumsal dosya senkronizasyon ve paylaşım (EFSS) sistemi kurun.
– Tercihen ‘depolama bölgeleri’ (storage zones) mimarisini destekleyen bir EFSS seçin. Depolama bölgeleri, ne türden bilginin hangi lokasyonda ve ne tür bir platformda (genel bulut veya yerel depolama ortamında) depolandığı hakkında IT departmanına ayrıntılı bir denetim sağlar.