Pandemi nedeniyle uzun süredir planlanan dijital dönüşüm beklenenden çok daha kısa sürede gerçekleşti. Bu süreçten sonra oyunda kalmak adına kurumların hızla dönüşümü tamamlamaları bekleniyor.
İnsanların hareketleri virüs nedeniyle sınırlandığı için bu boşluğu veri akışı kapatıyor. Daha önce görülmemiş miktarda veri akışına şahit oluyoruz. Dolayısıyla etkili bir veri yönetim politikasını uygulamak gerekiyor. Çalışanların büyük çoğunluğu kişisel cihazları ve kablosuz ağ üzerinden kurumsal ağa bağlanarak uzaktan çalışmaya devam ediyor. Eskiden böyle bir durum nadiren tercih edildiği için büyük bir tehdit olarak kabul edilmiyordu. Ancak içinde bulunduğumuz durumda uzaktan ya da evden çalışan kişi sayısı bir anda büyük çoğunluğa ulaştığı için veri ve IP güvenliği konusunda yeni önlemler almak şart oldu.
Birçok farklı ve alanında söz sahibi güvenlik uzmanı internet bant genişliğinin yetersizliğinden şikayetçi olduğunu görüyoruz. Onlara göre ev tipi kablosuz ağlar üzerinden kurumsal verilere erişmek sistem için büyük bir külfet haline gelebiliyor. Dahası, ev ağlarının yeterince güvenli olmaması kurumsal ağları riske atıyor. Bir çalışan kurumsal ağa her bağlandığında potansiyel bir açık meydana getiriyor. Çoğu zaman uzaktan çalışanlar yarattıkları hasarın farkında bile olmayabiliyorlar.
Çalışanların büyük çoğunluğu kişisel bilgisayarlarını ve akıllı cihazlarını sanal toplantılar için kullanıyorlar ve kritik veri işte bu esnada paylaşılıp ortaya çıkıyor. Araştırmalara ve istatistiklere göre kişisel cihazların büyük çoğunluğu gerekli güvenlik önlemlerinden yoksun olarak ağa bağlanıyor. Bu durum da potansiyel olarak kötü niyetli yazılımlara davetiye çıkarıyor. Özellikle bulut ortamına sızmak isteyen siber suçlular, çalışanların kişisel cihazlarını sıçrama tahtası olarak kullanıyorlar. Özellikle küçük ölçekli şirketlerde güvenliğin ihmal edildiğini ya da arka planda kaldığını gözlemliyoruz. Bu tarz şirketler uzaktan çalışma konusunda güvenli bir ortam oluşturma konusunda büyük sıkıntılar çekiyor. Zamanında güvenliği öncelik haline getirmeyen küçük ve orta ölçekli şirketlerin hızla bu konuyu çözüme ulaştırması gerekiyor.
Bilginin çeşitli ortamlar üzerinde yoğun olarak paylaşıldığı yeni iş modelinde kurumlar donanım olarak önlem alıp veri şifreleme ve güvenli sanal bağlantı oluşturma konusunda yeni zorluklarla baş etmek durumunda kalıyor. CTO ve CIO olarak görev yapan güvenlikten sorumlu IT liderleri bir taraftan hızlı dijital dönüşüm sürecini en acısız şekilde tamamlarken diğer taraftan geleceğin tohumlarını ekmeye çalışıyor.
Veri güvenliği için önleyici tedbirleri baştan alın
Bir kurum güvenli bir ortamda operasyon yürütecekse öncelikle tüm ekibin sıkı bir şekilde eğitimi ile yola çıkmalı. Herkes siber güvenlik, evden güvenli kablosuz yönlendiriciye bağlanma gibi konulara yeterince vakıf olacak şekilde bilgilendirilmeli. Uzaktan erişim yoğunluğunu kaldırıp kaldırmayacağı konusunda yenilenen altyapılar testlere tabi tutulmalı ki saldırı veya yoğun iş yükü altında sistem alarm vermemeli. Kurumlar kendi VPN’lerini kurarak tüm çalışanlarını tek bir elden ağa çıkarmayı hedeflemeli.
Tekrar vurgulayalım; bir kişi uzaktan erişim sağlayarak kurumsal veriye erişecekse mutlaka ama mutlaka VPN üzerinden yönlendirilmeli. Gelişen VPN teknolojiler sayesinde sadece uzaktan erişim kolaylığı değil, aynı zamanda kritik kaynak ve veriye erişimde sınırlamalar getirilip IT tarafında daha denetimli bir güvenlik modeli oturtulabilir. ExpressVPN’in yeni sunduğu bir rapora göre Şubat ayından günümüze sadece Hindistan üzerinde VPN kullanımı %15 arttı. Yıl sonuna doğru bu artışın küresel çapta olacağını söylemek işten bile değil.
Veri güvenliğinizi sağlamak için 3 ipucu:
-SED dediğimiz kendi kendine şifreleme yapan cihazlar kullanarak veriyi gerektiğinde kilit altına alıp uygun gördüğünüz müdahaleyi gerçekleştirin.
-AES 256 (ISO/IEC 18033-3) şifreleme modeline geçin ve sabit sürücülerin Common Criteria sertifikasına sahip olmasını sağlayın. (ISO/IEC 15408)
-Kullanım ömrü biten ve işe yaramayan her türlü verinin tüm cihazlar üzerinden silinmesini sağlayın.
Günümüzün iş dünyasında veri kullanarak değer yaratıyoruz ki bu da aslında işin kalbini oluşturuyor. İşte bu yüzden güvenlik uzmanları hem yazılım hem de donanım bazında geniş yelpazede çözüm öneri sunmaktan geri durmuyorlar. Her alanda şifreleme yeni nesil güvenliğin çekirdeğini oluşturuyor. Çünkü yeni normal içerisinde iş yapan kurumlarda çalışan kişiler her an kurumsal bir veriye erişme ihtiyacında olabilirler. Bu ihtiyaç da ne yazık ki siber güvenlik tehditlerinin aynı oranda artması gibi olumsuz bir tablo ortaya çıkarıyor.
Neredeyse tüm sektörler hızla buluta geçiş yaptığı için, şirketlerin müşterilerinin veri güvenliğini sağlamak adına mümkün olan en yüksek önlemleri almaları gerekiyor. Bu önlemler içerisinde de en sert yönetim standartları yer alıyor. Ancak bu tarz bir özel, yüksek seviyede tedbire sahip ve ispatlanmış teknolojilerle bulut ortamında veri güvenliği sağlanabilir.
Saldırıya açık veri
IDC’nin öngörülerine göre Veri Çağına girdik ve 2025 yılı içerisinde üretilen veri büyüyerek atmosfere atıfla “datasfer” ismi verilen bir kavrama dönüşecek. Bu veri yığını içerisinde oluşan bilginin en az %90’ı çok ciddi bir korumaya ve güvenlik çözümüne ihtiyaç duyacak. Güvenliğin öncelikli olarak sağlanması gereken sektörler ise sağlık ve finsans olarak gösteriliyor. Bu verilerin ihlali şüphesiz çok büyük sorunlara yol açacaktır.
Ancak son kullanıcı tarafında örneğin akıllı telefonlar üzerinde bulunan fotoğraf ya da benzeri dijital içerik ne yazık ki donanım ile alınan önlemlere rağmen yine de tehditlere açık olarak durmakta. Bu tarz bir güvenliği oluşturmak adına da aşağıdaki 5 güvenlik önleminin alınması gerekiyor:
Kilit: Askeri, tıbbi, finansal her türlü bilgi ve resmi evraktan oluşan üst düzey bilgi.
Gizli: Tarafların koruma altına almak istediği özel anlaşmalar, müşteri listeleri ya da dekontlardan oluşan bilgi.
Kimlik: İhlal edildiği ya da çalındığı takdirde kimlik hırsızlığına neden olabilecek her türlü bilgi.
Yasal: Adli delil olarak lehte veya aleyhte kullanılabilecek e-posta dahil her türlü bilgi.
Özel: YouTube videosu yüklerken kullanılan bir e-posta adresi bilgisi.
Görüldüğü gibi güvenliği sağlanmamış veri ile güvenli veri arasında bir boşluk var. Bu boşluğun derlah teknoloji ve yeni sistemlerle kapatılması eskiden belki lüks olarak görülse de günümüzde tartışmaya açık olmayan bir zorunluluk haline geldi.
Güçlendirilmiş siber protokoller
İstediğiniz önlemi alın, veriniz yine de tehditlere maruz kalacaktır. İşinizi iyice sağlama almak adına siber açıdan güçlendirilmiş sabit sürücüler ve SSD’lere terfi ederek bu yeni ve güvenilir teknolojilerden yararlanabilirsiniz. Yeni ve daha sağlam protokollerin içinde yazılım koruma, donanım kilidi ve silme koruma gibi mekanizmalarla veri koruması bir üst boyuta taşınıyor.
Kendi kendine şifreleme yapan sürücüler ise özellikle veri ihlali senaryolarında şirketlerin imdadına yetişiyor. Özellikle bu tarz sürücülere sahip kurumlar Genel Veri Koruma Yönetmeliği (GDPR) kapsamınca halka açıklama yapmak zorunda kalmıyor. Aksi halde ilk andan itibaren veri güvenliği ve mahremiyet hakları nedeniyle durum raporu yapması gereken kurumlar itibar kaybına uğruyorlar. Kendi kendine şifreleme yapan sürücüler bu kritik süreçte zaman kazandırıyor. Elbette yazılım ve donanım dışında her türlü sistem kurucuların, IT uzmanlarının çok iyi bir eğitim alarak veri güvenliği konusunda en yüksek bilgiyle donatılması gerekiyor. Bu kişilerin alacağı önlemler ve çizecekleri yol siber saldırılara karşı şirketi koruyabilir.