Çok fazla kişinin ihtiyaç duymadıkları şirket verilerine erişimi var. Ayrıca, çok fazla şirket odaklanıyor kimlik doğrulama (kimlik doğrulama) bir güvenlik önlemi olarak ve önemini göz ardı yetki (erişim hakkının doğrulanması).
Çalışanlara işlerini yapmak için ihtiyaç duydukları verilere erişim vermek önemli olsa da, çok fazla erişim vermek veri ihlali riskini artırır. Kitlesel işten çıkarmalar, piyasa dalgalanması ve jeopolitik belirsizlikle gelen ekonomik sıkıntıyla karşı karşıya kaldığımızda uygun yetkilendirmenin sürdürülmesi özellikle önemlidir. Şirketler, en zayıf oldukları ve dikkatlerinin en çok dağıldığı anlarda siber suç ve içeriden bilgi ihlalleri açısından daha yüksek risk altındadır.
Bu riskleri azaltmak için şirketlerin, yetkilendirmenin veri güvenliği stratejilerinin temel bir unsuru olduğundan emin olmaları gerekir.
Güvenliğin temel bir bileşeni olarak yetkilendirme
Yetkilendirme, yalnızca önceden onaylanmış çalışanların gizli verilere erişebilmesini sağladığından, hassas bilgilerin korunması açısından kritik öneme sahiptir.
Yetkilendirme göz ardı edildiğinde, şirketlerin kimin neye eriştiğine dair çok az görünürlüğü vardır veya hiç yoktur. Bu, erişimi izlemeyi, olağandışı davranışları belirlemeyi veya potansiyel tehditleri tespit etmeyi zorlaştırır. Ayrıca, birçok sektör raporuna göre veri ihlallerinin önde gelen nedenlerinden biri olan “aşırı ayrıcalıklı” kullanıcılara sahip olunmasına da yol açar.
Yetkilendirme gözetimi, çalışanlar bir şirketten ayrıldığında veya kuruluş içindeki rollerini değiştirdiğinde, artık ihtiyaç duymadıkları hassas verilere erişmeye devam edebilecekleri için kritik önem taşır. Erişim hakları asla sona ermezse, yetkisiz kullanıcılar hassas verilere erişebilir. Ve işten çıkarmalarla birlikte veri hırsızlığı riski artar.
Uygun yetkilendirmenin olmaması, şirketleri ayrıca Genel Veri Koruma Yönetmeliği (GDPR) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi gizlilik yasalarına uymama riskine sokar ve bu da önemli cezalara ve itibar zedelenmesine neden olabilir.
Çoğu kuruluş hassas verileri bulutta depolar ve çoğunluğu bunu herhangi bir şifreleme türü olmadan saklar, bu da uygun yetkilendirmeyi daha da gerekli hale getirir.
Bu kadar yüksek riskler varken, şirketler yetkilendirmenin veri güvenliği stratejilerinin bir parçası olmasını sağlamak için neden daha fazlasını yapmıyor?
(Çok gerçek) yetki mücadelesi
Herhangi bir zamanda hassas verilere tam olarak kimin eriştiğine dair net bir resim olmadan, yetkisiz erişimi önlemek için uygun kontrolleri devreye sokmak zordur. Bu görüşü elde etmek birkaç nedenden dolayı zordur:
1. Karmaşık veri altyapısı: Birçok şirketin çok sayıda veritabanı, veri ambarı ve veri gölü içeren karmaşık veri altyapıları vardır. Hassas verileri keşfetmek, bunlara erişimi yönetmek ve tüm bu veri depolarında güvenliğini sağlamak zor olabilir.
2. Verimsiz süreçler: Birden çok veri kaynağına sahip büyük kuruluşlar, veri erişimini yönetmekte ve kontrolleri uygulamakta doğal olarak zorlanır. Merkezi bir sistem olmadan, güvenlik, veri veya DevOps ekipleri, izin isteklerini manuel olarak inceliyor ve yetkilendirmeleri yönetiyor; bu, zaman alıcı ve hataya açık bir süreç.
3. Sürekli değişen iş gücü: Çalışanlar roller arasında geçiş yaptıkça veya kuruluştan ayrıldıkça, erişimlerinin değişmesi gerekir. Bu değişiklikleri takip etmek ve izinlerin buna göre güncellenmesini sağlamak, özellikle hızlı ortamlarda zordur. Toplu işten çıkarmalarla, bu daha da karmaşık hale gelir ve yetkilendirmeler çok uzun süre kontrolsüz kalır.
Veri paylaşımını risk azaltma ile dengeleme
Kuruluşların rekabetçi kalabilmeleri için verileri hızlı ve sorunsuz bir şekilde paylaşmaları gerektiği açıktır. Bununla birlikte, güvenlik açısından, ihtiyaç duydukları verilere yalnızca yetkili kullanıcıların erişebilmesi ve artık gerekli olmadığında erişimi iptal etmek için kontrollerin mevcut olması çok önemlidir.
Etkili yetkilendirme politikaları, hassas bilgileri korumanın ve güvenlik ihlallerini en aza indirmenin ayrılmaz bir parçasıdır ve aynı zamanda işbirliğini ve veriye dayalı karar almayı teşvik eder.
İlk adım, şirketinizde hassas verilere kimin eriştiğine dair net bir resim elde etmektir. Ardından, uygun erişim kontrollerini devreye sokmak önemlidir. Birkaç farklı yaklaşım vardır, ancak tam zamanında (JIT) veri erişimi yaklaşımı, riskleri en aza indirirken veri paylaşımını en iyi şekilde dengeler.
Şirketler, onaylanmış kullanıcılara geçici erişim vererek ve artık gerekli olmadığında erişimi iptal ederek, üretkenliği optimize ederken veri ihlali tehlikesini azaltabilir. Uygun veri sınıflandırması ve düzenli izleme ile eşleştirildiğinde, şirketler yetkilendirme gözetiminin üstesinden gelebilir ve genel riski azaltabilir.