Bir yatırımcı olarak, modern veri güvenliği sorununu çözmeye çalışan yüzlerce girişimci ve düzinelerce uygulayıcıyla yıllarca konuşarak geçirdim. Modern işletmelerde veriler iki ucu keskin bir kılıçtır: Bir yandan modern işletmelerin sürekli artan miktardaki verilerden değer elde etmesi gerekmektedir. Günümüz dünyasında en başarılı işletmeler, tüm çalışanların veriye dayalı kararlar almak için verileri verimli bir şekilde kullanabilecek donanıma sahip olduğu işletmeler olacaktır. Bu, yüksek düzeyde veri işbirliğini ve veri erişiminin genişletilmesini gerektirir. Öte yandan, genişletilmiş veri işbirliği ve erişimi, saldırı yüzeyinin genişlemesine yol açarak kurumsal risk duruşunu artırır ve kurumu siber güvenlik tehditlerine maruz bırakır.
Buradaki zorluk görünürlük, erişilebilirlik ve veri kontrolleri arasında bir denge bulmaktır. Geleneksel olarak CISO’lar, kuruluş genelinde veri akışını önlemekle görevli kapı bekçileriydi. CISO’lar, modern kurumsal veri ihtiyaçları için tasarlanmayan hibrit ortamlarda sınırlı görünürlük sağlayan merkezi, kaba taneli erişim kontrolleri için tasarlanmış eski araçları kullanır. Verileri görmenin ve veri üzerinde işbirliği yapmanın etkili yolları olmadığında, veriler sıklıkla kopyalar yoluyla paylaşılır ve bu da verilerin yayılmasına ve verilerin gölgelenmesine neden olur, bu da görünürlüğü daha da azaltır, riski artırır ve sorunu daha da kötüleştirir. Startup Ekosisteminden Yükselen Eğilimlere İlişkin 2023 CISO Hayatta Kalma Kılavuzu için (şirketle ortaklaşa) Cisco Investments, NightDragon ve Team8), kimlik, veri ve işbirliği, yazılım tedarik zinciri ve bulut güvenliği ile ilgili konulara odaklanmak için uygulayıcılarla konuştuk ve 100’den fazla güvenlik liderinin katılımıyla bir anket düzenledik.
Şu anda, yapılandırılmış veri nesnelerine (örn. veritabanları) odaklanacağız ve dosya yönetimini, dosya yönetimini/paylaşımını hariç tutacağız.
Görünürlük: Veri Güvenliğinin Geleceği İçin Bir Taslak
CISO Hayatta Kalma Kılavuzumuzda Veri Erişim Kontrolü, güvenlik hijyeni harcamaları açısından Veri Kimliği ve Ayrıcalıklı Erişim Yönetimi’nin ardından ikinci en yüksek öncelik olarak işaretlendi: CISO’lar, Veri Kimliği ve Ayrıcalıklı Erişim Yönetimi’nin güvenlik hijyeni harcamaları için en önemli önceliklerden biri olduğunu bildirdi. Modern kuruluşlarda verileri güvence altına almanın ilk adımının, veri ile kimliğin ve şu iki soruyu yanıtlama becerisinin kesişiminde olması şaşırtıcı değildir:
- Hangi grupların/kimliklerin ne tür verilere erişimi var?
- Hangi gruplar/kimlikler ne tür verilere erişti?
Symmetry Systems yakın zamanda farklı kimlik nitelikleri ile veri deposu niteliklerini vurgulayan ve CISO’ların ve uyumluluk ekiplerinin şirket içi ve bulut veri depolarına aşırı ayrıcalıklı erişimi görmesine ve düzeltmesine olanak tanıyan bir yönetici Veri Güvenliği Puan Kartı geliştirdi.
Bunun gibi görünümler, hibrit ortamınızda taç-mücevher verilerine yönelik gelişmiş görünürlük geliştirmek için çok önemlidir. Ayrıntılara çift tıklayıp kimin hangi verilere ne zaman eriştiğini görme yeteneği, uyumluluk ve ihlal sonrası soruşturmalar için güçlü bir araçtır.
Modern Veri Güvenliği: Güvenli Veri İşbirliğinin Yol Haritası
Kuruluşların, kuruluş genelindeki veri depoları arasında veri işbirliğini nasıl geliştireceklerini düşünmeye başlaması gerekiyor. Veri güvenliği aynı anda risk yönetimini iyileştirmeli ve kullanılabilirliği geliştirmelidir. Benim bakış açıma göre, veri iş birliğini etkinleştirmek için etkinleştirilmesi gereken birkaç temel kavram var:
- Birleşik veri erişim kontrolleri: veri sahipleri erişim kontrollerini yönetmeye yardımcı olacak ve merkezi erişim yönetimindeki verimsizlikleri ortadan kaldıracak.
-
İnce taneli erişim kontrolleri: Veri kontrollerini satır, sütun ve hücre düzeyine kadar hedefleyerek erişim kontrollerinin bağlamsallaştırılması ve ayrıntılı bir şekilde düzenlenmesi gerekir.
-
Veri ortak üretimi: İnsanların ve sistemlerin, veri kümeleri üzerinde sorunsuz bir şekilde işbirliği yapabilmesi, verileri silolar arasında kopyalama (diğer bir deyişle entegre etme) ihtiyacını ortadan kaldırması, yani veri işbirliği platformu gibi modern platformlar kullanılarak ortak ortak üretim ve işbirliği için “verilerin üretilmesi” gerekir. Cinchy.
Şirketlerin bağlamsal karar almayı gerektiren benzersiz yolculukları olacak olsa da, şirketlere iş kolu düzeyinde işbirliğine yaklaşmalarını, işletmenin daha küçük segmentlerinde zaman içinde katlanarak artan bir etkiye yol açacak veri işbirliğinin kilidini açmalarını öneriyorum. Eski veri güvenliğine bağlı kalan ve modern uygulamaları benimsemekte çok yavaş olan şirketler ve güvenlik ekipleri geride kalacak. Çeviklik, erişilebilirlik ve güvenlik, geleceğin kuruluşlarının verilerden yararlanması ve işleri yönlendirmesi için olmazsa olmazlar.