Yazan: Allen Drennan, Kurucu Ortak ve Müdür, Cordoniq
Uzaktan çalışmayla ilişkili güvenlik zorluklarının ele alınması günümüzün Baş Bilgi Güvenliği Görevlileri (CISO’lar) için kritik öneme sahiptir. Veri ihlalleri ve fidye yazılımı saldırılarının yanı sıra, şirket veya müşteri verilerinin veya diğer hassas bilgilerin uzak çalışma ortamları aracılığıyla paylaşılıp paylaşılmadığı da bir diğer önemli endişe kaynağıdır.
Veri hırsızlığı hızla artıyor. Kimlik Hırsızlığı Kaynak Merkezi’nin yakın tarihli bir raporu, 2023’ün bir yıl içindeki veri ihlali sayısında rekor kırarak 2021’deki tüm zamanların en yüksek seviyesi olan 1.862 ihlali aştığını gösteriyor. Ayrıca IBM, bir veri ihlalinin ortalama maliyetinin 2023 yılında veri ihlali 4,45 milyon dolara ulaşacak; bu, 3 yılda %15 artış anlamına geliyor.
Uzaktan çalışmayı kolaylaştıran araçlar, veri ihlali risklerini artırdı. Cihaz ve ağlardaki önemli artış, saldırı yüzeylerini de genişletti. Çeşitli bulut uygulamaları tarafından toplanan ve saklanan bilgiler de dahil olmak üzere veri depolama, belirsizliği daha da artırıyor.
Bu arada, artan siber güvenlik düzenlemeleri, Genel Veri Koruma Yönetmeliği (GDPR), Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Dijital Operasyonel Dayanıklılık Yasası (DORA), Sarbanes gibi katı uyumluluk düzenlemelerini karşılamak için verilerin korunmasını daha zorunlu hale getiriyor. Oxley (SOX) veya Kaliforniya Tüketici Gizliliği Yasası (CCPA).
Veri şifreleme, verilerin güvenliğini sağlamanın kritik bir parçasıdır. Ancak şifreleme türü yazılım uygulamasına bağlı olarak değişebilir. Verilerinizin farklı durumlarda nasıl korunduğunu anlamak çok önemlidir.
Veri Toplama ve Depolama Sorunları
Veri toplama ve depolama artık her zamankinden daha karmaşık. Örneğin veriler; cihazlar, bulut, veritabanları, tesisler ve veri merkezleri dahil olmak üzere çeşitli yerlerde kullanılır ve depolanır. Bu arada veriler, nasıl kullanıldığına veya nasıl erişildiğine bağlı olarak hızla değişebilen üç farklı duruma (durgun veriler, hareket halindeki veriler ve kullanımdaki veriler) göre kategorize edilir. Kapsamlı veri güvenliği stratejilerinin tüm bu durumları ele alması gerekir.
Üçüncü taraf bulut ve SaaS uygulamalarının yaygın kullanımı, birçok ortama başka bir karmaşıklık katmanı daha ekliyor. Kuruluşların, kullandıkları üçüncü taraf uygulamalar tarafından verilerin nasıl korunduğunun farkında olması gerekir.
Örneğin uygulamalar her kullanım durumunda verileri her zaman korumaz. Örneğin, işbirliği ve iletişime yönelik bazı hazır ürünler, şifreli iletişim sağladıklarını göstermektedir. Ancak bazı durumlarda uygulama yalnızca hareket halindeki verileri şifreleyebilir.
Bazı uygulamalarda kullanımda olmayan veriler şifrelenmeyebilir. Kullanımda olmayan veya üçüncü taraf bir bulutta depolanan veriler yeterince korunmayabilir. Örneğin, bazı video konferans ve işbirliği araçları, kullanımda olmayan verilerin nerede depolandığı konusunda tam kontrol sağlamaz.
Çoğu yazılım ürünü, tüm bulut hizmetleri için şifreleme sunmaz. Sonuç olarak ses ve video dosyaları veya kayıtlar, belgeler veya diğer ortamlar gibi veriler, nasıl ve nerede saklandıklarına bağlı olarak risk altında olabilir. Bu, bilgisayar korsanlarına müşteri verilerine, şirket sırlarına veya diğer hassas bilgilere erişme olanağı sağlayabilir.
Üçüncü taraf uygulamalara yönelik en iyi uygulamalar ve ek güvenlik önlemleri
Uzaktan ve hibrit çalışma ortamları, çalışanlara ve ekiplere ilgi çekici ve üretken bir deneyim için ihtiyaç duydukları araçları sağlayan çeşitli üçüncü taraf uygulamalarına dayanır. Ancak kuruluşların bilgilerini üçüncü taraf uygulamaları veya SaaS araçlarıyla korumak için güvenlik stratejileri ve ek önlemler uygulaması kritik öneme sahiptir.
Bulut tabanlı uygulamalar için uygulanacak bazı ek güvenlik önlemleri şunları içerir:
- Genel sıfır güven stratejisinin bir parçası olarak veri yönetimi ve depolama için sıfır güven ilkelerini uygulayın. Buna cihazlarda depolanan veriler de dahildir.
- Her türlü üçüncü taraf veya bulut tabanlı uygulama için en az ayrıcalık, erişim kontrolü ve kapsamlı Kimlik ve Erişim Yönetimi protokolleri ilkelerini kullanarak verilere erişimi sınırlayın.
- Gerektiğinde özel bulut depolamanın kullanımını destekleyen araçlar da dahil olmak üzere, paylaşılan verilerin nerede tutulduğu ve depolandığı konusunda tam kontrol sağlayan araçları düşünün.
- Herhangi bir şirket altyapısına, ağına veya bulut uygulamasına bağlı cihazlar arasında tutarlı şifreleme sağlayın.
Ayrıca, herhangi bir üçüncü taraf yazılımı değerlendirirken satıcı risk değerlendirmesi için tam durum tespitini ve en iyi uygulamaları takip ettiğinizden emin olun. Her üçüncü taraf yazılım uygulaması, şirket standartlarını karşıladığından emin olmak için iç güvenlik ekipleri tarafından incelenmelidir. Kuruluşlar, tasarımı gereği güvenli olan, yani güvenliği yerleşik olan ve sonradan akla gelen bir düşünce olarak eklenmeyen yazılımlar anlamına gelen yazılımları dikkate almalıdır.
Yazılım satıcısının önerdiği güvenlik ve diğer yazılım güncellemelerini takip etmek ve yazılım satıcısının performansındaki diğer değişiklikleri izlemek de önemlidir. Son olarak, herhangi bir yazılım uygulamasının verilerinizi ve bilgilerinizi nasıl ve nerede sakladığını ve kullandığını anladığınızdan emin olun.
Reklam