Claude Mandy, Symmetry Systems Baş Evangelisti tarafından
Kuruluşlar faaliyet göstermek için verilere bağımlıdır. Günlük operasyonlardan stratejik kararlara kadar, bir organizasyonun ilerlemesini sağlayan şey verilerdir. Dijital dönüşüm ilerledikçe, işletmelerin ürettiği veri hacmi katlanarak artıyor ve veri güvenliği sorunları da onunla birlikte büyüyor.
Burada, verilerin güvenliği konusunda kuruluşların karşılaştığı en yaygın zorluklardan bazılarını, bunlarla ilişkili riskleri ve kuruluşların genel veri güvenliği duruşlarını iyileştirmek için uygulaması gereken en iyi uygulamaları inceleyeceğiz.
Veri Envanteri Eksikliği
Kuruluşların karşılaştığı en yaygın zorluklardan biri veri envanterinin eksikliğidir. Kuruluşlar hangi verilere sahip olduklarını, bunların nerede olduğunu ve neden önemli olduğunu bilmiyorlar. Bunun temel nedeni, organizasyonun farklı bölümlerinde oluşturulan ve giderek artan miktarda verinin oluşmasıdır. Ve bu devasa miktardaki verinin içinde bir yerlerde, kuruluşları riske sokan hassas bilgiler yatıyor.
Bu görünürlük eksikliği onları öngörülemeyen tehditlere karşı savunmasız bırakıyor. Uyumsuzluktan kaynaklanan yasal cezalar, izinsiz veri erişimi veya değişikliklerinden kaynaklanan operasyonel kesintiler ve genel güvenlik üzerindeki ciddi etkiler dahil. Kimlik bilgisi veya sır sonuçta sadece veridir.
Neyse ki, veri envanteri eksikliğinin üstesinden gelinmesi kolay bir sorundur çünkü bu görünürlüğü sağlayabilecek araçlar mevcuttur. Bulut veri depolarında yalnızca hangi altyapı kaynaklarının hassas veriler içerdiğini değil, aynı zamanda verilerin sahipliğini de tam olarak görünür hale getirin. Güçlü bir veri envanteri, kuruluşların potansiyel güvenlik tehditlerini veri ihlaline dönüşmeden önce proaktif bir şekilde belirlemesine ve ele almasına olanak tanıyan herhangi bir etkili veri merkezli güvenlik stratejisi için çok önemlidir.
Uykuda Kimlikler ve Veri Depoları
Veri envanteri eksikliğinin yanı sıra, hareketsiz kimlikler en yaygın veri güvenliği sorunudur ve ihlallere ve saldırılara giden en çok gözden kaçan yollardan biridir. Hareketsiz kimlik, uzun süre boyunca etkin olmayan herhangi bir kullanıcı, rol veya hizmet hesabıdır. Bu kimlikler, işine son verilen çalışanları, etkin olmayan kullanıcıları veya gereksiz izinleri kaldırmak için uygun bir sistem bulunmadığında kuruluşlarda birikir.
Gecikmiş veya eksik çalışan veya satıcı işten çıkarma, hareketsiz kimliklerin yaygın bir nedenidir. Şirketler genellikle yeni çalışanları ve üçüncü taraf kişileri hızla bünyesine katıyor. Ancak bu kullanıcılar ayrıldığında veya rollerini değiştirdiğinde, işten çıkarma prosedürleri çoğu zaman bir kenara itilir. Böylece ayrılan kullanıcıların izinleri veya gereksiz kimlikleri iptal edilmez veya silinmez; böylece kimlik bilgilerinin ele geçirilmesi durumunda eski çalışanların, yüklenicilerin veya potansiyel saldırganların erişimine açık hale gelir.
Temel neden ne olursa olsun, hareketsiz kimlikler ihlaller için yaygın ve gözden kaçan bir yol teşkil eder; çünkü tehdit aktörleri en az direnç gösterecek yolu arar ve tehlikeye atılmış hareketsiz kimlik genellikle hassas bilgileri elde etmenin en hızlı yolu olabilir. Tehdit aktörleri izlenmediği takdirde bu hesapların ve kimliklerin kontrolünü fark edilmeden ele geçirebilir ve hassas verilere erişim sağlayabilir. Hareketsiz kimlikler genellikle daha az izlenir; dolayısıyla, hareketsiz kimliğin tehlikeye atılması durumunda güvenlik ekipleri genellikle ihlalden habersiz kalır.
Aktif olmayan veri depoları kuruluşları daha fazla risk altına sokabilir. Hareketsiz veri depoları eski ve kullanılmaz, sıklıkla unutuldukları ve yönetilmedikleri için saldırıların potansiyel hedefleri haline gelirler. Kuruluşlar, mevzuata uygunluk nedeniyle bilgi arşivlerini saklar veya gelecekteki potansiyel kullanım umuduyla yararlı ömürleri boyunca saklarlar. Ancak gerçekte, atıl veriler, atıl hale geldiklerinde hiçbir zaman kullanılmaz ve iş değeri olmasa da erişilebilir kalır ve Kuruluşun saldırı yüzeyini ve olası bir veri ihlalinin patlama yarıçapını genişleterek riski artırır.
Bu zorlukları gidermek için temizleme görevlerine öncelik vermek ve riski hızlı ve düzenli bir şekilde azaltmak için proaktif egzersizler yapmak önemlidir. Bunu yapmak için kuruluşların, öngörülen veri saklama politikalarına uyması ve yüksek riskli hareketsiz kimliklerin kaldırılmasına ve gereksiz izinlerin kaldırılmasına öncelik vermesi gerekir. İdeal olarak sürekli izleme, uyarı ve proaktif risk azaltma sağlayan otomasyona yatırım yapmalıdırlar.
Aşırı Ayrıcalığın Riskleri
Hareketsiz kimliklerin ve eski kullanıcı hesaplarının yanı sıra, aşırı ayrıcalıklı kimlikler de aynı derecede tehlikeli olabilir. Kullanıcılar yalnızca belirlenen iş sorumluluklarını yerine getirmek için gereken ayrıcalıklara veya en az ayrıcalığa sahip olmalıdır. Bir kuruluş, bir kimliğin ihtiyaç duyduğu erişim veya izin düzeyini olduğundan fazla tahmin ederse (ki çoğu zaman öyle yapar), kendilerini önemli ve önlenebilir risklere açık hale getirir. Kötü niyetli bir kullanıcı, aşırı ayrıcalıklı bir kimlik aracılığıyla erişim elde ederse, daha yüksek erişim elde edebilir ve normal şartlarda olduğundan daha kapsamlı hasara neden olabilir.
Aşırı ayrıcalıklı veri depoları aynı zamanda yaygın erişimi mümkün kılar ve bir kuruluşun veri ihlali riskini artırır. Hemen hemen her kuruluşun aşırı ayrıcalıklı olduğu düşünülen veri depoları vardır. Bir kuruluş içindeki veriler, yalnızca söz konusu verilere gerçek bir iş ihtiyacı olan kullanıcılara sunulmalıdır; ancak bunu belirlemek göründüğünden çok daha zordur. Çoğu zaman, veri depolarında yaygın erişim etkindir ve proje yöneticileri, sonuçta ortaya çıkan izinleri tam olarak anlamadan kimlik bilgilerini paylaşır. İzinler bu şekilde verildiğinde kuruluşlar daha fazla veri ihlali, sızıntı ve kötüye kullanım riskiyle karşı karşıya kalır.
Güvenliği artırmak ve aşırı ayrıcalıkla ilişkili risklerden kaçınmak için kuruluşlara, kesinlikle iş görevlerine ve operasyonel gerekliliğe dayalı olarak doğru boyutta izinler vermeleri ve sürekli olarak doğru boyutta izinler vermeleri önerilir. Ayrıca kuruluşlar, izin yönetimi için kolaylaştırılmış, yarı otomatik bir süreç uygulamalı ve yalnızca gerektiğinde erişimi yeniden vermelidir. Bu önlemler toplu olarak saldırı yüzeyinin azaltılmasına ve ihlal durumunda uzlaşmanın etkisinin hafifletilmesine katkıda bulunur.
Görünürlüğün Artırılmasına Yönelik Bir Durum
Bunlar, kuruluşların büyük miktardaki verilerinin güvenliğini sağlarken karşılaştıkları pek çok zorluktan sadece birkaçı. Bu zorlukların üstesinden gelmek için işletmelerin veri güvenliğine yönelik yaklaşımlarını geliştirmesi gerekiyor. Veri koruması artık geleneksel çevre birimleriyle veya kullanılan cihazlarla sınırlandırılamaz. Bunun yerine, verilerin güvenliğinin sağlanması, verilerin nerede bulunduğuna, ne kadar hassas olduğuna, ona kimin erişebildiğine ve nasıl kullanıldığına ilişkin tam görünürlük gerektirir.
Kuruluşlar, verileri üzerinde tam görünürlüğe sahip olduklarında, hareketsiz verileri ve kimlikleri kaldırabilir, kullanıcılara en az ayrıcalıkları atayabilir ve veri envanterlerinin güvenli ve güncel olmasını sağlayabilirler. Kuruluşların verilerine bütünsel bir bakış sağlayan ve tehditleri sürekli ve proaktif bir şekilde izleyen araçları uygulayarak kuruluşlar, güvenliklerini önemli ölçüde artırır ve hassas bilgilerinin güvenliğini sağlar.
Veriler genellikle bir kuruluşun en büyük varlığı ve aynı zamanda en büyük risk kaynağıdır. Veri hacmi büyümeye devam ettikçe, güvenlik ekipleri bu verileri korumaya çalışırken artan zorluklarla karşı karşıya kalıyor. Bu zorluklarla mücadele etmek için kuruluşların görünürlüğe ve uygun veri yönetimine öncelik vermesi gerekir. Kuruluşlar, verilerinin bütünsel bir görünümünü sağlayan araçları uygulayarak, veri hacimleri artmaya devam etse bile veri ihlali riskini en aza indirir.
yazar hakkında
Claude Mandy, Symmetry’de Veri Güvenliği Baş Evangelistidir; burada inovasyona, sektör katılımına odaklanır ve modern veri güvenliğinin sektörde nasıl görüldüğünü ve kullanıldığını geliştirme çabalarına liderlik eder. Symmetry’den önce Gartner’da 3 yıl boyunca güvenlik, risk yönetimi ve gizlilik gibi çeşitli konuları kapsayan kıdemli yönetici ve analist olarak çalıştı. Bay Mandy, Gartner’dan önce dünyanın en büyük 20 genel sigorta ve reasürans şirketinden biri olan QBE Insurance’ta küresel Baş Bilgi Güvenliği Görevlisi olarak görev yapıyordu. QBE’den önce Claude, Avustralya Commonwealth Bank ile KPMG Namibya ve Güney Afrika’da bir dizi üst düzey risk ve güvenlik liderliği görevlerinde bulundu. Lütfen Simetri Sistemleri: Veri Güvenliği Duruş Yönetimi (symmetry-systems.com) adresini ziyaret edin.