Kurumsal Veri, kurumların ürettiği ve işlediği verilerdir. Bu
verilerin bilinçli/kasti ya da bilinçsiz şekilde değişik yöntemlerle kurum
dışına çıkarılmasına Veri Sızıntısı
denir. NSA sızıntısı, Sony sızıntısı, HSBC sızıntısı, Panama Belgeleri ve
Türkiye kimlik bilgileri sızıntısı buna örnek olarak verilebilir.
Kurumsal Veri iki kısıma ayrılır. Yapılandırılmış Veri (Structured
Data) ve Yapılandırılmamış Veri (Unstructured Data). Veri tabanlarında ve
önceden belirlenmiş türlerdeki tablolarda saklanan verilere yapılandırılmış
veri, diğer verilere de yapılandırılmamış veri denmektedir.
Yapılandırılmış Verilere erişim çoğunlukla
kurumsal bir arayüz üzerinden yapılır (herhangi bir kurumsal uygulama arayüzünü
kullanarak veritabanına kayıt girmek, değiştirmek ve kayıt okumak gibi). Yapılandırılmamış Veriler, Word dökümanı,
excel tabloları, text dökümanları, pdf dökümanları ve emailler gibi,
kullanıcıların kendilerinin oluşturdukları verilerdir.
Genel kabulün aksine kurumsal verinin çoğunluğu (%70 civarı) yapılandırılmamış veridir ve eksponensiyel olarak artmaktadır. Ve yine genel kabulün aksine bu yapılandırılmamış verilerin çoğunluğu mahrem ve değerli bilgiler içerir. Üst yönetim ve iş birimleri kurumsal uygulamalardan sürekli raporlar çekerler. Bunlar genelde çok kalabalık ve anlaşılması/anlamlandırması zor raporlardır. Bazı kullanıcılar bu raporları anlamlandırmak için Excel tablosuna aktarırlar ve burada gerekli işlemleri yaparak daha anlamlı raporlar üretirler (Pivot tabloları, grafikler v.b.). Ya da bu raporların ekran görüntülerini kendi oluşturdukları rapor dosyalarına (Power Point, Word ya da Pdf) eklerler.
Yapılandırılmamış veri sabit değildir.
İşin doğası gereği sürekli hareket halindedir. Mail ile birilerine gönderilir,
cloud üzerindeki bir depolama alanına kopyalanır, mobil cihazlar, taşınabilir
bellekler ve notebooklar üzerinde şirket dışına çıkarılır. Kurum depolama
alanlarında nispeten güvende olan veriler mobil ve cloud ortamında her türlü
saldırıya açıktır.
Her kurum mahrem bilgilerinin dışarıya
sızmaması için bir dizi önlem alır ve bu önlemlerin kendisini korumaya
yeteceğini düşünür. Bu önlemleri alırken bir takım ön varsayımlar belirler. Bu
varsayımların en önemlilerinden birisi saldırının dışarıdan geleceği ve bu
saldırı başarılı olursa kurumsal verilerinin çalınacağıdır. Bu ihtimali ortadan
kaldırmak için ciddi bir güvenlik duvarı yatırımı yapar. Bir diğer varsayım da
önemli verilerinin tamamının veri tabanlarında saklandığıdır. Bu ihtimali
ortadan kaldırmak için de ciddi önlemler alırlar.
Artık hem IT Yöneticileri hem de üst düzey
yöneticiler rahat uyku uyuyabileceklerini düşünürler. Asıl büyük sorun da işte
tam bu noktada başlar. Çünkü veri sızıntılarının büyük kısmı içeriden, kötü
niyetli yazılımlar ve/veya kötü niyetli/bilinçsiz kullanıcılar tarafından geçekleşmektedir.
Elbette ki güvenlik duvarı ve veri
tabanı güvenliği çok önemlidir ve ihmale gelmez ama bunlar yeterli değildir.
Bunların yanında başka tedbirler de almak gerekmektedir. Bu tedbirleri birkaç
ana başlıkta inceleyebiliriz.
Bunlardan ilki Verilerin Sınıflandırılmasıdır (Data Classification). Tüm veriler aynı gizlilik seviyesinde
değildir. Pazarlama materyalleri gibi kimi veriler kurum dışından birileri ile
rahatlıkla paylaşılabilir. Kimi veriler sadece kurum çalışanları ile, kimi
veriler de sadece belirli grup ya da kişilerle paylaşılmalıdır. Bunu sağlamanın
ön koşulu verilerin doğru bir şekilde sınıflandırılmasıdır.
Veriyi iki yöntemle
sınıflandırabiliriz. Birincisi, belirli politikalar tanımlanmış bir sistem ile
otomatik olarak tüm depolama alanlarını taramak ve bu politikalara uyan dosyaları
bulup otomatik olarak sınıflandırmaktır. Bu yöntemin hata toleransı yüksektir
ve mutlaka yetkin birilerinin bu sonuçları gözden geçirmesi ve doğruluğunu
kontrol etmesi gerekir. İkinci yöntem, veri oluşturulurken veri sahibi
tarafından sınıflandırılmasıdır. Bu yöntemin başarı olasılığı daha yüksektir.
Eğer bu yönteme zorlayıcı ve önceden belirlenmiş politikalar uygulanırsa bu
olasılık daha da yükselecektir.
Bu yöntemin temel problemi
kullanıcıların sınıflama yapmaktan vazgeçmeleri ve tüm verileri en düşük ya da
en yüksek seviyede sınıflandırmaya başlamalarıdır. Bu problemi ortadan
kaldırmak için öncelikle kurumsal farkındalığı artırmak ve veri sınıflandırma
yazılımını seçerken, mümkün olan en kullanıcı dostu yazılımı seçmek gerekir.
Diğer bir tedbir DLP (Data Loss / Leak
Prevention) sisteminin kurulmasıdır. DLP, özetle kullanımda, hareket
halinde ve beklemekte olan veriyi tanımlamak, izlemek ve korumak için
konuşlandırılan sistemdir (Wikipedia). DLP’nin düzgün çalışabilmesi için daha önce
de söylediğimiz gibi verinin nerede olduğunun tespit edilmesi ve
sınıflandırılması gerekmektedir. Daha sonra verinin akışını, ne şekilde
kullanıldığını ve bunların genel iş akışımızdaki yerlerini belirlenmesi ve
yanlış iş akışlarının düzeltilmesi gerekmektedir. DLP maalesef tek başına
sihirli değnek değildir ve veri sızıntısını tek başına engelleyemez. Bunun için
yardımcı olabilecek bazı sistemlere ihtiyacı vardır.
Bunu sağlamak için yapılması gereken
bir başka iş Yönetişim (Governance) sisteminin kurulmasıdır. Kurumsal veri
sürekli oluşturulacak, bu veriye erişilecek ve bu veri kullanıcılar arasında
dolacaktır. Bu dolaşım ve erişimi engellemek mümkün değildir. Bu dolaşımın
kontrolü ve denetlenmesi gerekmektedir. Buna Veri Erişim Yönetişimi (Data
Access Governance, DAG) denmektedir. DAG kısaca aşağıdaki konularda çözüm
sunar;
- · Hangi kurumsal kaynakta (File Server, NAS, AD, Exchange, Sharepoint) hangi veriler var?
- · Bu verilere hangi kullanıcının erişme yetkisi var?
- · Kullanıcı bu yetkiyi nereden aldı?
- · Hangi seviyede erişim yetkisi var?
- · Kullanıcı hangi veriye erişti/erişmeye çalıştı ve eriştiğinde ne yaptı/yapamadı?
- · Verinin sahibi kim?
- · Yetkisiz erişimlerin algılanması, engellenmesi ve alarm üretilmesi.
- · Kullanıcıların davranışlarını öğrenme ve bu davranış şekline uymayan hareketleri algılama ve engelleme.
Özetlemek gerekirse, kıymetli olan
kurumsal veridir. Bir çok kurumdan veriler sızmaktadır. Maalesef bu sızıntı
duyurulmaz ise hiç kimsenin haberi olmamaktadır. Kurumsal veri sürekli hareket halindedir. Bu
hareketi engellemek mümkün değildir. Bu verinin nerede olduğunu, hangi seviyede
önemli olduğunu ve kimlerin bu veriye eriştiğini bilirsek ve bu verinin kasti
ya da bilinçsiz bir şekilde kötü niyetli kişilerin eline geçmesini
engelleyebilirsek sorunu çözmüş oluruz.
