DOLAR
34,8957
EURO
36,7478
ALTIN
3.011,97
BIST
10.058,63
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul
Çok Bulutlu
9°C
İstanbul
9°C
Çok Bulutlu
Cuma Parçalı Bulutlu
10°C
Cumartesi Yağmurlu
11°C
Pazar Hafif Yağmurlu
9°C
Pazartesi Az Bulutlu
10°C

Şahsî data ihlalini önlemek için neler yapılmalı?

Şirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük değer taşıyor. Yapılan araştırmalar …

Şahsî data ihlalini önlemek için neler yapılmalı?
24/02/2021 11:01
276
A+
A-

Şirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük değer taşıyor. Yapılan araştırmalar kuruluşların %65’inin son 12 ayda bir yahut daha fazla içeriden atağa uğradığını raporluyorken tek bir olayın neden olduğu maddi ziyanların giderilmesi için 100.000 ile 500.000 dolar ortasında harcadığını bildiriyor. “Dışarıdaki hackerlerin şirketin data tabanlarına girmek için güvenlik duvarlarını ve öbür güvenlik tedbirlerini aşmanın yollarını bulması gerekiyor lakin birçok dahili kullanıcının zati bu bilgi tabanlarına erişimi olduğu için içeriden bilgi sızdırmak daha kolaydır.” sözlerinde bulunan  Günal, şirket içi tehditlerin neden olduğu şahsî data ihlaline karşı yetki matrisi oluşturulması ve departmanlar ortası bilgi akışına müsaade verilmemesi gerektiğini aktarıyor. 

Şirketlerin 3’te 2’si Akınlarla Karşılaştı 

Dışarıdan gelen tehditler her vakit bir kuruluşun tasaları listesinde en üst sırada yer alsa da içeriden gelen tehditler de şirketlerin büyük hasarlarla müsabakasına neden oluyor. O denli ki son araştırmalara nazaran üç şirketten ikisi içeriden hücuma uğrarken karşılaştıkları bilgi ihlalleri karşısında da kıymetli maddi kayıplar yaşıyor. Bilgi güvenliği konusunda yeteri kadar eğitilmemiş çalışanların ekseriyetle hackerlerin dahili bilgi tabanlarına yahut hatalı olarak kendilerinin verimli olabilecek bilgilere erişimini kolaylaştıracağını belirten Serap Günal, şirketleri bu çeşit berbat niyetli iç tehditlere karşı dikkatli olması gerektiği konusunda uyarıyor. 

Departmanlar Ortası Bilgi Akışına Dikkat Edilmeli 

Başta sıhhat, finans ve turizm dalları olmak üzere birçok bölüm içerisinde yaşanan ferdî data ihlalleri, şirketleri sorunun kaynağını araştırmaya yönlendiriyor. Dış tehditlere karşı idari ve teknik altyapılarını oluşturmaya başlayan şirketlerin gözden kaçırdıkları değerli noktayı şirket içi tehditler oluşturuyor. Şirket içi tehditlerin yaratacağı ziyanlara şirketlerin dikkat etmediğini aktaran Günal, ferdî bilgilerin korunması ismine atılması gereken kıymetli adımlardan birinin şirket içi şahsî bilgilerin korunması ve güvenliğine yönelik idari prosedürlerin uygulanarak departmanlar ortası bilgi akışının gerçekleşmemesi olduğunu belirtiyor. KVKK uyumluluğu sürecinde tahlil ettikleri şirketlerdeki genel kusurun elde edilen ferdî bilgiyi şirket içerisinde muhakkak kurallara nazaran koruyamama olduğunu tespit ettiklerini belirten Günal, açık isteği alınan ve muhakkak bir departmanın nezaretinde olması gereken şahsî bilginin alakasız bir departmana aktarılması, sonucunu büyük bir krizin meydana getireceği süreci başlattığını belirtiyor. 

Şirketlerde Yetki Matrisi Oluşturulmalı, Erişim Logları Kayıt Altına Alınmalı 

Ferdî Bilgilerin Korunması Kanununda mevcut prensiplere karşıtlık riskini daha da artıran departmanlar ortası bilgi akışına karşı şirketlerde data segmentasyonu gerektiğini de hatırlatan Serap Günal, her departmanın yalnızca kendine özel tutulan bilgilere erişim sağlaması gerektiğini, aksi takdirde yetkisi olmayan kimselerin sağlayacağı yetkisiz erişimlerle ihlallerin yaşanmaması için bir nedenin kalmayacağını tabir ediyor. Şirketlerde paylaşılan her türlü evrak ve bilgi tabanı için kimin erişim yetkisi olduğu, kimin ne vakit ne halde hangi aygıttan erişim sağladığı ya da erişim yetkisinin olduğunu bilmenin ve belirlemenin gerekliliğini değerli bir adım olarak gören Günal, erişim yetkisi verilen şahısların de ayrıyeten kaydının tutulmasını gerektiğini, bu yüzden oluşturulan yetki matrisinin fonksiyonelliğini ve verilen yetkilerin berbata kullanılıp kullanılmadığının da tutulan erişim logları ve log kayıtları ile ölçülebileceğini söz ediyor.

Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.