KURUM İÇİ ÖNLEMLER

Veri koruma: Neden, kimden ve nasıl korumalısınız? 

John
11 Temmuz 2023

Şirketinizin tüm verilerinin nerede olduğunu ve operasyonlarınız ve süreçleriniz boyunca nasıl yol aldıklarını biliyor musunuz? Şirket verileri e-posta, bulut, yazıcılar, anlık mesajlaşma vb. gibi hem resmi hem de resmi olmayan kanallarda akar. Çalışanlar verilere gereken özeni göstermezse, veriler çok kolay bir şekilde kaybolabilir. Veri koruma hakkında daha fazla bilgi edinin – neden önemlidir ve en iyi nasıl yapılır?

Veri koruma: Neden, kimden, nasıl korumalısınız?

Şirketler nasıl veri üretir?

İş verileri, bir şirketi yönetmekle ilgili her türlü bilgidir. İki tür veri vardır – girdi verileri ve çıktı verileri. Girdi verileri kullanıcılar, çıktı verileri ise bilgisayarlar tarafından sağlanır.

Şirketler çeşitli kaynaklardan ve kanallardan veri toplar ve bunu farklı yazılımlar veya yapay zeka aracılığıyla yaparlar. Büyük veriyi işlemek için ise daha sofistike araçlar kullanılır.

Şirketlerin genellikle sahip olduğu veri örnekleri:

  • Finansal bilgiler
  • Şirket stratejik bilgileri (uzun vadeli vizyon, iş hedefleri, personel gelişimi, eşitlik ve çeşitlilik, vb.)
  • İş ve satış tahminleri
  • Müşteri bilgileri
  • Kişisel veriler
  • Web sitesi trafik istatistikleri
  • Kampanya detayları (sosyal medya, e-posta, vb.)
  • Satış sonuçları
  • Depo ve envanter verileri
  • İK verileri (çalışan bilgileri, maaşlar, ekipler arasındaki etkileşimler vb.)
  • CRM sistemlerinden müşteri ve iş ortağı bilgileri
  • Kaynak kodu
  • Plan ve tasarımlar

Veri akışı nedir

Veri akışı, şirketinizin verilerinin sistemleriniz boyunca hareket etmesidir. Veriler hem yazılım hem de donanım yoluyla akabilir ve taşınma işlemi sırasında değiştirilebilir.

Farklı çalışanlar ve ekipler, veri akışının belirli noktalarında verilere erişebilir. Verileri değiştirebilir, diğer departmanlara veya satıcılara veri sağlayabilir ve hatta verileri silebilirler.

Veriler her an sızabilir ve veri akışının her aşaması veri koruma açısından riskli olabilir.

Şirketler verilerini nerede saklar

Geçmişte şirket verileri kağıt üzerinde, ofis ve arşivlerdeki dosya ve klasörlerde saklanıyordu. Dijitalleşme sürecinde tüm veriler dijital formatlara taşınmıştır. Veriler aşağıdaki kanallar aracılığıyla bulunabilir ve taşınabilir (hem resmi hem de gayri resmi):

  • Dosya paylaşım siteleri ve sosyal medya (WeTransfer, Twitter, Facebook, Send Anywhere)
  • E-posta (Webmail, POP3 / IMAP, SMTP)
  • İnternet (HTTP, HTTPS, FTP, FTPS, P2P)
  • Bulut (OneDrive, Dropbox, Google Drive, Box, SharePoint)
  • Microsoft 365 (Exchange Online, SharePoint Online)
  • Anlık mesajlaşma (Teams, Skype, Slack)
  • Çıkarılabilir depolama (USB, Bellek kartları, Harici sürücüler, Optik diskler)
  • Medya (CD, DVD, Blu-ray, Yazıcılar)
  • Bağlantılar (Bluetooth, FireWire)
  • İşlemler (Kopyala ve Yapıştır, Sürükle ve Bırak, Ekran yakalama)

Verileri neden korumalısınız?

Verilere özenli davranmayan çalışanlar

Dijital, esnek çalışma alanları, uzaktan çalışma ve BYOD yaklaşımlarındaki eğilimler nedeniyle iç kaynaklı tehditler artıyor. Toplam vaka sayısı son iki yılda yüzde 44 oranında arttı. Bu tehditlerin çoğu kasıtsızdır, %56’sına ihmalkâr kullanıcılar neden olurken, %26’sı kötü niyetlidir.

Veriler rakiplerin eline geçebilir

Veriler şirketler için büyük bir değere sahiptir ve kolayca başka bir gelir akışı oluşturabilir. Hatta işleri veri üretimine dayalı olan şirketler bile vardır. Bu nedenle, çalışanlar bir şirketin verilerini çalmak ve rakiplere veya diğer şirketlere satmak için motive olabilirler.

Şirket itibarı

Bir veri ihlali meydana geldiğinde, şirketin itibarı risk altındadır. Medyada yer alan olumsuz haberler müşteri sayısını ve dolayısıyla kârı düşürebilir.

ABD Ulusal Siber Güvenlik Birliği’ne göre, küçük işletmelerin yaklaşı%60′ı büyük bir veri sızıntısından sonraki altı ay içinde kapanmakta ve şirketlerin %85’i bir veri ihlali yaşamaktadır.

İçeridekilerin neden olduğu veri ihlalleri çok maliyetlidir

İhlallerin maliyeti çok büyük olabilir. İçeriden bir tehdit olayının genel maliyeti 2020’de 11,45 milyon dolardan 2021’de 15,4 milyon dolara yükselmiştir. Bir iç tehdidi tespit etmek ne kadar uzun sürerse, maliyetler de o kadar yüksek olur. Ortalama olarak, bir iç tehdit olayını kontrol altına almak yaklaşık üç ay (85 gün) sürmektedir. Keşfedilmesi 90 günden fazla süren olayların şirketlere maliyeti 17,19 milyon dolar olurken, 30 günden kısa sürede keşfedilen olayların ortalama maliyeti 11,23 milyon dolar oldu.

Mevzuata uygunluk ve GDPR

Bir veri ihlali durumunda yasal makamlar para cezaları uygulayabilir. En katı düzenleme GDPR’dir. GDPR’yi ihlal eden şirketler aşağıdaki para cezalarını bekleyebilirler:

  • Alt seviye, hangisinin daha yüksek olduğuna bağlı olarak, 10 milyon avroya kadar veya bir önceki yılın dünya çapındaki yıllık gelirinin %2’sidir.
  • Üst seviye, hangisinin daha yüksek olduğuna bağlı olarak, 20 milyon avroya veya bir önceki mali yılın dünya çapındaki toplam gelirinin %4’üne kadardır.

GDPR hakkında daha fazla bilgi edinin.

Şirketler verilerini nasıl kaybediyor?

Yukarıda belirtildiği gibi, iç kaynaklı tehditlerinin çoğu kasıtsızdır ve hibrit çalışma veya BYOD yaklaşımları gibiçeşitli nedenlerle ortaya çıkar. İçeriden gelen tehditler ayrıca çalışanların yorgun olması, stres altında çalışması veya güvenlik süreçlerinin ve veri güvenliğinin öneminin farkında olmaması nedeniyle de gerçekleşebilir.

İçeriden gelen tehditlerin günlük iş operasyonlarının nasıl bir parçası olduğuna dair birkaç örneğe göz atalım.

Ersen Bey anaokuluna gitmek için acele ediyor

Ersen Bey’in çocuğunu alması gerekiyor ve ertesi gün yapacağı e-posta gönderimi için müşteri veri tabanınıgüncellemek için yeterli zamanı yok. Bunu evden de yapabilir ama şirketinin politikalarına göre VPN olmadan giriş yapması mümkün değil ve yeni bir dizüstü bilgisayar almış ama VPN’i henüz kurmamış.

Bu sırada ana okulunda olan çocuğunun öğretmeni Ersen Bey’i arayıp yolda olup olmadığını sorar. Ersen Bey’in acelesi vardır, bu yüzden Excel sayfasını kopyalayıp kişisel Google Drive’ına yükler ve akşam evde çalışmaya karar verir. Ancak Google Drive’ı tatilinden fotoğraflarla doludur ve Excel sayfasını yüklemek için yeterli boş alan yoktur. Bu yüzden de alelacele şifreleme ve parola olmadan WeTransfer’a yükler. 

Veri koruma: Neden, kimden ve nasıl korumalısınız?

Esra Hanım e-posta gönderirken bir telefon gelir

Esra Hanım, şirketinin CFO’su için finansal belgeler içeren önemli bir e-posta üzerinde çalışırken aniden telefonu çalar. Arayan, hemen çözülmesi gereken önemli bir sorunu olan iş arkadaşıdır ve telefonla gelen talepler her nedense hep önemlidir. Esra Hanım, alıcının e-posta adresini seçerken iş arkadaşıyla telefonda konuşmaktadır. Baskı altındadır ve bu nedenle CFO’nun adı yerine önerilen isimlerden yanlışlıkla bir müşterinin e-posta adresini seçer.

Veri koruma: Neden, kimden ve nasıl korumalısınız?

Hayrettin Bey işten ayrılıyor

Hayrettin Bey’in patronu ile sorunları vardır ve yeni bir iş bulmaya karar verir. Yeteneklidir ve bir rakipten teklif almıştır bile. Hayrettin, şirketinin müşteri veri tabanının yeni işinde yardımcı olacağını biliyor ve bunu yanında götürmeye karar veriyor. E-posta yoluyla göndermenin riskli olduğunu düşünür, bu yüzden USB sürücüsüne CRM verilerini bir dosya olarak aktarır. Artık şirketin yıllardır büyüyen ve gelişen müşteri verileri Hayrettin ile birlikte yeni şirkete, rakibe doğru yola çıkmıştır. 

Veri koruma: Neden, kimden ve nasıl korumalısınız?

Örneklerden de görebileceğiniz gibi, içeriden gelen tehditler kötü niyetli olsa da olmasa da sonuçları bir şirket için kötü niyetli bir eylem kadar zararlı olabilir.

Verileriniz kimlerin eline geçebilir?

  • Hackerlar/fidye yazılım grupları size şantaj yaparak, kendilerine bir miktar para ödemediğiniz takdirde verilerin yayınlanacağı tehdidinde bulunabilirler.
  • Rakipleriniz müşterilerinizin verilerine, iş planlarına veya bilgi birikimine eriştiklerinde sizden bir adım önde olacaktır.
  • Aracılar sizin koşullarınızdan, hesaplamalarınızdan ve marjınızdan haberdar olacakları için daha düşük fiyatlar üzerinde pazarlık yapacaklardır.

Şirketinizin verilerini nasıl koruyabilirsiniz?

Şirketiniz hangi sistemi kullanırsa kullansın, verilerinizi korumanın birkaç evrensel yolu vardır.

  • Veri denetimi gerçekleştirin ve tüm hassas verilerinizi bulun. Şirketinizin ne tür verilerle çalıştığını, verilerin nerede depolandığını ve kimin bu verilerle çalışma erişimine sahip olduğunu veya bunları değiştirebileceğini bilmek iyidir.
  • Hassas verilerin nasıl işlenebileceğini ve bu verilere kimlerin hangi amaçlarla erişebileceğini belirleyen politikalar uygulayın. Politikalarınızın kolay anlaşılır olduğundan emin olun.
  • Çalışanlarınızı eğitin ve onlara veri güvenliğinin önemini açıklayın. Şirketinizin ne tür verilerle çalıştığının ve bunları kötüye kullanmanın sonuçlarının neler olduğunun farkında olmalıdırlar.
  • Verilerinizi şifreleyin ve flash sürücünüzü veya telefonunuzu kaybetseniz bile verilerinizin güvende kalacağından emin olun.

Birkaç veri güvenliği ipucu:

  • Dosya paylaşım siteleri, sosyal medya ve anlık mesajlaşma – Verilerin yüklenmesini engelleyin veya çalışanları riskli işlemler hakkında bilgilendirin
  • E-posta – Bilinmeyen harici e-posta adreslerine veri gönderimini kısıtlayın, çalışanları olası ihlal hakkında bilgilendirin
  • İnternet, bulut, M365 – Verilerin şirket dışındaki resmi olmayan kanallara yüklenmesini kısıtlayın veya çalışanları bilgilendirin
  • Yazıcılar – Çalışanlarınızın bağlamsal bilgilere dayalı olarak ne tür belgeler yazdırdığını kontrol edin ve olası veri ihlallerini keşfedin; belirli hassas belgelerin yazdırılmasını kısıtlayın

Safetica verilerinizi nasıl korur?

Veri akışınızı izler

Safetica, şirketinizin kullandığı çeşitli veri akış kanallarını izlemek ve korumak için özellikler sunar. Safetica, şirketinizin giden iletişim kanallarını kontrol eder ve verilerin şirketinizde nasıl dolaştığına dair genel bir bakışsunar. Veri akışlarınızı öğrendikten sonra güvenlik önlemlerini belirleyebilirsiniz. Kullanıcılarınızı riskli davranışlar hakkında bilgilendirebilir veya tehlikeli dosya paylaşım eylemlerini engelleyebilirsiniz.

netmeliklerle uyumlu olmanıza yardımcı olur

Safetica, verilerinizi BT ortamınızın yanı sıra şirketinizden ayrıldığında da izlemenize yardımcı olur. GDPR veya diğer veri koruma yönetmeliklerine uymanıza yardımcı olacak belirli kurallar belirleyebilirsiniz. Çalışanların kişisel ve diğer hassas verilerle nasıl çalıştığını görebilecek ve yanlış kullanım veya kazara politika ihlali riskini ortadan kaldırabileceksiniz. Sistem, bir güvenlik tehdidi durumunda sizi gerçek zamanlıolarak bilgilendirir.

Verilerinizi içeriden gelebilecek tehditlere karşı koruyun

Safetica, kullanıcıların davranışlarını kontrol eder ve anormallikler bulduğunda sizi bilgilendirir. Bir kullanıcı geceleri daha büyük miktarda veri göndermeye başlarsa veya aniden farklı veri türleriyle çalışırsa, potansiyel bir olay vardır ve sistem sizi bilgilendirir ve uygun önlemi alabilirsiniz.

Safetica, çalışanları riskli işlemler hakkında bilgilendirerek onları veri güvenliği konusunda eğitir. Çalışanlarınıza güvenmek önemlidir, ancak unutmayalım ki hepimiz insanız ve insanlar hata yapabilir. Safetica bu riskleri azaltır ve siz de verilerin, insanların ve şirketinizin korunduğunu bilerek huzur içinde uyuyabilirsiniz.

Safetica DLP ile her boyuttan işletme verilerini koruyabilir
Safetica DLP ile her boyuttan işletme verilerini koruyabilir

Etiketler:

Öne Çıkanlar

© 2024, ESET Türkiye

© 1992 – 2024 ESET, spol. s r.o. – Tüm hakları saklıdır. Burada kullanılan markalar ESET spol. s r.o.’nun ya da ESET Kuzey Amerika’nın tescilli markalarıdır.
Diğer tüm isim ve markalar sahipleri olan saygıdeğer şirketlerin tescili altındadır.

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye