Teknolojinin hızla gelişmesi ve bunun üretkenlik açısından faydaları özel ya da kamu kuruluşlarının bu yeni durumu hızla sahiplenmesine sebep olmaktadır. Böylece mekanik yeterliliklerle oluşturulan yapılandırmaların ötesine geçen sistemler elektronik ortamda kurulabilir ve geliştirilebilir olmuştur. Bu sayede konularının uzmanları tarafından üretilen veriler kolayca yayınlanabilir ve konuyla ilgilenenler tarafından kolayca erişilebilir olmuştur. Merkezde yaşayanlara göre taşrada yaşayanların daha geç bilgi sahibi olduğu dönemler geride kalmış, bir olayın herkes tarafından anında ve aynı anda haberdar olduğu bir ortam digitalleşme aracılığıyla sağlanmıştır.
Gelişmeler sonucu medya etkileşimli hale dönüşerek zamanla daha etkili bir araç haline bürünmüş ve sosyal medya paylaşımlı bir haber iletişim kanalı haline evrilmiştir.
İhtiyaç duyan herkes motivasyonu çerçevesinde veriye ulaşabilir, çoğaltabilir, değiştirebilir, çarpıtabilir, başkalarını yönlendirmek üzere manipüle edebilir, fikir sahibi olmak üzere veya kazanç elde etmek üzere değerlendirebilir durumdadır. Öğrenmeyi ve bilgi edinmeyi kolaylaştıran bu durum beraberinde erişilen bilginin doğruluğunu da teyide muhtaç hale getiren riskleri beraberinde getirmiş aynı zamanda kolay erişilebilir olması her bireyi risk altında bırakmıştır. Kolay erişim, kolay paylaşım, kolay fotoğraflama, kolay ses kaydı, kolay müdahaleler bütün dünyada önce bu durumun tartışılmasına sonra kişisel gizliliğin ve unutulmanın bir hak olduğu kanaatinin oluşmasına sebep olmuştur.
Digital ortamda kayıt altına alınan kişisel bilgiler korunmaya muhtaç olup, bulundurulması, çoğaltılması, paylaşılması içeriğin hassasiyeti sebebiyle özel şartlar gerektirmektedir.
Kişisel bilgilerin ele geçirilmesi halinde ilgili kişinin yaşayacağı zorlukları değerlendiren otoriteler, öncelikle bu cürümü işleyenlerin tespit edilmesi halinde bazı yaptırımların uygulanmasını yasalaştırırken, sonrasında bilerek ya da bilmeyerek bu duruma sebep olabilecek veya bu girişimi kolaylaştırabilecek ortamlar ve organizasyonlar için de düzenlemeler getirmeyi gerekli bulmuştur.
Belirtilen hassasiyetteki bilginin, talep edilebilmesi ve kaydedilmesi için öncelikle bu konuda yetkili olunması ve kendi bilgisini veren kişinin de paylaştığı bilgi nispetinde bilgilendirilmesi veya rızasının alınmış olması gerekmektedir.
Veri sorumlusu sıfatına haiz kuruluşlar belirtilen verileri hangi alanlarda tuttuğunu, kimlerin erişiminin mümkün olduğunu, gerektiğinde hangi kişiye ait veriye yetkisi dahilinde kimin eriştiğini, yersiz çoğaltılmasının önüne geçilmesini, yetki dahilinde çoğaltılmasını, genel erişim durumlarında hassas verinin maskelenmesi gibi gereken gizlilik şartlarının sağlanması, şifre veya yetki kontrolü ile sadece yetki dahilinde erişimin garanti edilmesi, paylaşım kısıtlamalarının tutarlı olarak uygulamaya devam edilmesi, paylaşım zorunluluğu halinde tek ve izlenebilir bir kanal üzerinde paylaşım izninin verilmesi, bulundurulmaması gereken hassas içeriğin zaman aşımı olduğunda yok edilmesi, doğru yok edilme işleminin garanti edilmesi veri sorumlusu konumunda olan kurum ve kuruluşların sağlamak zorunda olduğu yeterlilikler olmalıdır.
Bu konumdaki, birçok kuruluş, konuya dair bütün gereksinimleri çözümleyecek bir yazılım ile ihtiyacını gidermeyi düşünmektedir. Bu mümkün müdür?
Kişisel verinin elde edilmesinden yok edilmesine kadar oluşan süreçte güvenlik ihtiyacını yönetmek için,
SOC Süreçleri
İşletim Sistemleri
Güncel bir sistemin kullanılıyor olması gereklidir. Her geçen gün farklı bir zafiyet çıkmakta ve bunun giderilmesine yönelik güvenlik yamaları geliştirilip yayınlanmaktadır. Muhtemel siber saldırı riskini azaltacaktır.
Office Uygulamaları
Güncel üretkenlik uygulamaları kullanılıyor olmadır. Her geçen gün farklı bir zafiyetin tespit edilmesi ve güvenlik güncelleştirme yamalarına ihtiyaç duyulması bu uygulamalar için de geçerlidir. Güncel kalmak gibi basit ve düzenli bir müdahale organizasyonun siber tehditler karşısında daha güvende olmasını sağlayacaktır.
Antivirüsler
Güncel ve merkezi olarak yönetilebilir bir Anti Virüs uygulaması kullanılıyor olmalı, her kullanıcıda varlığı garanti edilebilmelidir. Olabilecek saldırıları tespit edip engellemek için yeni geliştirilen atak yöntemlerini hızlı bir şekilde kütüphanesine ekleyip tespit edebilir nitelikte olmalıdır.
Gateway Trafiği
Organizasyon genelinde gelen ve giden internet web veya e-mail trafiği güvenlik açısından denetleniyor, analiz ediliyor ve olağan dışı durumların alarmlara dönüştürüldüğü bir mekanizma ile takip ediliyor olmalıdır. Oluşan alarm ve anomali durumları risk derecesine göre hızla analiz edilip değerlendirilmeli bir aksiyon planı doğrultusunda önemler alınmalı ve müdahalelerde bulunulmalıdır.
Sistem ve Altyapı Yönetimi
AD/LDAP yapısında yetki kontrolünün iyi yapılandırılmış olması gereklidir. Organizasyon içerisinde hassas veriye erişimleri kontrol edebilmek ve yönetebilmek için önemlidir.
Ağ trafiğine kontrolsüz erişim ve zafiyete izin vermeyen bölümlere ayrılmış bir ağ ve güvenlik duvarı yapısı ile sağlandığı bir erişim yönetimi gereklidir.
Ortamdaki donanımlar üzerinde çalışan tüm sistemlerdeki servis ve kullanıcı davranışlarına ilişkin olay kayıtlarının da takibi analizi ve önceden belirlenmiş müdahale gerektiren durumlarda alarmların oluşturulması gerekmektedir.
Güvenli Dosya Paylaşımı (Secure File Share) ve Hak Yönetimi (DRM)
Kendi ortamında erişimlerin yönetilmesinin ötesinde organizasyon dışına paylaşılması durumunda olan kişisel verilerin içerik olarak kısıtlanması bunun ötesinde erişimlerin de kısıtlanabiliyor olması gereklidir. Bu ihtiyacı sağlamak için kurum güvenli paylaşım çözümü ile doğru hedefe ulaştığını garanti edebileceği gibi hatalı paylaşım ya da erişim kısıtlamalarını da yönetebileceği bir şifreleme ve hak yönetimi çözümüyle kişisel veri için üzerinde oluşan ödevi hakkıyla yerine getirebilir.
Organizasyon bünyesinde oluşturulacak güvenli veri paylaşım kanalları, kullanıcılar tarafından kabul görebilir ya da kullanım alışkanlığını değiştiriyor olması sebebiyle kabul görmeyebilir. Bazı durumlarda genel kullanımı istenen senaryoya kullanıcıları sevk etmekte zorluklarla karşılaşılabilir. Ancak zorunluluklar karşılaşılan zorlukların aşılması konusunda çözüm üretmeyi gerektirmektedir.
Veri Sızıntısı Önleme (DLP)
Genel anlamda hassasiyet içermeyen paylaşımların rahatlıkla paylaşılabilmesi ancak hassas içeriğin ve risk içeren dosya ve dokümanları farklı yöntemlerle paylaşmaya sevk eden bir filtreleme sistemi oluşturulması kişisel verilerin organizasyonu zora sokacağı risklerden korunması için gereklidir. Oluşturulacak bu sistem riskli veriler için kullanıcıları doğru paylaşım kanallarına yönlendirmeyi ya da tamamen engellenmesi gereken içeriğin paylaşımını tüm paylaşım kanallarında engellemeyi hedeflemelidir.
Veri Sınıflandırma ve Kimliklendirme (Classification / Identification)
Organizasyon ifade edilen güvenlik yaklaşımını doğru uygulayabilmek ve hatalı engelleme ya da hatalı izin verme durumuna maruz kalmamak için üretilen içeriği üretildiği gerekli kontrollerle kullanıcıyı yönlendiren bir sınıflandırma aracı ile etiketlemeli ve kimliklendirmelidir. Böylece kullanıcı farkındalığı ve güvenlik verimliliği bir üst seviyeye çıkarılmış. Kişisel veri metadata etiketlemesi ile bu konudaki veri envanterinin oluşturulması kolaylaşmış olacaktır.
Yapılandırılmış ve Yapılandırılmamış Veri Analizi ve Müdahaleler (Data Discovery)
Kişisel veri hakkındaki sorumluluk aynı zamanda organizasyon bünyesinde bulunması gereksiz, artık ihtiyaç dışı hale gelmiş, bulundurulması zorunluluğu kalmamış, artık bulunması sakıncalı olan kişisel veriler konusunda da devam etmektedir. Bu alandaki sorumluluk yapılandırılmamış veya yapılandırılmış veride kişisel ve nitelikli kişisel verilerin tespit edilmesi bu veriyi tutmaktaki yasal durumun gözden geçirilmesi ve her kişisel veri için organizasyonun durumunun değerlendirilmesinin ardından gereken aksiyonun alınması gerekmektedir. Bu aksiyon ilgili kişisel veriye ait dosyanın yok edilmesi, şifrelenmesi, güvenli alan taşınması şeklinde olabileceği gibi dosya içerisindeki kişisel verinin maskelenmesi ya da silinmesi şeklinde de olabilir. Böylece kişisel veri hakkında bir gerçek kişinin talebi halinde ihtiyaç duyulan tespit yapılabilecek ve gereken aksiyon alınabilecek ya da bir denetim sürecine her zaman hazır durumda olunacaktır.
Gelinen noktada kişisel verilerin güvenliği açısından zorunluluklar düşünüldüğünde, öncelikle ağ ve alt yapı güvenliğinin, sistem ve uygulama güvenliğinin sağlanmış olması gereklidir. Bilgi güvenliği için gereken gizlilik, bütünlük ve erişilebilirlik kriterlerine organizasyonun uygunluğu için kullanılan altyapı, donanım, sistem, diğer yazılım ve kullanıcının uygunluğunun sağlanmış olması organizasyon bünyesinde kişisel verilerin güvenliğinin sağlanmasının ötesinde bütün bilgi güvenliği ihtiyacının da giderilmiş olmasını sağlayacaktır.