- Günümüz bilgi güvenliğinde, bilgi verilerinin korunması sadece yasal bir zorunluluk değil, kurumların hayatta kalmak ve karlılık için kritik öneme sahiptir.
- Depolama maliyetlerinin düşmesi ile birlikte, organizasyonlar verilerini daha uzun periyotlarla saklamaya başladılar. Bir gün(ihtiyaç anında) işe yarar bir veri için tüm bu büyük verileri incelemeye başlayacaklar. Ancak büyük veriler ciddi sorunlara neden olabilir. Toplananların çoğu gereksiz, eski, önemsiz (ROT) veya bilinmeyen (karanlık) olabilir ve yıllardır dokunulmamış olabilir.
- Depolama maliyetleri düşük olabilir, ancak ücretsiz değildir. Büyük miktarda veriyi saklamak gereksiz yere maliyetleri artırır ve daha da önemlisi kuruluşunuzu risk altına sokar.
- Dijital olarak saklanan hassas bilgilerin – fikri mülkiyet dahil, müşteriler veya çalışanlar hakkında sosyal güvenlik numaraları, korunan sağlık bilgileri (PHI) ve / veya finansal hesap bilgileri ve kredi kartı bilgileri gibi bilgileri kişisel olarak tanımlayan – uygun şekilde güvence altına alınması gerekir. Önemli verileri bulmak samanlıkta iğne aramak gibi bir şeyse, organizasyon güvenli değildir.
* Yeni bir siber güvenlik raporu, şirketlerin yüzde 80’inin hassas verileri keşfetmekte ve takip etmekte başarısız olduğunu, kritik verilerinin nerede çoğaltıldığını ve ağları arasında nereye taşındığını belirlemekle de yetinemediklerini ortaya koydu.
Veri Sınıflandırmasının Rolü
- Etkili güvenliği sağlamak için öncelikle tam olarak korumaya çalıştığınız veri/verileri belirlemeniz gerekir.
- Veri sınıflandırma kritik bir adımdır. Kuruluşlara, oluşturma sırasında yapılandırılmamış verilerin iş değerini tanımlamalarını, daha az değerli bilgilerden hedeflenebilecek değerli bilgileri ayırmalarını ve verilerin yetkisiz erişime karşı korunmalarını sağlamak için kaynak tahsisi hakkında bilinçli kararlar almalarını sağlar.
- Bilgiler, ortak bir riski paylaşan önceden tanımlanmış gruplara bölünür ve her grup türünü güvenceye almak için gereken güvenlik kontrolleri tanımlanır. Hassas verilerin işlenmesini ve işlenmesini iyileştirmek için; sınıflandırma araçları kullanılabilir ve istenmeden açıklanmaması ve hassas içeriğin çıkarılabilir medyada veya üçüncü taraf web portallarında saklanmaması için veri duyarlılığı bilincini artıran bir güvenlik kültürü teşvik edilebilir. Dikkat çekici renklerde uyarı etiketleri olan verilerin, bize zarara neden olabilecek tehlikelerin farkında olmamızı sağlayarak davranışımızı değiştirebilme, “Gizli” gibi görsel etiketler ve filigranlar, kullanıcılara iki kez düşünmelerini, dijital ve basılı verilerle daha dikkatli davranmamızı hatırlatabilir.
- Başarılı veri sınıflandırması, belirli bir veri kümesine uygulanan güvenlik kontrollerini yönlendirir ve kuruluşların belirli bir süre içinde, belirli bilgileri almak için yasal gereklilikleri (KVKK/GDPR gibi) yerine getirmemize yardımcı olur.
Başarının anahtarları
- Veri sınıflandırması, hassas verilerin uygun şekilde kullanılmasını sağlamak için çalışmaların temelini oluştururken, çoğu kuruluş doğru hedefleri ve yaklaşımı belirleme konusunda başarısız olur. Bu, uygulamaların aşırı karmaşık hale gelmesine ve pratik sonuçlar üretememesine neden olur.
- Etkili veri sınıflandırma için 7 adım vardır:
- Hassas verilerin risk değerlendirmesini tamamlayın.
- Kuruluşun düzenleyici ve sözleşmeye mahsus gizlilik ve gizlilik gerekliliklerini açık bir şekilde anladığınızdan emin olun ve veri sınıflandırma hedeflerinizi, uyumluluk, yasal ve iş birimi liderleri de dahil olmak üzere kilit paydaşları içeren görüşme temelli bir yaklaşımla tanımlayın.
- Resmi bir sınıflandırma politikası geliştirin.
- Granül sınıflandırma şemaları karışıklığa neden olma eğiliminde ve yönetilemez hale geldiğinden, çok granüler olma dürtüsüne karşı koyunuz. Üç ila dört sınıflandırma kategorisi makul. Çalışanların rollerini ve sorumluluklarını sağlamlaştırın. Politikalar ve prosedürler iyi tanımlanmalı, belirli veri tiplerinin hassasiyetine uygun olmalı ve çalışanlar tarafından kolayca yorumlanmalıdır.
Aşağıda örnek bir veri sınıflandırma şeması verilmiştir:
- Her kategori, içerdiği verilerin türlerini, verilerin ele alınmasıyla ilgili yönergeleri ve içerebileceği ilgili olası riskleri ayrıntılandırmalıdır.
- Yasal düzenlemelerin veya gerekli olabilecek farklı erişim kontrol modellerini belirtmek için üst (en hassas) kategoriyi alt kategorilerle sınıflandırmak faydalı olabilir. Netlik için eklenebilecek alt kategorilerden bazıları
- PCI (Kart Sahibi) Verileri
- HIPAA ile ilgili
- GSYİH ile ilgili
- Yayınlanmamış Finansal Veriler
- Politikalarınız tamamlandıktan ve iletildikten sonra, son kullanıcıların dikkatlerini eski verilere çevirmeden önce, yeni oluşturulan ve yakın zamanda erişilen tüm verileri, o günden itibaren sınıflandırması gerekir.
- Veri türlerini sınıflandırır.
- Kuruluşunuzda ne tür hassas verilerin mevcut olduğunu belirleme sürecinde bazı zorluklar ortaya çıkabilir. İş süreçleri etrafında organize edilmesi ve süreç sahipleri tarafından yönlendirilmesi gereken bir çabadır. Her bir iş sürecinizi göz önünde bulundurun – veri akışını izlemek, hangi verilerin korunması ve nasıl korunması gerektiği konusunda fikir verir. Aşağıdaki soruları göz önünde bulundurun:
- Kuruluşunuz, hangi müşteri ve iş ortağı verilerini topluyor?
- Onlar hakkında hangi verileri yaratıyorsunuz?
- Hangi tescilli verileri yaratıyorsunuz?
- Hangi işlem verilerini ele alıyorsunuz?
- Toplanan ve oluşturulan tüm verilerden gizli olanlar nelerdir?
- Verilerinizin yerini keşfedin.
- Kuruluşunuzdaki veri türlerini oluşturduktan sonra, verilerin elektronik olarak depolandığı tüm yerlerin kataloglanması önemlidir. Kuruluşun içine ve dışına veri akışı; kilit bir husustur. Kuruluşunuz verileri dahili ve harici olarak nasıl depolar ve paylaşır? Dropbox, Box, OneDrive, vb. bulut tabanlı hizmetleri kullanıyor musunuz? Peki ya mobil cihazlar?
- Veri bulma araçları, yapılandırılmamış verilerin envanterinin oluşturulmasına yardımcı olabilir ve biçim veya konumdan bağımsız olarak şirketinizin verilerinin tam olarak nerede depolandığını anlamanıza yardımcı olabilir. Bu araçlar aynı zamanda, veri işleyen kullanıcılar hakkında bilgi sağlayarak, veri sahiplerini belirleme konusundaki zorlukları gidermeye yardımcı olur. Keşif çabalarınıza tıbbi kayıt numaraları, sosyal güvenlik numaraları veya kredi kartı numaraları gibi anahtar kelimeler veya belirli veri türleri veya biçimleri dahil edebilirsiniz.
- Verileri tanımlayın ve sınıflandırın.
- Verilerinizin nerede saklandığını bildikten sonra,yalnızca uygun şekilde korunmasını sağlamak için tanımlayıp sınıflandırabilirsiniz. Kayıp ya da ihlallerler ilgili cezaları göz önünde bulundurabilirsiniz.
- Örneğin, korunan sağlık bilgisini içeren bir HIPAA ihlali için kayıt başına hangi cezalar alınabilir? Bir veri setinin oluşturulması ile ilişkili potansiyel maliyetler hakkında bilgi edinmek, onu koruma maliyetini ve hangi sınıflandırma seviyesini belirleyeceğinize dair beklentilerinizi belirlemenizi sağlayacaktır.
- Ticari sınıflandırma araçları, uygun sınıflandırmaların belirlenmesini kolaylaştırarak ve daha sonra sınıflandırma etiketini öğenin meta verilerine ekleyerek veya filigran olarak uygulayarak veri sınıflandırma işlemlerini sağlar. Etkili sınıflandırma sistemleri, kullanıcı odaklı olup, sistem tarafından önerilen ve otomatikleştirilmiş özellikler sunar:
- Özel veri sınıflandırma seçenekleri menüsünün sağlanması. Bir veri kümesi içindeki içeriğin ve ardından kullanıcı tarafından seçim için sınıflandırma seçeneklerinin sunulması.
- Sistemin, sınırlı (varsa) kullanıcı girişi olan analiz motorlarına göre uygun sınıflandırmayı seçtiği otomasyon.
- Denetimleri etkinleştirin.
- Temel çözümler için siber önlemler alın ve uygun çözümlerin uygulandığından emin olmak için her veri sınıflandırma etiketi için politika temelli kontroller tanımlayın. Yüksek riskli veriler daha ileri düzeyde koruma gerektirirken, düşük riskli veriler daha az koruma gerektirir. Verilerin nerede bulunduğunu ve verilerin organizasyonel değerini anlayarak, ilişkili risklere dayanarak, uygun güvenlik kontrollerini uygulayabilirsiniz. Sınıflandırma meta verileri, hangi bilgilerin hassas olduğunu ve nasıl korunması gerektiğini belirlemek için veri kaybı önleme (DLP), şifreleme ve diğer güvenlik çözümleri tarafından kullanılabilir.
- İzleyin ve bakımını yapın.
- Kuruluşun veri sınıflandırma sistemini izlemeye ve sürdürmeye, gerekli güncellemeleri yapmaya hazır olun. Sınıflandırma politikaları dinamik olmalıdır. Kullanıcıların benimsemeyi teşvik etmelerini ve yaklaşımınızın işletmenin değişen ihtiyaçlarını karşılamaya devam etmesini sağlamayı içeren bir gözden geçirme ve güncelleme süreci oluşturmalısınız.
Seçici olun
- Tüm verilerin sınıflandırılması, az sayıda firmanın idare edebileceği pahalı ve hantal bir faaliyettir. İyi bir saklama politikası veri kümelerinin azaltılmasına yardımcı olabilir ve çabalarınızı kolaylaştırabilir. Gizlilik gereksinimlerinize göre sınıflandırmak için belirli veri türlerini seçerek başlayın ve giderek daha gizli veriler için daha fazla güvenlik ekleyin.
Tüm Veriler Eşit Olmalı
- Bilgilerin imha edilmesine kadarki süreçte, veri sınıflandırması; kuruluşunuzun verilerinin etkin bir şekilde korunmasını, depolanmasını ve yönetilmesini sağlamasına yardımcı olur. Veri sınıflandırmasını veri koruma stratejinizin merkezine koymak, hassas veriler için riskleri azaltmanıza, karar vermeyi geliştirmenize ve DLP, şifreleme ve diğer güvenlik kontrollerinin etkinliğini artırmanıza olanak tanır. Basit bir sınıflandırma şeması oluşturarak, verileri kapsamlı bir şekilde değerlendirerek ve konumlandırarak ve doğru çözümleri uygulayarak, kuruluşunuzun; hassas verilerini uygun şekilde kullanılmasını sağlamak ve iş süreçlerinize yönelik tehditleri azaltmak için basitleştirilmiş, düzenli bir sistem sağlar.