Yazar: Ali İlker Yüceer
E-mail: [email protected]
IT Network’ün yazarlarından Ali İlker Yüceer Veri’nin önemine yönelik yazısını sektör ve okuyucularımız için kaleme aldı…
Veri kelimesinin tekil hali aslında latince’den gelmektedir. Sözlük anlamı ise “gerçek” tir. Fakat toplanan verilerden her zaman somut gerçekleri beklememiz söz konusu olamaz. Burada en önemli nokta gerçekten ihtiyacımız olacak verileri toplamaya özen göstermemizdir. Tekrarlanan veya ihtiyacımız olmayacak verileri toplamak, bu veri yığınından gerçek bilgiyi elde etme sürecimizi yavaşlatacaktır. Bu noktada veri yönetimi devreye girmektedir. İyi yönetilen veriler kurumların en önemli değerlerinden biri haline gelmektedir.
Hızla gelişen teknoloji ve dijitalleşme ile birlikte verinin ve bu veriden çıkarılan gerçek bilgilerin önemi artmaktadır.
Genellikle veri ve bilgi kavramları karıştırılmaktadır. Bildiğiniz üzere veriler, derleme, ölçüm, deney, sayım, gözlem ve araştırma yolu ile elde edilmektedirler. Verilerin tek başına bir anlamı ve işlevi yoktur. Toplanan veriler, belirli kriterlerle sıralanarak, gruplanarak ve özetlenerek işlenip, enformasyona dönüştürüldüklerinde bir anlam teşkil edeceklerdir, ancak bu durumda problem çözme ya da karar verme gibi bir amaca hizmet edebilecek duruma geleceklerdir.
Bilgi ise, verilerin analiz edilmesi ve sentezlenmesi sonucu karar vermeye yönelik olarak elde edilen üst seviyeli gerçeklerdir.
Veri ve bilgi güvenliği
Veri güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bu bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür.
Bilgiye sürekli olarak erişim sağlanan bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci ise bilgi güvenliği olarak tanımlanabilir.
Veri güvenliği ile, kurumdaki işlerin sürekliliğinin sağlanması, işleyişte meydana gelebilecek aksaklıkların azaltılması, Ar-Ge verilerinin çalınmasının önlenmesi gibi çok çeşitli tehditlerden korunmasını sağlayabiliriz. Ham haliyle bir şey ifade etmese de veriyi korumamız önem arz etmektedir.
Bilişim teknolojileri hızla gelişmekte ve kurumlar bu teknolojilere ayak uydurmak için yeniden yapılanarak, daha başarılı faaliyetlere, hizmet ve ürünlere ulaşmanın gayreti içerisindedirler.
Teknolojinin bu kadar hızlı yayılması ve gelişmesi, beraberinde güvenlik tehditlerini de getirmiştir. Bu tehditleri yok edebilmek, bilginin gizliliğinin korunmasını sağlayabilmek tüm kuruluşlar için önemlidir.
Veri güvenliği temelde 3 unsuru hedefler:
Gizlilik (Confidentiality)
Bütünlük (Integrity)
Kullanılabilirlik (Availability)
Bu kavramların anlamlarını biraz daha açarsak;
Gizlilik: Bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesi diye tanımlayabiliriz.
Bütünlük: Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır.
Kullanılabilirlik: Bilginin, yetkili kişiler tarafından her ihtiyaç duyulduğunda kullanıma hazır durumda olması anlamına gelmektedir. Herhangi bir problemin meydana gelmesi durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcılara verilen haklar çerçevesinde olmalıdır.
Bilgi güvenliğinin sağlanması için bilgi varlıklarının korunması gerekmektedir. Fiziksel olarak korunması için, fiziksel güvenliğin, transfer edilmesi gereken bilginin korunması için iletişim güvenliğinin, sistemlere erişimlerin kontrol edilmesi için bilgisayar ve ağ güvenliğinin sağlanması gerekmektedir.
Bir kuruluşun ISO 27001 sertifikasına sahip olması, kurumun güvenlik risklerini bildiği, yönettiği, belli riskleri de ortadan kaldırmak için kaynak ayırdığı anlamına gelmektedir.
Veriler sadece kurumsal bilgiler olmayabilir, korumamız gereken diğer önemli veriler ise kişisel verilerdir. Kişisel verilerin korunması için yoğun çalışmalar sürmektedir. Özellikle Kişisel Verileri Koruma Kurulu tarafından farkındalığın arttırılması için hem sosyal medyada hem de yapılan seminer ve bilgilendirme toplantılarıyla konuya büyük hassasiyet gösterilmektedir.
Veri Güvenliği ve Kişisel Verilerin Korunması
Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Güvenliğinin sağlanması konusunda kurumun web sitesinde bir rehber yayınlayarak kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla veri sorumlusunun alması gereken teknik ve idari tedbirlere ilişkin başlıca yöntemleri kamuya açıklamıştır.
Veri ve bilgi güvenliğini nasıl sağlarız?
Teknolojik sistemler üzerinde yer alan verilerin güvenliği uzun zamandır şifrelenme yöntemi ile korunmaktadır. Elektronik ortamlarda verilere erişmeyi engellemenin yanında fiziksel şekilde de verilere erişmenin engellenebilmesi çok önemli bir detaydır. Bu şekilde hem fiziksel olarak hem de elektronik ortamda verilere erişmeyi engelleyen en etkili yöntem yetkilendirme yöntemidir. Özellikle bir kurum ya da firmanın ilk olarak odaklanması gereken husus fiziksel erişimdir. Yetkilendirme sisteminin anlaşılamadığı durumlarda tek başına şifreleme yöntemi ile veri güvenliğinin sağlanması mümkün olmayabilir. Bu durumda erişim hareketleri izlenemediği için veriler büyük risk altında olacaktır.
İçten oluşan tehditler;
Veri güvenliği ile ilgili tehditlerin oluşması veya risklerin ortaya çıkması içyapı kaynaklı olabilir. Dolayısıyla, veri güvenliğine yönelik riskleri doğrudan dış kaynaklı olarak hesap etmek asla doğru değildir ve eksik bir yaklaşımdır. Kurum içerisindeki bilgi teknolojilerine her türlü cihazdan bağlanmak, veri güvenliği riski oluşturan tehditlerden birisidir. Her cihazdan erişimin yapılması bilgi teknolojilerine sızma imkanlarını arttıracaktır. Bunun yerine belli cihazlar üzerinden veya personel cihazlarını da ağ sistemine kayıt ederek harici cihazların sisteme girişleri engellenmelidir. Bununla birlikte iki faktör doğrulama metotlarını da kullanmak daha güvenli olacaktır.
Personelin eğitimi önemli mi?
Her ne kadar teknolojik açıdan bir dizi tedbirler alınsa da, veri güvenliği kavramı ve bununla ilgili birleşenlerin personelce anlaşılmaması bazı riskler medyana getirir. Veri güvenliği konusunda personelin bilinçlendirilmesi, bilgisayar güvenliğini sağlamaya yönelik alınması gereken tedbirler hakkında eğitilmesi, bir nevi bilgisayar okuryazarlık eğitimleri ile cihazların güvenli kullanımı ile ilgili bilinç oluşturulması sağlanmalıdır.
Personelle ilgili tedbirlerin alınmaması durumunda bazı açıkların ortaya çıkması söz konusu olur. Her ne kadar teknolojik aygıt ve cihazlarla veri güvenliği konusuna eğilmek yeterli gibi gözükse de, her geçen dönem değişen siber saldırı teknikleri nedeniyle bilgi hırsızlığına maruz kalınabilir. Bunların önündeki engeller, eğitim ve farkındalığın arttırılmasıyla aşılabilir.
Sonuç olarak;
Her geçen gün önemi ve değeri bir kat daha artan verilerin güvenliğine, kurumlardaki sadece bilgi güvenliği birimleri değil, çalışan tüm personelin dikkat etmesi gerekmektedir.
Güvenliği sağlamak için gerekli tüm güvenlik ürünlerini kullanmak gerçekten güvenli olduğumuz anlamına gelmeyecektir. Zafiyetlerin en önemli faktörü insandır. Kurum çalışanlarının eğitim ve etkinliklerle farkındalıklarının arttırılması, güvenli hissetmemize bir adım daha yakın olmamıza vesile olacaktır.
Güvenli günler dilerim, kalın sağlıcakla…
#Ali İlker Yüceer, #Veri İmportant
Son Yorumlar