Perakendeden hükümete tüm endüstrilerde veri ihlali her zaman meydana gelir. Verilerin korunması CIO’lar için önemli bir ilgi alanıdır fakat veri korumayla ilgili olarak çok sayıda yanlış anlama mevcut. Burada bazı efsaneleri çürüteceğiz ve günlük iş operasyonlarını engellemeksizin verileri korumaya yönelik en iyi uygulamaları açıklayacağız.

Efsane No. 1 Bilgi kaçağını önleme güvenlik yöneticisinin problemidir.

Firmaları virüsler gibi harici tehditlerden korumak uzun bir süredir güvenlik yöneticisinin alanıydı fakat firmayı bilgi kaçaklarından korumak çok daha geniş bir bakış açısı gerektiriyor. Bugün hassas verilerin korunmasındaki güçlük, IT’den hukuk departmanına, yönetim kısmına, tüm iş birimlerini kapsıyor. Her gün, CIO’lar gizli verileri korumak ve federal düzenlemelerle uyumluluğu sağlamak için gerekli teknoloji ve süreçleri konuşlandırmadaki güçlükle yüz yüze kalıyor. Fakat bunu gerçekleştirirken günlük operasyonları engellememeleri gerekiyor.

Efsane No. 3 Verilerimin nerede durduğunu biliyorum.

Çoğu firma verilerinin bulunduğu yer üzerinde iyi bir kontrole sahip değil; ister dosya sunucularında isterse firmanın dizüstü bilgisayarlarında olsun. Kimin veri erişimine sahip olduğunu, iç ve dış ağda nereden nereye gittiğini anlamak yönetim bilgisi için oldukça hayatidir. Hassas bilgilerin belirlenmesine ek olarak, CIO’lar diğer korunmasız alanları da anlamalıdır; güvenli olmayan endpoint’ler ve yaygın veri kaybı vektörlerine (anında mesajlaşma ve web’de sörf) yönelik internet kullanım politikalarının mevcudiyeti gibi.

Efsane No. 4 Verilerimi veri hırsızlığı ve kötü niyetli dâhili kaçaklara karşı daha fazla korumakla ilgilenmeliyim.

Kötü niyetli veri kaçakları ve hırsızlığı kesinlikle dikkat edilecek kadar önemlidir; bununla birlikte çoğu kaçaklar kasıtlı değildir. Hatalar, mevcut iş ya da IT süreçlerindeki sapmalar, çalışan ve üstlenicilerin dikkatsizliği kaçaklara neden olabilir. Forrester Research’e göre kaçakların yüzde 70’den fazlası kazara gerçekleşiyor. Neredeyse her bilgisayarda e-posta otomatik tamamla özelliğinin aktif olması, e-posta’ların kurum dışına yanlışlıkla nasıl gönderildiğini kolayca gösterir. Etkili bir bilgi kaçağı engelleme sistemi geliştirirken günlük risklerin çoğunu çözümleyebilmek için kazayla olabilecek veri kayıplarına odaklanmalısınız.

Efsane No. 5 Bilgi kaçağı engelleme teknolojisi karmaşık ve pahalı; onu kurmamaya değer.

Her organizasyon farklıdır ve kaçakların potansiyel maliyeti farklılık gösterir. Ancak, çok fazla araştırma yapılmalı, açıklarını kapamak için yakın dönemde 118 milyon USD ayıran TJX gibi mağdurların deneyimleri analiz edilmelidir. Forrester Research müşteri bilgileri kayıplarının maliyetini kayıt başına 90 USD ile 305 USD arasında ölçüyor. Bu maliyet kaybedilen bilgi ve işin türüne bağlı. Bununla birlikte müşteri bilgileri çoğumuzun her gün gördüğü kaçakların sadece bir bölümünü temsil ediyor. M&A planları, kazanç raporları ve fikri mülkiyetler gibi gizli bilgiler dışarı sızdığında işletme üzerinde çok daha büyük bir etki bırakıyor. Olası bir kaçağın maliyetini ölçmek için bir risk yönetimi değerlendirmesi yapmak her firmanın kendisine kalmış. Buradan hareketle, firmalar bilgi kaçağı engelleme teknolojisi gibi bilgi kontrollerinin uygulanıp uygulanmamasını belirleyebilir; çoğu durumda bunun gerekli olduğunu görüyorlar

Efsane No. 6 Çalışanlarım şirket dışına ne gönderip ne gönderemeyeceklerini bilir.

Çoğu çalışan kasıtlı olarak bilgi sızdırmaz. Doğru eğitimle bilgi kaçağı engelleme teknolojisi bir araya getirildiğinde veri kaçağı riski önemli oranda azalır. Diğer taraftan çalışanların büyük çoğunluğu firmalarının politikalarından haberdar değildir. Çalışanlar sıklıkla işlerin web üzerinden eve gönderilmesinin neden riskli olduğunu veyahut parola korumasının neden önemli olduğunu anlamaz. Sürekli artan mobil çalışma ortamlarında, çalışanların eğitilmesi daha da önemlidir. Çalışan eğitimi için en iyi uygulamalar iletişimle başlar. Çalışanlara işe yeni başladıklarında ve yıllık kurslar sırasında eğitim verilmelidir. Onlara hangi bilgilerin erişilebilir ve nasıl kullanılabilecekleri öğretilmelidir. İkinci adım eğitimin devamını politika takviyesinin sürekliliği sağlamak için teknolojiyi kullanmaktır. Örneğin, bir bilgi kaçağı engelleme çözümüyle yöneticiler bir politikayı çiğneyen çalışanlara otomatik mesajlar gönderebilir. Bu mesaj onların söz konusu iletişimin neden bir politikayı çiğnediğini bilmelerini sağladığı gibi gelecekte daha farklı davranmaları için cesaretlendirir.

Efsane No. 7 Bilgi kaçağı engelleme teknolojisi iş operasyonlarımı engelleyecek.

“Bilgi kaçağı engelleme” kelimelerini duyduklarında çoğu CIO’nun düşündüğünün aksine doğru esasında çözüm iş süreçlerini geliştirebilir. Eğer verinin ne olduğu, onu kimin gönderdiği ve arzu edilen hedefi bağlamlarına sahip bir ürün geliştirirseniz, bilgi sahipleri bir çiğnenme tetiklendiğinde işin içine IT dâhil olmadan bilgilendirilebilir. Bu da kontrol altında tutulması gereken bilgi kaçağı probleminin getirdiği yönetimsel yükü azaltır.

Efsane No. 8 Eğer bilgi kaçağı engelleme teknolojisini konuşlandırırsam yanlış pozitifler istila eder.

Gerçek kaçaklarla işi birbirinden ayırt etme yeteneği, güvenlik dengesi ve operasyonel verimliliği sağlamak için hayatidir. Elbette bazı bilgi kaçağı engelleme çözümlerinin yanlış pozitif (ve negatif) oranları yüksektir. Yanlış pozitif ve negatiflerin yüksek ve maliyetli oranlarından kaçınmak amacıyla, hem yapısal hem de yapısal olmayan veriler için doğru tespit yeteneklerine sahip bir çözüm arayın. Kullanıcı, veri, hedef, kurumsal yönetim ve mevzuat uyumluluğu çevresinde politikalar oluşturup yürütebilmenizi garantiye almak için taneli politika kontrol setlerine ve olgun yürütme yeteneklerine sahip olduğundan emin olun.

Efsane No. 2 Eğer anında mesajlaşma, web tabanlı e-posta ve harici depolama cihazlarını engellersem bilgi kaçakları hakkında endişe etmeme lüzum yok. Efsane No. 9 Sadece denetim altındaki endüstrilerin bilgi kaçağı engelleme teknolojisine gereksinimi var.

Müşteri verileri firmaların endişe etmesi gereken tek bilgi değil. Her organizasyon korunması önemli olan fikri mülkiyete sahiptir. Eğer bir eğlence firması önemli bir senaryoyu kaybeder ya da bir giysi firması gelecek yılın tasarımlarını sızdırırsa, kayıp söz konusu kurum için sersemletici olabilir.

Efsane No. 10 Bilgi kaçağı engelleme sistemi tüm veri kaçağı problemlerimi çözecek.

Bilgi kaçağı engelleme teknolojisi, hassas verilerin bulunduğu yerleri tespit etmek için bir metot sunar ve sonrasında bu verilerin e-posta, anında mesajlaşma gibi yaygın iletişim metotları aracılığıyla organizasyonu terk etmesini önler. Ayrıca doküman hakları yönetimi, şifreleme, endpoint güvenliği ve elbette fiziksel güvenlik ölçüleri gibi teknolojilerle bir arada kullanılabilir. Bilgi kaçağı engelleme sisteminin amacı, olabildiğince veri kaçağı riskini azaltmak ve firmaların kritik ihlallerin hızlı bir biçimde izleyebilmesi ve buna cevap verebilecek bir yolu sağlamaktır.

Anında mesajlaşma, Web tabanlı e-posta ve harici depolama cihazlarını kontrol etmek temel veri güvenliğini artırabilir; ancak günümüzün bağlantılı dünyasında, bilgi akışı üzerine sıkı kısıtlamalar yerleştirmek iş süreçlerini engelleyebilir ve nihai olarak firmanın büyümesini zorlayabilir. Etkili bir kaçak önleme, bilginin firma duvarları içerisinde tutulması yeteneğine ihtiyaç duyar. Tabi bu gerçekleştirilirken normal iş operasyonlarının meşru kullanımı sekteye uğratılmamalıdır. Bilgi yönetimi dengeli bir yaklaşımı gerektirir. En iyi uygulamalar arasında anında mesajlaşma, web kullanımı gibi şeyler etrafında kaçak önleme politikaları kurmaktır. Bununla birlikte endpoint güvenlik ve şifreleme teknolojileri gibi sayıları giderek artan teknolojiler kullanılarak çalışanların harici depolama cihazlarından güvenli bir biçimde faydalanmaları sağlanabilir.