Open in app

Sign in

Write

Sign in

Veri Yönetişimi 4 | Veri Güvenliği

Muhammet Şancı
8 min readAug 13, 2023

--

“Veri güvenliği, dijital dünyanın surlarını örmek gibidir; zayıf bir duvar, tüm değerli varlıklarımızı tehdit altına sokabilir.” — Vint Cerf

Veri güvenliği, değerli veri ve bilgi varlıklarının korunması için oluşturulan politika ve prosedürlerinin planlanması ve uygulanmasını içerir.

Bu yaklaşım, kimlik doğrulama, yetkilendirme, erişim kontrolü ve denetleme mekanizmalarını içerir. Veri güvenliği faaliyetlerinin temel hedefleri arasında riskin azaltılması ve büyümenin desteklenmesi bulunur. Bir kuruluşun verilerinin güvende olması, sadece potansiyel tehditleri azaltmakla kalmaz, aynı zamanda rekabet avantajı sağlar.

Güvenlik, zaten başlı başına bir değerdir; ancak verilerin güvende tutulması, bu değeri daha da artırır. Kurumsal veri varlıklarına yetkisiz erişimin engellenmesi, gizlilik ve korumanın sağlanması için uygun politika ve yönergelerin takip edilmesi gerekir.

Veri Güvenliği Kavramları

  • Vulnerability: Sistem veya yazılımda varolan güvenlik açığı, potansiyel saldırılara açık olan noktadır.
  • Threat: Bilgisayar sistemlerine veya verilere yönelik olası zarar veya tehlike kaynağıdır.
  • Encryption: Verilerin şifrelenerek güvenli bir şekilde iletilmesini veya saklanmasını sağlayan yöntemdir.
  • Backdoor: Bir sistemde gözden kaçan veya gizli olan bir girişi ifade eder. Yetkisiz kullanıcıların sisteme erişmesine neden olabilir.
  • Zombie: Kötü amaçlı bir yazılımın kontrolü altına alınmış, uzaktan yönetilen bir bilgisayar veya cihazdır.
  • Firewall: Ağ trafiğini denetleyen ve istenmeyen erişimleri engelleyen bir güvenlik önlemidir.
  • Super User: Sistemin tüm yetkilerine sahip olan ve genellikle yönetici veya sistem yöneticisi olarak adlandırılan kullanıcıdır. Bu hesaplar yalnızca gerekli zamanlarda oluşturulup ardından askıya alınmalıdır.
  • Key Logger: Kullanıcının klavye girişlerini kaydeden kötü amaçlı bir yazılımdır; genellikle parola ve hassas bilgileri çalmak için kullanılır.
  • Penetration Test: Bir sistemin zayıf noktalarını belirlemek için olası saldırı senaryolarını simüle eden test sürecidir.
  • Social Engineering: İnsanları manipüle ederek hassas bilgilere veya sistemlere erişmeye çalışan saldırı yöntemidir.
  • Phishing: Genellikle sahte web siteleri veya e-postalar aracılığıyla kullanıcıların kişisel bilgilerini çalmayı amaçlayan dolandırıcılık yöntemidir.
  • Malware: Sistemlere zarar veren veya izinsiz erişim sağlayan virüs, worm, truva atı gibi yazılımları tanımlar.

Veri güvenliği kavramı, kendi içerisinde çok sayıda ayrıntı içerir. Bu basit kavramlar haricinde daha derinden incelenmesi gereken bazı kavramlar aşağıdaki gibidir:

A. Risk Sınıflandırma

Risk terimi hem kayıp olasılığını hem de potansiyel kaybı oluşturan koşulu ifade eder. Risk sınıflandırmaları ise, verilerin hassasiyetini ve verilere kötü amaçla bakılması olasılığını açıklar.

Üç ana risk sınıfı aşağıdaki gibidir:

  • Critical Risk Data (CRD), yüksek finansal değeri nedeniyle aranan kişisel bilgileri temsil eder ve bu tür verilerin tehlikeye girmesi, şirketin ciddi dereede maddi ve itibari zararına yol açabilir.
  • High Risk Data (HRD), finansal değeri nedeniyle izinsiz kullanım için hedef olan ve şirkete rekabet avantajı sağlayan bilgilerdir; bu tür verilerin sızması, şirketin fırsat kaybı yaşamasına ve finansal zarar görmesine yol açabilir.
  • Moderate Risk Data (MRD), izinsiz kullanan taraf için somut bir değeri olmayan ancak izinsiz kullanımı şirketi olumsuz etkileyebilecek gayri resmi bilgileri ifade eder.

B. Güvenlik Prosedürleri

Veri güvenliği prosedürleri, dört-A olarak bilinen dört gruba ayrılır.

  • Access: Bir fiil olarak kullanıldığında, erişim, bir bilgi sistemine etkin şekilde bağlanmayı ve verilerle çalışmayı ifade eder. Bir isim olarak kullanıldığında ise, erişim, kişinin verilere geçerli yetkilendirmesi olduğunu belirtir.
  • Audit: Güvenlik önlemlerini ve kullanıcı faaliyetlerini denetlemeye; politika ve standartlara uyumu sağlamaya denir. Bu denetimler, veri güvenliği uzmanları tarafından yapılır.
  • Authentication: Kullanıcı bir sisteme girmeye çalışırken, sistemin kullanıcının iddia ettiği kişi olduğunu doğrulamasına denir. Bunun için şifreler veya parmak izi, yüz tanıma gibi biometrik veriler kullanılır.
  • Authorization: Kullanıcılara rollerine uygun olacak şekilde belirli verilere erişim ayrıcalığı vermektir. Kullanıcı sisteme girmeye çalışırken sistem erişim yetkisini kontrol eder.

C. Veri Güvenliği Tipleri

Veri güvenliği, yalnızca uygunsuz erişimi önlemeyi değil, aynı zamanda verilere uygun erişimi sağlamayı da içerir. Erişimi kontrol altına almak üç cephede gerçekleşir.

  • Tesis Güvenliği: Kötü niyetli kullanıma karşı ilk savunma hattıdır. Tesisler, erişimi yalnızca yetkili çalışanlara verilen kilitli bir veri merkezine sahip olmalıdır.
  • Cihaz Güvenliği: Dizüstü bilgisayarlar, tabletler ve akıllı telefonlar da dahil olmak üzere mobil cihazlar, bilgisayar korsanları tarafından çalınabilecekleri ve fiziksel ya da elektronik olarak saldırıya uğrayabilecekleri için doğası gereği güvensizdir. Genellikle, ifşa edilirse kuruluşa, çalışanlarına veya müşterilerine zarar verebilecek veriler içerirler.
  • Kimlik Güvenliği: Her kullanıcıya bir sisteme erişim elde ederken kullanmak üzere kimlik bilgileri atanır. Çoğu kimlik bilgisi, kullanıcı kimliği ve şifre kombinasyonudur. E-mail domain standartları, şifre standartları, çok faktörlü doğrulama sistemleri bu güvenliği sağlamaya yöneliktir.

D. Veri Maskeleme

Veriler, anlamını veya diğer veri kümeleriyle olan ilişkilerini kaybetmeden, maskeleme yoluyla daha az kullanılabilir hale getirilebilir. Nitelikler içindeki değerler değişebilir, ancak yeni değerler yine geçerli olacaktır. Hassas verileri ekranlarda görüntülerken veya test veri kümeleri oluştururken kullanışlıdır.

Bazı veri maskeleme yöntemleri aşağıdaki gibidir:

  • Substitution: Karakterleri veya tüm değerleri standart bir desen olarak değiştirme işlemi. Örneğin, isimler rastgele bir listeden alınan değerlerle değiştirilebilir.
  • Shuffling: Aynı türdeki veri öğelerini bir kayıt içinde yer değiştirme işlemi. Örneğin, müşteri faturaları arasındaki isimleri karıştırarak, orijinal müşteri ismi, geçerli olan başka bir müşteri ismi ile değiştirilebilir.
  • Value Variance: Rastgele bir faktörü +/– yüzde olarak değiştirme işlemi. Bu yöntem sayıları, eğilimlerini koruyacak kadar küçük, ancak kimliklerini belirsizleştirecek kadar anlamlı bir şekilde değiştirir.
  • Randomization: Veri öğelerinin bir kısmını veya tamamını ya rastgele karakterlerle ya da tek bir karakter dizisiyle değiştirme. Örneğin şifre bilgilerinin ekranda görüntülenirken ****** şeklinde görünmesi.

Sistem Güvenliği Riskleri

  • En Az Ayrıcalık Prensibi: Kullanıcılar yalnızca gerekli verilere erişerek kötüye kullanım riskini azaltmalıdır. Aşırı erişim, verilerin kötüye kullanımına yol açabilir.
  • Ayrıcalığın Kötüye Kullanımı: Yetkili kullanıcılar, ayrıcalıkları kasıtlı olarak veya istemeden kötüye kullanarak verileri riske atabilir. İstemeden kötüye kullanım, kullanıcının geçerli olduğuna inandığı sebeplerle büyük miktarda veriye erişmesi ve bu verileri kaybolma veya çalınma riskine sokması olarak açıklanabilir.
  • Yetkisiz Erişim: Saldırganlar, ayrıcalıklarını sıradan kullanıcılardan yöneticilere yükseltmek için veritabanı yazılımındaki güvenlik açıklarından yararlanabilir ve potansiyel olarak hassas verilere yetkisiz erişim elde edebilir.
  • Paylaşılan Hesaplar: Paylaşılan hesaplar ihlal riskini artırır ve ihlallerin kaynağını izlemeyi güçleştirir. Bu hesapların uygun şekilde yönetilmesi büyük önem taşır.
  • SQL Enjeksiyonu: SQL enjeksiyon saldırıları, yetkisiz veritabanı ifadelerinin savunmasız SQL veri kanallarına eklenmesini içerir. Bu sayede saldırganlar sınırsız veritabanı erişimi elde edebilir.
  • Varsayılan Parolalar: Yazılım yüklemesi sırasında oluşturulan varsayılan hesap ve parolalar güvenlik riskleri oluşturabilir. Hassas verileri korumak için varsayılan parolaları ortadan kaldırmak ve güçlü, benzersiz kimlik bilgileri oluşturmak önemlidir.
  • Yedekleme Güvenliği: Veritabanı yedeklerini şifrelemek ve şifre çözme anahtarlarını güvenli bir şekilde yönetmek, yedek verilere yetkisiz erişimi önlemek için çok önemlidir.

Veri Güvenliği Altyapı Hazırlığı

A. Gereksinimler

  • İş Gereksinimleri: Veri güvenliği uygulaması, iş ihtiyaçlarını anlamakla başlar. Kurumsal misyon, kuruluşun alanı ve büyüklüğü gibi faktörler güvenlik seviyelerini belirler. Güvenlik uygulamaları, gereksinimlerle doğru orantılı ilerlemelidir.
  • Politika Gereksinimleri: Kuruluşlar, gelişen küresel yasalara uymalıdır. Hükümetler etik kaygılar nedeniyle veri standartları oluşturur. İlgili standartların bir kaydı oluşturulmalı, karşılık gelen güvenlik politikaları arasında bağlantı kurulmalı ve ana hatlar belirlenmelidir.

B. Standartlar

Standartlar politikaları tamamlar ve ayrıntılı rehberlik sağlar.

  • Gizlilik Düzeyleri: Kullanıcı erişim ayrıcalıklarını yönlendirmek için gizlilik seviyeleri atanmalıdır.
  • Güvenlik Rolleri: Veri erişim kontrolü bireysel veya grup bazlı olabilir. Rol gruplarına izinler atanan rol tabanlı erişim denetimi, büyük kuruluşlar için daha faydalıdır. Rolleri ve izinleri düzgün bir şekilde yönetmek çok önemlidir.
  • Risk Değerlendirmeleri: Veri hassasiyeti, koruma gereksinimleri ve mevcut güvenlik önlemleri değerlendirilerek güvenlik açıkları belirlenmelidir. Bunlara gelecekte başvurulabilir.
  • Veri Kullanılabilirliği: Kullanıcı yetkileri ve yapıları kontrol edilerek veri kullanılabilirliği yönetilmelidir. Veri maskeleme, viewler ve şifreleme güvenliği arttıracaktır.
  • Erişim İzleme: Olağandışı etkinliği algılamak için kullanıcı kimlik doğrulamaları ve erişim davranışları izlenmelidir. Böylelikle güvenlik açıkları da daha kolay tespit edilir.
  • Uyum Denetimi: Politikalara ve standartlara olan uyumluluk değerlendirilerek düzenli denetimler yapılmalıdır.

Bu adımlar toplu olarak, iş ve politika gereklilikleriyle uyumlu sağlam bir veri güvenliği çerçevesi oluşturur.

C. Kullanılabilecek Araçlar

  • Anti-Virüs Yazılımları: Bilgisayarları kötü amaçlı yazılımlara karşı korur.
  • Kimlik Yönetimi Teknolojisi: Kimlik yönetimi, kullanıcı kimlik bilgilerini depolar ve paylaşır. Password Safe ürünleri veya SSO sistemleri parolaları güvence altına alabilir.
  • İzinsiz Giriş Tespit ve Önleme Yazılımı: Saldırılara karşı otomatik olarak yanıt verir; alışılmadık kalıpları tespit ederek, tehditleri belirlemeye yardımcı olur.
  • Güvenlik Duvarları: Güvenlik açıklarından yararlanan kötü amaçlı saldırıları engellemek için web sunucularına yerleştirilirler.
  • Veri Maskeleme: Veri maskeleme ve şifreleme araçları, hassas veri hareketini kısıtlayarak veri güvenliğinini artırır.

D. Kullanılabilecek Yöntemler

  • CRUD Matrisi: Create — Read — Update — Delete matrislerinin kullanılması, veri erişim gereksinimlerinin eşlenmesine yardımcı olur. Bu matrisler, veri güvenliği rollerinin, izinlerinin ve gruplarının kurulumuna rehberlik eder.
  • Anlık Güvenlik Yaması Dağıtımı: Tüm makinelere güvenlik yamalarını hızlı bir şekilde dağıtmak çok önemlidir. Güvenliği ihlal edilmiş tek bir makine, ağ çapında saldırılara yol açabilir.

Veri Güvenliğinin Uygulanması

A. Hazırlık & Risk Değerlendirmesi

Verileri güvende tutmak, kurum kültürüyle derinden bağlantılıdır. Kuruluşlar genellikle aktif güvenlik yönetimi ve denetimi yerine krizlere tepki verirler.

Mükemmel veri güvenliği imkansıza yakın olsa da, veri güvenliği ihlallerinden kaçınmanın en iyi yolu, güvenlik gereksinimleri, politikaları ve prosedürleri hakkında farkındalık ve anlayış oluşturmaktır.

B. Kültürel Değişim

Kuruluşlar, hassas bilgileri kötüye kullanımdan koruyan ve hedeflerine ulaşmalarını sağlayan veri politikaları geliştirmelidir. Erişim kolaylığı ile riskler dengelenirken tüm paydaşların çıkarları hesaba katılmalıdır.

Etkili ve güvenli bir elektronik ortam yaratmak ancak veri mimarisinin de bu veri güvenliği gereksinimlerini barındırmasıyla mümkün olabilir. Eğer veriler başarılı bir şekilde korunmak isteniyorsa, hem yönetimin hem de çalışanların davranışları bu yönde evrim göstermelidir.

Veri Yönetişimi İlişkisi

Kurumsal sistemlerin ve depoladıkları verilerin güvenliğini sağlamak, IT ve paydaşlar arasında işbirliği gerektirir. Güçlü, net politikalar ve prosedürler, güvenlik yönetiminin temelini oluşturur ve veri yönetişimine destek olur.

Veri Yönetişimi 3 | Veri Depolama ve Operasyonlar

Veri Yönetişimi 4 | Veri Güvenliği

Veri Yönetişimi 5 | Veri Entegrasyonu ve Uyumu

Veri yönetişimi üzerine yazdığım bu yazı, DAMA topluluğunun DMBoK2 kitabında bahsedilen data governance prensipleri üzerine dayanmaktadır. Grafikler tarafımca hazırlanmış olup, izin almak şartıyla kullanılabilir.

Data Governance
Veri Yönetişimi
Data Security
Veri Güvenliği
Veri

--

--

Muhammet Şancı

Written by Muhammet Şancı

22 Followers

A developer who loves coffee, and a graphic designer who draws coffee.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams