Bankacılık Sektöründe Veri Güvenliği Araçları Kullanımı
Finansal sistemler günümüzde dijital çağını yaşamaktadır. Veriyi korumak her alanda çok önemliyken özellikle bankacılık sektöründe veri kaybı ve veri ifşası kabul edilemez seviyededir. Dış ve iç tehditlere bağlı olarak her yıl global seviyede binlerce veri kaybı yaşandığından finansal kuruluşlar itibar ve para kaybı yaşamaktadırlar. Temel seviyede veri güvenliği tanımı, veriyi yetkisiz kişilerden korumak olarak yapılabilir. Veri güvenliği, verinin bütünlüğünün, gizliliğinin ve erişilebilirliğinin korunmasıyla sağlanabilir. Veri miktarı arttıkça kontrolü de zorlaşmaktadır. Bu sebeple özellikle bankacılık gibi büyük kuruluşlarda otomatize sistemler ve yapay zeka temelli uygulamalar kullanmak yüksek miktardaki veriyi sınıflandırmayı, veriyi doğru kontrol edebilmeyi, gelen tehditleri anında fark edebilmeyi, olası tehditleri önceden görmeyi ve önlem almayı sağlamaktadır.
Bankalarda “Veri Güvenliği” konusu kapsamında sektörde bilinen veri sızıntısı önleme araçları kullanılmaktadır. Bankamızda hali hazırda kullanılan ürün aslında tüm sektör ile benzer olup fark yaratan nokta banka içinde geliştirilen ek uygulamalar sayesinde verinin oluşturulduğu nokta ile başlayıp verinin paylaşıldığı noktaya kadar olan aralıkta yapılan otomatizasyonlardır. Amaç veriyi kurum dışına çıkmadan kontrol edebilmek ve güvenliğini sağlamaktır. Bu kapsamda kişisel veri ve gizli veri olarak adlandırılan hassas veriler (örneğin TCKN, Müşteri No, HesapNo, Kredi Kartı Numarası, IBAN Numarası, telefon numarası, mail adres, çeşitli strateji raporları vb. gibi) belirli politikalar ve kurallar çerçevesinde izlenmekte ve kurum dışına çıkarılması engellenmektedir. Güvenlik Politikası ve KVKK Kanunu gereği banka verilerinin korunması için DLP uygulamaları ile bu verilerin endpoint, https,http, ftp ve e-posta kanalları kontrolleri aracılığı ile kurum dışına çıkarılması, USB’ye kopyalanması, çıktı olarak alınması veya kurum dışına mail olarak gönderilmesi engellenmekte olup yapılan tüm işlemler kayıt altına alınmalıdır. Tüm kayıtlar her kurumunun politikalarınca çeşitli seviyelerde takip edilebilir ancak aksiyon aralığı belirlemek adına 3 seviyede ( low/medium/heigh ) takip edilmesi önerilmektedir. Seviyelendirerek önceliklendirme sağlanması veri özelinde hareket kabiliyeti sağlamakta olup aksiyon açısından kolaylık oluşturmaktadır.
Bankalarda kullanılan veri güvenliği araçları KVKK Kanununa uyum sağlanması açısından ayrılmaz bir bütün olarak değerlendirilmelidir. Paralelde bankalar veri keşfi ve veri maskeleme alanlarında da çalışmalara başlamış olmaları önemlidir.
Günün sonunda amaç güvenlik ürünlerini kullanarak veri üzerinde gerçekleştirilen tüm hareketlerin logolanması, veri sızıntısının önlenmesi, veri güvenlik güncellemelerinin otomatik olarak kontrol edilmesi, güvelik testlerinin yapılması ve özellikle günümüzde artan verilere uzaktan erişim ihtiyaçları için yeterli ve gerekli seviyede kimlik doğrulamalarının direk müşteri verisi ile temasta olan bankacılık sektörü için yapılması zorunlu aksiyonlardır.
