Bültene Abone Ol
Bültene Abone Ol
Craftgate BlogTüm yazılarFintechVeri Güvenliği ve İşletmeler İçin Önemi
Fintech

Veri Güvenliği ve İşletmeler İçin Önemi

Yazar 6 saat ago

İçindekiler

Dijital dönüşümün sarsıcı etkisi ile ülkemizde ve dünyada son dönemde konuşulan en güncel konulardan biri veri güvenliği. Bu kavram, kamu otoriteleri tarafından ciddi bir milli güvenlik meselesi olarak kabul edilmektedir.  İşletmeler tarafından ise veri güvenliği; siber saldırılardan korunma ve faaliyetlerin sürdürülebilirliğini sağlamak için artık elzem bir ihtiyaç olarak nitelendirilmektedir. 

Bu yazıda, veri güvenliğinin işletmeler gözünden nasıl ele alınması gerektiğini inceleyeceğiz. Veri güvenliği denildiğinde bir işletmenin bilgi sistemleri departmanından insan kaynakları departmanına kadar tüm bölümlere temas edilmesi gerekmekte, tüm çalışanların dahil olması gereken ve nihayetinde bir şirket kültürüne dönüşmesi hedeflenen bütüncül bir süreçten bahsedilmektedir. 

Kendi açımızdan değerlendirdiğimizde ise, Craftgate olarak gerek PCI DSS Level 1 gerek ISO 27001 sertifikalarının alınması ve düzenli olarak güncellenmesi sürecinde adım adım bu kültürü yaşatmak için neler yaptığımızı örnek teşkil etmesi adına adım adım açıklayacağız. 

Eğitim: Tüm çalışanlar farkında mı?

Veri güvenliği konusunda atılması gereken adımlardan ilki farkındalık çalışmaları olmalıdır. Şirketteki tüm çalışanların düzenli olarak (yılda en az bir defa) bilgi güvenliği eğitimi almaları gerekir. Bu eğitim Craftgate’de; gizli bilginin anlamı, gizlilik – bütünlük – erişilebilirlik kavramları, şirket cihazların kullanımı, elektronik posta gönderimi ve alımında dikkat edilmesi gerekenler, şifre belirleme kriterleri, veri aktarımında alınacak güvenlik önlemleri, aksi durumlarda işletilecek disiplin prosedürleri konularını kapsamaktadır. 

Bilgi Güvenliği: Bir ekibiniz ve politikanız var mı?

İşletmenin bir bilgi güvenliği ekibi oluşturulmalı ve ekibin görev ve sorumlulukları net bir şekilde belirlenmelidir. Bilgi güvenliği ekibinin de katkısıyla ve mutlaka yönetimin dahil olduğu şekilde tüm çalışanların ve paydaşların erişebileceği bir bilgi güvenliği politikası oluşturulmalı ve yayınlanmalıdır.

Belgelendirme: Tüm belgeler kayıt altında mı?

İşletmelerin veri güvenliği konusunda alınacak sertifikalara göre değişiklik gösterebilen belgelendirme hazırlık süreci oldukça kapsamlı olabiliyor. Hazırlanması gereken plan, prosedür ve formların doğru şekilde numaralandırılması, her revizyon yapıldığında bu değişikliklerin de kayıt altına alınması ve dokümanların güncel tutulması çok önemli. Bu nedenle bu konu ile ilgili sorumlu çalışanlar belirlenerek ilk adımdan itibaren düzenin sağlanması bundan sonraki süreçleri büyük oranda kolaylaştıracaktır.

İnsan Kaynakları: Çalışan belgeleri güvende mi?

Tüm çalışanların özlük dosyasında bulunması gereken belgeler genellikle iş hukuku kapsamında değerlendirilir. Ancak bu özlük dosyalarında veri güvenliği kapsamında saklanması gereken birtakım ilave belgeler de bulunmaktadır: Çalışan gizlilik sözleşmeleri, zimmetlenen her bir şirket cihazının detaylı bilgilerini içeren zimmet tutanakları ve ayrılan çalışanların bu cihazları iade ettiğini gösterir belgeler, gerekmesi halinde başvurulan referans kontrol formları. Bu belgeler insan kaynakları alanında veri güvenliğinin uçtan uca sağlanması için göz önünde bulundurulması gerekenler arasındadır.

Tedarikçi Yönetimi: Tedarikçileriniz de güvenliğin bir parçası

Tedarikçiler bir işletmenin pek çok farklı alanda hizmet alabileceği paydaşları olarak veri güvenliğinin genellikle göz ardı edildiği bir kesimi oluşturur. Halbuki işletmelerin verileri üzerinde belirli düzeylerde hakimiyeti olan bu paydaşlar üzerinde, erişim sağlayabildikleri verilerin kritikliğine bağlı olarak düzenli ve yakın takip sağlanması gerekir. Bilgi güvenliği altyapısı, ağ güvenliği ve sunucu hizmetleri başta olmak üzere insan kaynakları, hukuk, finans departmanları dahil hizmet alınan tüm tedarikçilerin bir listesi oluşturulmalı ve tamamı ile gizlilik sözleşmeleri imzalanmalıdır. Düzenli olarak bu tedarikçiler işletmenin belirlediği kriterler çerçevesinde bir değerlendirmeden geçirilmeli, gerekli onay mekanizmaları işletilmeli ve sonuçlar doğrultusunda çalışmalar durdurulmalı veya devam ettirilmeli.

Varlık Yönetimi: Varlık envanteri oluşturdunuz mu?

Bir işletme için bilgi güvenliği anlamında değeri olan yazılım, donanım, sözleşmeler, araç-gereçler dahil tüm unsurlar varlık olarak kabul edilir. Bu varlıkların işletmede fiziksel/dijital olarak nasıl ve nerede saklandığı, kimlerin sorumluluğunda olduğu, gizlilik seviyelerin ne olduğu gibi konularda doğru sınıflandırılması gerekir. Bu sayede, şirketin tüm varlıklarının ve özelliklerinin bir dökümü çıkarılarak kaydedilir ve güncel tutulur.

Erişim Yetkilendirme: Kimler hangi bilgilere erişiyor?

Çıkarılan varlık envanteri ile paralel işletilecek bir diğer konu ise erişim yetkilendirmedir. İşletme tarafından aktif şekilde kullanılan tüm uygulamalar kaydedilerek bu uygulamalara çalışanlardan kimlerin erişebildiği, kimlerin yönetici olduğu, kimlerin okuma/düzenleme yetkisinin olduğu belirtilir. Bu yetkilendirme kişisel olabileceği gibi unvan ya da departman bazlı da yapılabilir. Böylece bir yetki matrisi çıkarılarak bu matrisin dışında yetkisiz erişimler engellenir. Herhangi bir çalışanın işten ayrılması halinde erişimlerin kaldırılması da işletmeler için hassasiyet gösterilmesi gereken bir konudur. Böyle bir durumda erişimlerin kaldırılması için kontrol edilmesi gereken bir liste (checklist) bulundurulması faydalı olacaktır.

Fiziksel Güvenlik: “Temiz masa ve temiz ekran”

Ofiste çalışanlar için ofiste bulunan masa ve bilgisayar ekranlarının da veri güvenliği kapsamında dikkatli kullanılması şarttır. Temiz masa temiz ekran prensibine uygun şekilde hareket edilmesi ve çalışanların da bu konuda hassasiyet göstermesi önemlidir. Ayrıca ziyaretçi girişlerinin de kayıt altına alınması ve yetkililer ile bu kayıtların düzenli paylaşımı fayda sağlayacaktır.

İşletim Güvenliği: Gerekli testler ve taramalar gerçekleştiriliyor mu?

İşletim güvenliğinin amacı sunulan hizmetlerin veri güvenliğini ve sürdürülebilirliğini en üst düzeyde tutmak ve olası bilgi kayıplarını en aza indirgemek için işletim güvenliği ile ilgili yöntemleri belirlemektir. Antivirüs ve güvenlik duvarı (firewall) kullanımı bu yöntemler arasındadır. Değişiklik yönetimi de bu başlık altında incelenmelidir. İşletim sistemlerinde yapılacak herhangi bir değişimin istek aşamasından sonlandırma aşamasına kadar güvenli şekilde kayıt altına alınması gerekir. İşletim güvenliğinin sağlanması için; yedekten dönme testlerinin yapılması, tehdit istihbarat faaliyetlerinin yürütülmesi, düzenli sızma testi ve açıklık taramaları yapılması elzemdir. Craftgate olarak bu testlerin tamamını gerçekleştirmenin yanı sıra; işletim sistemleri, ağ servisleri, veri tabanları, ağ cihazları ve benzeri bilişim teknoloji varlıklarını kapsayacak şekilde senede dört kez iç ve dış zaafiyet taraması, senede iki kez segmentasyon testi, senede dört kez güvenlik uyumluluk raporu, senede en az iki kez iş sürekliliği tatbikatı gerçekleştirmekteyiz. 

Sistem Temini: Sistem geliştirmeleri yapılırken güvenliğe önem veriliyor mu?

Bilgi sistemleri üzerinde çalışan uygulamalar ve işletim sistemlerinde birtakım geliştirmeler yapılabilir. Söz konusu sistem geliştirme süreci bir döngü olarak çalışan dört aşamadan oluşur. Bunlar değerlendirme, tanımlama, test-planlama ile yükleme aşamalarıdır. Tüm bu aşamaların ayrı ayrı planlanması ve uygulamaya geçirilmesi için ekiplerin iş birliği içerisinde çalışması kritiktir.

Bilgi Güvenliği İhlal Olayları: Güvenlik ihlali yaşandığında nasıl aksiyonlar alıyorsunuz?

Dijital dünyanın varlığı inkâr edilemez gerçeklerinden biri güvenlik açıkları. Bu güvenlik açıklarının işletmelerde şeffaf bir biçimde kayıt altına alınması ve en kısa sürede çözüm üretilebilmesi için aksiyon alınması gerekir.

Risk Değerlendirme: İşletmenizin karşı karşıya kalabileceği riskleri biliyor musunuz?

Veri güvenliği konusunda dikkate alınması gereken en önemli hususlardan biri işletmenin risk analizinin yapılmasıdır. Bunun için, bilgi sistemleri başta olmak üzere işletmenin muhtemel riskleri ve bu risklerin gerçekleşmesi halinde işletmenin üzerinde oluşturacağı etkiler ölçeklendirilerek bir hesaplama tablosu elde edilir. Daha sonra bu tabloda belirli eşiklerin altında/üstünde kalan risklere göre kabul edilebilir riskler, azaltılması, transfer edilmesi veya kaçınılması gereken riskler sınıflandırılır. Sonucunda da risklere göre alınacak aksiyonlar belirlenir.

İş Sürekliliği: Felaket senaryolarınız var mı?

İşletmelerin veri güvenliği anlamında olmazsa olmazlarından biri de iş sürekliliği planıdır. Risk değerlendirmenin tamamlayıcısı olarak ilgili risklere bağlı (Veri tabanı/Altyapı/Saldırı/İnsan Hatası/Felaket Kaynaklı riskler) birtakım felaket senaryoları çalışılır. Bu senaryolara karşılık önleyici tedbirler ve sorumlu kişiler belirlenir. 

Craftgate olarak veri güvenliğini sağlamak ve sürdürmenin bir işletme için hiç bitmeyen kesintisiz bir süreç olduğunun bilincindeyiz. Bu süreç işletmeler için bütünleyici bir bakış açısı, ciddi bir kaynak ve efor gerektirmekte. Adım adım ve özenle hareket edildiği takdirde tatmin edici sonuçlar almak mümkün olacaktır.

Bu içeriklerimiz de ilginizi çekebilir

Fintech

Ödeme Servis Sağlayıcınızı Nasıl Belirlersiniz?

Fintech 16/07/2024 Yazar
Devamını oku
Fintech

Operasyonel Avantaj Sağlayan Ödeme Geçidi Nasıl Seçilir?

Fintech 14/06/2024 Yazar
Devamını oku
Fintech

Fintech Trendleri 2024

Fintech 13/06/2024 Yazar
Devamını oku
Fintech

Global Çapta Bilinen Ödeme Orkestrasyonu Sağlayıcıları

Fintech 01/07/2024 Yazar
Devamını oku

    Bültene Abone Olun

    En Yeni Yazılarımızı E-postanıza Alın

    Kişisel verileriniz İnternet Sitesi Aydınlatma Metni kapsamında işlenmektedir.

      Subscribe to Newsletter

      Receive Our Latest Articles in Your Email

      Your personal data is processed within the scope of the Clarification Text on Our Website.