Mobil cihazlar üzerindeki veri kaybı önlemeye (Data Loss Prevention-DLP) dahil olan en iyi uygulama ve teknolojiler kurumsal ağların güvenliğini geride bırakan verileri korumayı hedefliyor.
Veri çeşitli nedenlerden dolayı tehlike altında olabilir: Cihazın çalınması, yetkili bir kullanıcının kazara paylaşılması ya da kötü niyetli yazılımlar tarafından çalınması. Mobil veri kaybıyla bağlantılı problemler IT’den izinli veya izinsiz olarak çalışanların kendi cihazlarını iş ortamına getirmesiyle birlikte önemli miktarda artış gösteriyor. Bir BYOD durumunda kullanıcı kendi cihazına sahiptir bu da güvenliği tesis edip korumayı IT için oldukça güçleştiriyor.
İş enformasyonuna erişen ve saklayan herhangi bir mobil cihaz en azından kullanıcı tanıma ve güçlü yetkilendirme ile ayarlanmış olmalı, güncel anti-malware yazılımları çalıştırmalı ve kurumsal ağa erişim için sanal özel ağ (VPN) kullanmalıdır. Bunun yanı sıra IT departmanı bir mobil ortamdaki kurumsal bilgilerin en iyi şekilde korunmasını sağlamak için aşağıdaki stratejileri izlemelidir.
- Düzenli veri yedekleri, ki bunlar kurtarılabilirlik için de düzenli olarak test edilmelidir.
- DLP konusunda kullanıcı eğitimi
- Veri sınıflandırma standartlarının uygulanması
- Bilgi güvenliği ilkelerinin uygulanması
- Mobil DLP yazılım kullanımı
Bu stratejilerden her birini yakından inceleyelim.
1. Veri yedekleri: Ne yapacağını biliyorsun
Veri yedekleme konusunda çok fazla ayrıntıya girmemiz gerekmiyor. Kısaca açıklayacak olursak gerekli olduklarını, düzenli olarak yerine getirilmeleri gerektiğini ve elde edilen yedek dosyaların ihtiyaç halinde geri getirilebileceğinden emin olmak üzere test edilmesi gerektiğini söyleyebiliriz.
2. Kullanıcı eğitimi: Ne kadar çok bilirlerse veriniz o kadar güvendedir
Kullanıcılarınızı veri sızıntısı tehlikeleri konusunda eğitmek kullanıcıların çoğu için faydalı ve değerli bir süreçtir. Bunu ister yıllık güvenlik eğitimi, ister seminer veya aylık bülten adı altında yapın ama çalışanlarınızı güvenlik hususunda eğitin. Onlara hassas verilerin ne olduğunu söyleyin ve neye benzediklerini gösterin.
Çalışanların çoğu “gizli” bilginin ne olduğunu bir kez anlamalarının ardından organizasyonun varlıklarını korumaya yardım edecektir. Onlar aynı zamanda bu türden bilgilerin genele ifşa olması durumunda organizasyona ne tür sonuçlarının olacağını anlamalı; zarar gören itibar, kurumsal casusluk, gelir kaybı, mevzuat cezaları ve hatta belirli çalışanlar için kişisel güvenlik riski. Mümkünse organizasyonun karşı karşıya kaldığı veri sızıntısı örneklerinin bazılarını paylaşın ve manşetlere giren güvenlik ihlallerini inceleyin.
3. Veri sınıflandırma: Sadece kimlerin görmesi için?
Son birkaç yıl içerisinde mobil cihazların neredeyse diğer tüm teknolojilerden daha fazla iş amaçlı olarak kullanılması, veri sınıflandırmanın önemini ön plana çıkardı. Mobil DLP teknolojilerinin çoğu veri sızıntısını önlemek üzere veri sınıflandırmanın bir yapısına dayanıyor. Sizin organizasyonunuz, henüz bulunmuyorsa, bir veri sınıflandırma standardı oluşturarak başlamalı ve ardından bu standardı olabildiğince çabuk faaliyete geçirmelidir. Bir sınıflandırma planı, bilgiye nasıl davranılmasını tanımlayan geniş kategorileri içerir. Amerikan askeri sınıflandırma planı üç seviyeden oluşur: Çok Gizli, Gizli, Kişiye Özel. Bir işletme veya eğitim planı da Çok Hassas, Hassas, Dahili ve Genel kategorilerini kullanmalı. (Eğer sizin organizasyonunuz belirli türden verileri idare eden, sizin veri sınıflandırma standardınız içerisine uygun dil ve ölçütleri dahil eden özel kanun ve düzenlemelere uymak zorundaysa.)
Enformasyon çok farklı yapılarda geldiğinden (kelime işlem dokümanları, tablo ve e-postaların yanı sıra pazarlama, genel iş operasyonları, idareci yazışmaları ve müşteri hizmet e-postaları) bazı bilgileri sınıflandırmak güç olabilir. Bununla beraber diğer amaçlar için değiştirilen dokümanları nasıl ele alacaksınız? Örneğin Çok Hassas olarak tasnif edilen bir dokümanın bölümleri bir başka yerde kullanılırsa? Söz konusu bölümler de Çok Hassas olarak mı dikkate alınmalı yoksa incelemeden geçirilerek yeniden mi sınıflandırılmalı? Dikkat edin ki veriyi etiketlemek ile veriyi sınıflandırmak iki farklı şeydir. Bir etiket korumanın ihtiyaç duyulan seviyesini belirler ve genellikle dokümanın kendisinde veya üstverisi içinde yer alan bir işaret ya da yorumdur. Mesela, bir dokümanın başlığında ya da alt bilgisinde “Özel” kelimesini ekleyebilir veya bunu bir dosyanın özellikler tablosuna ilave edebilirsiniz. Diğer yandan bir dosyayı sınıflandırdığınızda, bir etiket koyabilirsiniz de koymayabilirsiniz de.
4. İlkeler: Veriyi tüm yapılarında koruyun
Sizin veri sınıflandırma standardınız organizasyonunuzun toplam güvenlik politikasının içerisinde yerleşik olmalı. İlkeler verinin kullanımı ile ilgili olarak açık olmalı ve sizin seçtiğiniz yaklaşım verilerin kontrol maliyetini yönlendirecektir. Güvenlik ilkeleri, standartları ve prosedürleri yaşam döngüsü durumuna (yaratım, erişim, kullanım, iletim, depolama veya imha) bağlı olarak veri ve enformasyon üzerinde farklı gereksinimleri tesis eder. Amaç sistemler, ağlar ve uygulamalar dahil olmak üzere her türden ortam ve farklı işlem ortamları üzerindeki verileri tüm yapılarıyla muhafaza etmektir. İlkelerinizin bilgiyi kullananların kişisel olarak sorumlu olduklarını ve tüm ilke, standart ve prosedürlere uymak hususunda sorumlu tutulacaklarını ifade ettiğinden emin olun.
5. Mobile DLP yazılımı: Mobil kullanıcıları izlemek
Çoğu mobil DLP ürünü görüntülemeye sahip. Bunlar IT’nin bir mobil kullanıcının eriştiği ve/veya kurumsal sunucudan download ettiği veriyi görebilmesini sağlıyor. Mobil görüntülemenin güzelliği uyarı sinyalleri sağlaması ki bunlar IT’ye olası ihlallere veya ilke tecavüzlerine müdahale etme şansı veriyor. Ancak genel gürültüyle gerçek güvenlik tehditlerini birbirinden ayırmak zaman alıyor ki bu yüzden daha çok eylemlerin izini takip eden bir log gibi kullanılıyor. Güçlük hassas bilgilerin ilk elden bir mobil cihaz üzerine transfer edilmesi ya da orada saklanmasının önüne geçmektir.
Symantec, McAfee ve Websense gibi tanınmış DLP uygulaması ve teçhizat tedarikçilerinin en son ürünleri mesajlarla dokümanları etiketlemek için veri sınıflandırma özellikleri sağlıyor (metadata etiketleme). Ayrıca bir mobil cihaz kurumsal sunucuyla etkileşim kurduğunda içeriği analiz eden ve bunu filtreleyen özellikleri de getiriyorlar. İçerik farkında olarak anılan bu teknolojiler hem organizasyonun sağladığı hem de kullanıcıların sahip olduğu cihazlar için oldukça yararlı. Onlar örneğin mobil DLP politikasına bağlı olarak belirli e-postları, takvim olay ve görevlerinde akıllı telefon ya da tabletlerin Microsoft Exchange sunucusuyla senkronize olmasını önleyebilir.
Bazı ürünler hassas verilerin bir cihaz kimliğinden ziyade bir kullanıcı ya da grup bazındaki cihazlara transfer edilmesini önlüyor. Bir yönetici basitçe Satış ve Pazarlama grupları veya Kullanıcı03, Kullanıcı04 ve Kullanıcı07 için mobil ilkeleri oluşturur. Ayrıca askeri kullanım gereksinimlerini karşılamak üzere rol bazlı mesajlaşmayı destekleyen çözümleri de bulabilirsiniz. İçerik farkında DLP mobil cihaz yönetim (MDM) çözümleriyle uyumlu. Hiçbir şeyin mobil cihaz üzerine kurulması gerekmiyor; DLP yazılımı cihazı kurumsal ağa bir VPN bağlantısı yapmak üzere zorlamak için MDM konfigürasyonlarından yararlanabilir. Orada DLP teknolojisi içeriği tarayıp analiz ediyor ve ilkeleri uyguluyor. Sanal ortamlar da aynı şekilde korunabilir. Söz gelimi DeviceLock VirtualDLP adlı bir veri sızıntı koruma özelliği sunuyor. Söz konusu özellik yerel sanal makineleri, oturum bazlı ve akışkan masaüstleriyle uygulamaları koruma altına alıyor. Virtual DLP Citrix XenApp, Citrix XenDesktop, Microsoft RDS ve VMware View’i destekliyor.