SİBER GÜVENLİK

DATA LOSS PREVENTİON (DLP) NEDİR ?
Günümüzde gelişen teknolojik olanaklar sayesinde veriye erişim kolaylaşmıştır. Bu durum da veri güvenliği sorununu beraberinde getirmektedir. Verinin sınıflandırılması, depolanması, veriye erişecek kullanıcıların kısıtlandırılması, yetkililerin atanması ve verilerin istenmeyen üçüncü kişilerin eline geçmemesi için pek çok çalışma yürütülmektedir. Türkçe karşılığı veri kaybı önleme olan datalossprevention sayesinde veri sızması engellenir. DLP yazılımı ile firmaların personel özlük bilgileri, fiyatlandırma raporları, Ar-Ge raporları, finansal analizleri, bütçeleri, bilanço bilgileri, sektör analizleri ve müşteri bilgileri gibi kritik öneme sahip olan veriler güvenle depolanır. Veri kaybı önleme sistemi sayesinde kurum dışına bilgi ve belge sızdırılması önlenir. Bu yönüyle bilgi güvenliğinin sağlanması için DLP yazılımı mutlaka sahip olunması gereken bir sistemdir.
DATA LOSS PREVENTİON (DLP) NE ANLAMA GELİR ?
Data LossPrevention kelimesinin Türkçe karşılığı veri kaybının önlenmesidir. Teknolojiye göre yaşamın şekillendiği günümüz koşullarına göre bilgi güvenliği sektörü oldukça kritik bir öneme sahiptir. Veri kaybının önlenmesi de bilgi güvenliği sektöründe sıkça duyulan bir kavramdır. Sektörel düzenleyici örgütlerin koyduğu kurallar ve uyguladıkları yaptırımlar tüm şirketleri veri güvenliği politikası oluşturmaya itmiştir. Kurumların özel ve saklı kalması gereken stratejik bilgilerinin dışarı sızması beraberinde ekonomik ve politik pek çok zararı da getirdiğinden DLP sahip olması zorunlu olan bir ticari ürün haline gelmiştir. Veri kaybının önlenmesi sayesinde devlet kurumları veya şirketlerde gizlilik içinde saklanması gereken kıymetli evrak niteliğindeki belgelerin üçüncü kişilerin eline geçmesi engellenir. 
Data LossPrevention oldukça yeni geliştirilmiş ve her geçen gün daha da farklılaşan bir uygulamadır. DLP yazılımları geliştirilerek sistemden sızması istenmeyen veri çıkışı engellenir. Sistem yöneticisi tarafından belirlenmiş olan dosyalara erişim kontrol edilir. Bu sistem sayesinde önemli ve hassas bilgilerin kaybolması, yanlış kişilerin eline geçmesi, yetkisiz kullanıcılar tarafından görüntülenmesi önlenir. DLP yazılımı sayesinde çok sayıda veri kolayca sınıflandırılır.
DLP yazılımı üst düzeyde bir güvenlik paketi içerir. Erişiminin sınırlandırıldığı veriler herhangi bir istenmeyen üçüncü kişi tarafından görüntülendiğinde veya kopyalandığında sistem tarafından bir uyarı geliştirilir. Söz konusu uyarı veri sahibine anında iletilir. Bu süreçte veri çıkışı filtrelenir, denetimde olan veri hareketleri sistem hafızasına kaydedilir. Olay yanıtı, adli analiz gibi hususlarda DLP yazılımı tarafından raporlar üretilir. Ayrıca tanımlanacak şifreler ve çeşitli koruyucu eylemlerle veri güvenlik sistemi korunur.
DLP yazılımı sayesinde kurum verilerinin kim tarafından, nereye, ne şekilde gönderildiği incelenerek kayıt altında tutulur. Oluşturulan güvenlik sistemi sayesinde veri kullanıcıları daha dikkatli davranır.
DLP’nin kurulumu için yalnız bilgi işlem uzmanlarının varlığı yeterli değildir. Kurumu tanıyan, önemli konulara vakıf olan kişilerden oluşan bir destek ekibinin de varlığı mutlaka gereklidir.

DATA LOSS PREVENTİON YAZILIMININ KULLANIM ALANLARI NELERDİR?
Günümüzde veri gizliliği ve veri kaybının korunması stratejik önemde bir husustur. DLP yazılımı sayesinde kişisel bilgi güvenliği, fikri mülkiyet ve veri görünürlüğü hususları güvence altına alınır.

  • Kişisel Bilgilerin Korunması

DLP yazılımı sayesinde hassas veriler tespit edilir, sınıflandırılır ve etiketlenir. Raporlama imkanı sayesinde veri uyumluluğu da kolaylıkla denetlenir. Özellikle müşterilere ait ödeme kartı bilgilerini, kişisel tanımlanabilir bilgileri (PII) ve korumalı sağlık bilgilerini (PHI) toplayıp saklayan kurumların DLP yazılımına sahip olması bir zorunluluktur. Ek olarak, raporlama yetenekleri uyumluluk denetimleri için gereken ayrıntıları sağlar.

  • IP Koruması

Bağlam tabanlı sınıflandırmayı kullanan DigitalGuardian gibi DLP çözümleri, fikri mülkiyeti hem yapılandırılmış hem de yapılandırılmamış şekillerde sınıflandırabilir.Firmanın sakladığı müşteri bilgilerinin kaybolması veya çalınması halinde marka imajının zedelenmemesi için veri güvenliği mutlaka sağlanmalıdır. Uygulanan denetleme sistemi sayesinde gizli bilgilerin sızması engellenir.

  • Veri Görünürlüğü

Kurulacak olan DLP yazılımı sayesinde firma bünyesinde depolanan tüm veriler uç noktalar, ağlar ve bulut üzerinde takip edilerek görünür halde bulunur. Veri kaybı önleme sistemi sayesinde kullanıcıların verileri ne şekilde ve ne sıklıkla kullandığı izlenir, kullanıcı davranış analizi yapılır. Etkileşim halindeki veriler görünürlük kazanır.
DATA LOSS PREVENTİON NE İŞE YARAR?
Antivirüs saldırı engelleme sistemleri, antibot engelleme yazılımları, URL filtreleme çözümleri ve web güvenliği yazılımları gibi pek çok çeşitte sistem kurumların bilgi güvenliğinin oluşturulması için geliştirilmiştir. Söz konusu ağ güvenliği oluşturan yazılımlar ile donanımlar bilgi sızıntısının önlenmesini destekleyici niteliktedir. Data LossPrevention yazılımının söz konusu sistemlerden ayrıştığı husus ise firma bilgilerine erişim hakkı olan kullanıcıların takip edilmesi, kontrol edilmesidir.
DLP haricindeki diğer ağ güvenliği sistemleri sayesinde firmalardan dışarıdan gelecek saldırılara karşı korunmuş olur. Ancak firma içi saldırılar ve veri sızıntılar bu sistemlerde göz ardı edilir. Data LossPrevention sistemi sayesinde kurumun sahip olduğu veriler hem dışarıdan gelebilecek olan saldırılara hem de kurum içinden gelebilecek saldırıyla veri sızıntısına karşı korunmuş olur. DLP yazılımı ile hem ağ durumu hem de veri talepleri denetlenir. Firma departmanlarının tuttuğu veriler önem sırasına göre sınıflandırılır ve sisteme önem sırasına göre tanıtılır. Firma çalışanlarının dosya talebi takip altında tutulur. Ayrıca kullanıcıların veritabanında erişebilecekleri kısımlar sınırlandırılır. Veri trafiği düzenli olarak raporlanır.
Data lossprevention yazılımlarının daha verimli bir şekilde kullanılması için verilerin şu prensipler dahilinde sınıflandırılması gerekir:

  • Firma için daha az öneme sahip olan günlük veriler
  • İktisadi veriler, bütçe bilgileri
  • Firmayı zor durumda bırakabilecek yüksek gizliliğe sahip olan veriler
  • İstenmeyen üçüncü kişilerin eline geçmesi halinde firmanın yok olmasına sebep olacak nitelikteki hayati veriler

DATA LOSS PREVENTİON’IN FAYDALARI NEDİR?

  • Rekabet Kurulu gibi sektörü düzenleyen kurumların uygulamaları ve denetimlerine karşı her zaman hazırlıklı olunur.
  • Firmanın gizli bilgilerinin nerede depolandığı, kimlere gönderildiği kayıt altında tutulur.
  • Firmanın ve firma müşterilerinin gizli kalması gereken bilgilerinin sızması ve farklı yerlerde paylaşılması önlenir.
  • Firmanın beklenmeyen iç tehditlere karşı korunması sağlanır.
  • Firma içinde özel kullanıcıların belirlenip fazladan yetkiler alması sağlanarak istediği veriye ulaşması ve geri kalan yetkisiz kişilerden verilerin korunması sağlanır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir yeri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale  getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinden gerçekleştirilen her türlü işlemi ifade etmektedir.
Kişisel Verilerin Korunması Ne Demektir?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;
1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3.Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin : adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya bilgiler değil: telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez. Bu bakımdan, özel nitelikli kişisel verilerin sınırlı olarak sayıldığı kabul edilir.
Özel Nitelikli Kişisel Veriler Nelerdir?
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyetive güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.
Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi, kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü veri ile kişiye sunulan sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla Kanunda düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına tabidir.