Sinem Varol, Danışman
Veriler, kuruluşların işlevlerini
gerçekleştirmeleri için hayati önem taşır. Çalışanın maaşının ödenmesinden,
ürünün sevkiyatının gerçekleştirilmesine kadar kuruluş tüm faaliyetlerinde
veriye ihtiyaç duyar. Verilerin bir kısmı dosya sunucuda, kurumsal
uygulamalarda veya diğer bilgi sistemlerinde bulunabileceği gibi arşivlerde,
çalışma ofisinde, çalışanların masaüstünde veya dolaplarda da bulunabilir, aynı
zamanda web siteleri aracılığı ile tüm dünyaya açılabilir. Veriler bu kadar
çeşitli platformlarda bulunduğu gibi bu verilerin iletimi için de farklı
kanallar kullanılabilir. İlk akla gelen e-posta ya da kargo olmakla birlikte
web entegrasyonları, File Transfer Protocol (FTP) gibi dosya transfer alanları,
taşınabilir ortamlar (USB, DVD vb.), bulut çözümler ve sözlü olarak veri
iletimi gerçekleşebilir. Söz konusu veri türleri kuruluşun iş ortakları,
tedarikçileri, müşterileri, çalışanları gibi tüm paydaşlara ait olabilir. Veri
türleri ve bulundurulduğu alanların çeşitli olması sebebiyle verinin
güvenliğinin sağlanması konusunda sorumluluk giderek artmaktadır. Kuruluşun
çalışanlarının kimlik bilgisi ya da tedarikçilerin açık adres bilgisinin yetkili
olmayan kişilerin eline geçmesi kuruluş açısından eşit derecede zarara sebep
olmaz.
Kuruluş için tüm veriler eşit
derecede önem taşımayabilir. Verilerin yetkili olmayan kişilerin eline geçmesi durumunu
ele alacak olursak kurumun bazı verilerinin yetkili olmayan kişilerin eline
geçmesi kuruluşun itibarı ve geleceği açısından büyük tehlike oluştururken bu
durum tüm veriler için aynı değildir. Basit bir örnek vermek gerekirse müşterilerin
kimlik bilgilerinin yetkili olmayan kişilerin eline geçmesiyle kuruluşun
yayınladığı bir finansal raporun yetkili olmayan kişilerin eline geçmesi
kuruluş için eşit derecede etki yaratmaz.
Veri sınıflandırma, veriyi
anlamlı şekilde gruplara ayırmaktır. Yüzlerce satır ve sütun arasından
ihtiyacınız olanı aramak yerine birbirine benzeyen verileri bir araya getirip
bir grup oluşturmanız halinde belirli filtrelerle ya da belirlediğiniz gruba
uyguladığınız bir etiket sayesinde kolaylıkla ulaşabilirsiniz. Bu sayede verinin yönetilmesi kuruluş için
daha kolay hale gelmektedir.
Veri sınıflandırmanın bir diğer sebebi
veri güvenliğinin etkin bir şekilde gerçekleştirilmesidir. Tüm verilerin
yetkili olmayan kişilerin eline geçmesi durumunda kuruluşa vereceği zarar eşit
olmamakla birlikte, tüm verilerin eşit derecede güvenliğin sağlanması mümkün
değildir. Tüm veriler için eşit derecede ve en üst seviyeden güvenlik
tedbirlerinin sağlanması kuruluş için maliyetli olacağı gibi kuruluşun
operasyonlarını gerçekleştirmesini yavaşlatacaktır.
Veri sınıflandırma yöntemlerinin
uygulanmasının kuruluş için birçok avantajı vardır. Verilerin sınıflandırılması
ortak özelliklerine göre yapıldığı için bu veri sınıfları için belirli kurallar
uygulamak daha kolay hale gelecektir. Hassas veya hassas olmayan bilgilerin
neler olduğunu ayrıştırır ve hangileri için ne seviyede güvenlik tedbirleri
alınmalıdır, uygulanan kontroller yeterli midir sorularına cevap niteliği
taşır. Güvenlik tedbirlerinin sınıflandırılmış veriler aracılığıyla alınması veri
sızıntısını engelleme açısından avantaj sağlar. Çalışanların daha hızlı
kararlar almasına yardımcı olur, bu nedenle operasyon süreçleri daha hızlı
ilerler.
Veri sınıflandırmasının kuruluşa
birçok faydası olduğu gibi bazı kurumlar, standartlar ve çerçeveler bakımından
zorunluluk haline getirilmiştir. Bu husus hakkında bazı örnekler aşağıda
verilmiştir.
· Bankacılık Düzenleme ve Denetleme Kurumu (BDDK),
15.03.2020 tarihinde Resmi Gazetede yayımlanan Bankaların Bilgi Sistemleri ve
Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğinde, bilgi sistemleri
risklerinin yönetilmesi amacıyla bilgi varlıklarının sınıflandırılmasını ve bu
sınıflara göre uygun güvenlik önlemlerinin alınmasını şart koşmuştur.
· Sermaye Piyasası Kurulu (SPK), 05.01.2018
tarihinde Resmi Gazetede yayımlanan Bilgi Sistemleri Yönetimi Tebliğinde, bilgi
varlıklarının önem derecesinde sınıflandırılmasını zorunlu kılmıştır.
· 6698 sayılı Kişisel Verilerin Korunması
Kanununda kişisel verilerin sınıflandırılması, kişisel verilerin işlenmesi
olarak tanımlanmıştır. Ayrıca, veri
sorumlusunun kişisel verilerin güvenliğini sağlama amacıyla her türlü güvenlik
tedbirini alma sorumluluğu olduğu belirtilmiştir.
· 13.07.2014 tarihinde Resmi Gazetede yayımlanan
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinde Bilgi
Güvenliği Yönetim Sistemi (BGYS)’nin kurulması, kapsamı ve yönetilmesi başlığı
altında varlıkların sınıflandırılmasını elektronik haberleşme sektöründe
faaliyet gösteren kuruluşlara şart koşmuştur.
· ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi
standardında Ek A kontrollerinde A.8.2 Bilgi Sınıflandırma olarak geçmektedir.
Bu sebeple, ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi sertifikasına sahip
olma zorunluluğu bulunan tüm kuruluşların bu koşulu yerine getirmeleri
gerekmektedir. Bu kontrol maddesinde bilginin yasal şartlar, değeri, kritikliği
ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyet derecesine göre
sınıflandırılması gerektiği belirtilmiştir. Yani bu kontrolde belirtildiği
üzere, bir kuruluşta bilgi güvenliği yönetim sistemi kurulup işletilmek
istendiğinde kuruluşun bilgi varlıklarının sınıflandırması, etiketlemesi ve kullanımı
için prosedür geliştirip uygulamaları gerekmektedir. Tüm bu faaliyetlerin
gerçekleştirilmesinin amacı bilginin kuruluş için önemi derecesinde korunması
gereken seviyede korunmasını sağlamaktır.
·
Control Objectives for Information and Related
Technology (CobiT) çerçevesinde çalışanların iş aktivitelerini destekleyecek
bilgiyi sağlamak, bilinçli bir şekilde karar alabilmek ve verimliliği arttırmak
için kuruluşun verilerini sınıflandırması gerektiği belirtilmiştir.
Verilen örneklerde açıkça
görülmektedir ki, veri sınıflandırma gerekliliği hem kuruluş operasyon süreçleri
açısından, hem maliyet hem de verilerin koruması açısından kuruluşa avantaj
sağlamaktadır.
Veri Sınıflandırmada Kullanılan Genel Kategoriler
Veri sınıflandırırken, hassas ve
hassas olmayan verilere yönelik uygun güvenlik tedbirlerinin alınabilmesi için
veriler belirli kategorilere dâhil edilir. Bu kategoriler belirlenirken kuruluş
kendine uygun olan kategoriler oluşturmalıdır. Bazı kuruluşlar için verileri
gizli kalma hassasiyetleri açısından üç kategoriye ayırmak yeterli olabilir
fakat bazı kuruluşlar dört ya da beş kategoriye ayırmaya ihtiyaç duyabilir.
Örnek vermek gerekirse; “halka açık, kurum içi, gizli” şeklinde üç kategori bir
kuruluşun bilgi varlıklarının gizli kalma hassasiyetleri açısından bilgi
varlıklarını net bir çizgiyle anlaşılabilir bir biçimde ayırıyorsa bu
kategoriler o kuruluş için yeterlidir diyebiliriz. Dört seviyede kategoriye
ayrılmak istendiğinde “genel, dahili, gizli, çok gizli” şeklinde çeşitlendirilebilir,
yeterli olmadığı takdirde beş seviyeli bir sınıflandırma da kullanılabilir.
Kuruluşlar çalışan sayısı, ciro,
faaliyet alanı, veri paylaşılan taraflar ve daha birçok yönden birbirinden
farklılık gösterdiği için bu kategoriler yeterli olmayabilir. Kategori sayısı
ihtiyaca oranla az kullanıldığı takdirde veriler için yeterli güvenlik
önlemleri sağlanamayabilir. Örneğin veri sınıflandırırken aslında gizli
kategorisinde olması gereken bir veri, kararsız kalınıp, kurum içi olarak
sınıflandırıldığında o veri için alınacak güvenlik tedbirleri kurum içi veriler
seviyesinde olacağı için bu durumda yeterli güvenlik sağlanmamış olur. Bu
durumda söz konusu veri için yetkisiz kişilerin eline geçme ihtimali artar.
Gizli kalma hassasiyeti açısından
sınıflandırılmış veriler için farklı güvenlik tedbirleri uygulanmaktadır. Kuruluş
“genel” ya da “halka açık” olarak sınıflandırdığı veriler için ek bir güvenlik
tedbiri almaya ihtiyaç duymayabilir. Bu veriler kuruluş dışındaki kişilerle de
paylaşılabildiği için görüntülenmesi, paylaşılması ve kullanılması açısından
bir sakınca yoktur. “Dahili” ya da “kurum içi” sınıfındaki veriler genel olarak
kuruluş içinde tüm çalışanlar tarafından görüntülenebilir. Bu sınıftaki veriler
içinse yetkili olmayan kişiler haricinde erişilmemesi ve paylaşılmaması
gerektiği için ek güvenlik tedbirleri alınmalıdır. Örneğin bu sınıftaki veriler
için; e-posta yoluyla paylaşılırken şifreleme kullanılabilir ve eğer
çalışanların kullandığı cihazda bulunuyorsa disk şifrelemeyle veriler
korunabilir. “Gizli” ve “çok gizli” sınıflarındaki veriler genellikle
kuruluştaki tüm çalışanların değil yöneticilerin veya üst yönetimin
erişebildiği veya paylaşabildiği verilerdir. Bu verilerin bulunduğu ortam dosya
sunucu ise erişim için dosyalar şifrelenebilir ya da basılı evrak ise kilitli
dolapta tutulabilir. Ek olarak, bazı kuruluşlar tüm gizli kalma
hassasiyetindeki verilerini korumak adına çalışanların kuruluş dışına e-posta
gönderimini olanak dışı kılmaktadır. Bazı çalışanlara gerekli durumlarda yetki
verilebilir.
Veri Sınıflandırmasının Desteklediği Diğer Güvenlik Alanları
Veri sınıflandırmanın kuruluşa
sağladığı diğer avantajlar da Veri Sızıntısı Önleme (Data Loss Prevention -DLP),
erişim yönetimi gibi verinin güvenliğini sağlamaya yönelik alanlarda
kullanılmasıdır. Kuruluşlar için hassas veriyi takip etmek giderek
zorlaşmıştır. Bu ihtiyaç doğrultusunda zaman içinde verinin güvenliğini
sağlamak adına farklı araçlar geliştirilmiştir.
Erişim yönetimi, veri sınıflandırmanın
fayda sağladığı bir güvenlik alanıdır. Erişim yönetiminin uygulanmasında
kullanılan yöntemlerden biri kullanıcı kimliklerinin yönetilmesidir. Tüm kullanıcı kimliklerinin erişebileceği
alanlar belirlendiğinde, hassas verilerin yetkili olmayan kişilerin eline
geçmemesi için iyi bir yol kat edilmiştir denebilir. Kimlik ve erişim yönetimi
alanında en çok kullanılan araçlara Azure Active Directory, IBM Security and
Access Assurance ve Oracle Identity Cloud Service örnek verilebilir.
Veri Sızıntısı Önleme (Data Loss
Prevention - DLP) teknolojisi, kuruluş içinde hassas olarak nitelendirilen
verileri sanal ortamda takip eder ve verilerin kuruluş dışına sızmasını
engeller. Farklı veri sınıfları için verilerin iletilmesi ve erişilmesi için
farklı kurallar oluşturulur. Verinin geçtiği kanalları ve yetkisiz erişimleri
izler. Kuralları farklı iletişim kanallarında (web, e-posta, cloud)
uygulayabilme gibi özellikleri vardır. Verilerin bulunduğu dosyalar seçilerek
etiketler uygulanır, aynı zamanda belirlenmiş kullanıcıların erişmesi hariç
tutulabilir. Etiketleme işlemi belirli veri türleri ya da sözcükleri içeren
dosyalar olarak otomatik olarak da yapılabilir. Bu alanda en çok kullanılan
uygulamalara Symantec DLP, Checkpoint, Digital Guardian ve Microsoft 365 DLP
aracı örnek verilebilir.
Veri Sınıflandırma İçin Kullanılan Uygulamalar
Verilerin sınıflandırılmasını
tamamıyla gerçekleştirmek ve bu süreci tam olarak yönetebilmek bir kuruluş için
oldukça efor gerektiren bir çalışmadır. Çalışanların saatlerini hatta
haftalarını bu süreci tamamlamak için yapacakları çalışmalarla, görüşmelerle
geçirmeleri gerekebilir. Kuruluşların hassas verilerinin güvenliğini sağlama
ihtiyacı arttıkça ve teknoloji geliştikçe bu alanda yeni araçlar geliştirilmiş
ve kullanılmaya başlanmıştır. Bu uygulamaların kullanılması aynı zamanda
kullanıcıları hassas verilerin kullanılması ve iletilmesi konusunda daha
sorumlu hale getirir. Bu makalede herhangi bir ürüne yönlendirme amacı
bulunmamaktadır. Bilgilendirme amacıyla ürünlerin özelliklerinden
bahsedilmiştir.
Bu uygulamalardan biri olan TITUS
Classification, kullanıcı cihazlarının (mobil veya değil) eriştiği belgelerdeki
hassas veririn güvenliğinin sağlanması için politikalar belirleyerek bunların
uygulanmasını zorunlu tutar. Mobil cihazlarda, MS Office programlarında, e-postalarda
ve dokümanlarda kullanılabilir. E-postalara görseller yerleştirilerek
kullanıcılar için hassas verilerin iletilmesi konusunda farkındalık sağlanabilir.
Aynı zamanda e-postalardaki eklerin görüntülenmesi de kullanıcı bazlı
kısıtlanabilir.
Veri sınıflandırma için
kullanılan bir diğer araç olan Boldon James; ağdaki dosyaları, e-postaları,
Sharepointteki dosyaları ve bulutta paylaşılan dosyaları sınıflandırmada
kullanılabilir. Veri sınıflandırma etiketleri, kuruluşun veri güvenliği
politikasına uygun bir şekilde uygulanır. Boldon James aynı zamanda güvenli
mesajlaşma çözümünde sahiptir. Bu sayede hassas verilerin iletimindeki
güvenliği sağlanmış olur.
Symantec Information Centric Tagging
(ICT) uygulaması ile MS Office programlarındaki ve e-postalardaki verilere
kolaylıkla gizlilik etiketi uygulanabilir. Symantec DLP uygulaması ile
bütünleşik bir şekilde çalışır ve hassasiyeti yüksek verilerin sızmasını
engellemeye yardımcı olur. Kuruluşun veri gizliliği politikasına uyum
sağlamasına ve kullanıcı farkındalığını arttırmaya yardımcı olur.
Office 365 uygulamasıyla birlikte
gelen veri sınıflandırma özelliğinde etiketler tanımlanır ve etiket kuralları
oluşturulur. Bu etiketler Outlook, OneDrive ve Sharepoint gibi uygulamalarda da
kullanılabilir. Örneğin bir etiket için sınırlı bir süre seçilip, bu süre
sonunda bu etikete sahip verinin silinmesi sağlanabilir ya da çok gizli
etiketine sahip bir verinin e-posta yoluyla iletilmesi engellenebilir.
Tüm bu uygulamaların ortak
özelliği KVKK, ISO/IEC 27001, COBIT gibi yasal uyumluluk gerektiren
düzenlemelere ve çerçevelere uyum sağlama konusunda fayda sağlamalarıdır. KVKK’ya
uyum sağlama konusunda örnek vermek gerekirse kişisel verileri işleyen kurumların
bu verileri tutmak için yasal olarak bazı süreler belirlenmiştir ve bu
sürelerin sonunda verilerin silinmesi gerekmektedir; bunu sağlamak adına
verilerin tutulduğu dosyalar etiketlendiğinde yasal saklama süresi tanımlanırsa
bu süre bittiğinde veriler silinmiş olur. Bu sürecin takibini yapmak
kullanıcılar için oldukça vakit alan bir işlem olabilir fakat veriler
sınıflandırılıp etiketlendiği takdirde bu hususun takibi kullanıcıların dakikalarını
alır. KVKK’ya uyum konusunda bir diğer husus ise veri sorumlusuna başvuru
sürecidir. İlgili kişi, veri sorumlusuna yaptığı başvuruda kişisel verisinin
işlenip işlenmediğini, kişisel verileri işlenmişse hangi amaç doğrultusunda
işlendiği, yurt içinde veya yurt dışında olmak üzere kişisel verilerinin hangi
üçüncü kişilere aktarıldığı konusunda bilgileri almayı talep edebilir. Veri
sorumlusunun bu hususta yasal bir sonuçlandırma süresi vardır. Bu bilgilere
ulaşmak, verilerini sınıflandırmadan saklayan, kullanan ve işleyen bir kuruluş
için çalışanların günlerce efor sarf etmesine sebep olabilir çünkü verilerin
kaynağı olarak çok fazla dosya ve uygulamanın kontrol edilmesi gerekebilir. Veri
sınıflandırma için uygulamaların ve araçlarının kullanılması zaman ve maliyet
açısından tasarruf sağlayacağı gibi, yasal düzenlemelere ve çerçevelere uyum
sağlama konusunda kuruluşun başvurması gereken temel kaynaklardan
olmalıdır.
Faydalanılan Kaynaklar
· https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2015/using-cobit-5-to-deliver-information-and-data-governance
· 6698 Sayılı Kişisel Verilerin Korunması Kanunu
· ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
· https://www.park.com.tr/wp-content/uploads/2016/02/TITUS-Siniflandirma-cozumu1.pdf
· https://innoset.net/boldonjames
· https://docs.microsoft.com/tr-tr/cloud-app-security/dcs-inspection
· https://www.platinbilisim.com.tr/TR/IsOrtaklari/symantec-information-centric-tagging-ict
· https://www.cozumpark.com/office-365-security-compliance-center-veri-siniflandirma-data-classification-labels-bolum-1/