24 Nisan 2020 Cuma

VERİ SINIFLANDIRMA UYGULAMA ALANLARI

Sinem Varol, Danışman
Veriler, kuruluşların işlevlerini gerçekleştirmeleri için hayati önem taşır. Çalışanın maaşının ödenmesinden, ürünün sevkiyatının gerçekleştirilmesine kadar kuruluş tüm faaliyetlerinde veriye ihtiyaç duyar. Verilerin bir kısmı dosya sunucuda, kurumsal uygulamalarda veya diğer bilgi sistemlerinde bulunabileceği gibi arşivlerde, çalışma ofisinde, çalışanların masaüstünde veya dolaplarda da bulunabilir, aynı zamanda web siteleri aracılığı ile tüm dünyaya açılabilir. Veriler bu kadar çeşitli platformlarda bulunduğu gibi bu verilerin iletimi için de farklı kanallar kullanılabilir. İlk akla gelen e-posta ya da kargo olmakla birlikte web entegrasyonları, File Transfer Protocol (FTP) gibi dosya transfer alanları, taşınabilir ortamlar (USB, DVD vb.), bulut çözümler ve sözlü olarak veri iletimi gerçekleşebilir. Söz konusu veri türleri kuruluşun iş ortakları, tedarikçileri, müşterileri, çalışanları gibi tüm paydaşlara ait olabilir. Veri türleri ve bulundurulduğu alanların çeşitli olması sebebiyle verinin güvenliğinin sağlanması konusunda sorumluluk giderek artmaktadır. Kuruluşun çalışanlarının kimlik bilgisi ya da tedarikçilerin açık adres bilgisinin yetkili olmayan kişilerin eline geçmesi kuruluş açısından eşit derecede zarara sebep olmaz.
Kuruluş için tüm veriler eşit derecede önem taşımayabilir. Verilerin yetkili olmayan kişilerin eline geçmesi durumunu ele alacak olursak kurumun bazı verilerinin yetkili olmayan kişilerin eline geçmesi kuruluşun itibarı ve geleceği açısından büyük tehlike oluştururken bu durum tüm veriler için aynı değildir. Basit bir örnek vermek gerekirse müşterilerin kimlik bilgilerinin yetkili olmayan kişilerin eline geçmesiyle kuruluşun yayınladığı bir finansal raporun yetkili olmayan kişilerin eline geçmesi kuruluş için eşit derecede etki yaratmaz.
Veri sınıflandırma, veriyi anlamlı şekilde gruplara ayırmaktır. Yüzlerce satır ve sütun arasından ihtiyacınız olanı aramak yerine birbirine benzeyen verileri bir araya getirip bir grup oluşturmanız halinde belirli filtrelerle ya da belirlediğiniz gruba uyguladığınız bir etiket sayesinde kolaylıkla ulaşabilirsiniz.  Bu sayede verinin yönetilmesi kuruluş için daha kolay hale gelmektedir.
Veri sınıflandırmanın bir diğer sebebi veri güvenliğinin etkin bir şekilde gerçekleştirilmesidir. Tüm verilerin yetkili olmayan kişilerin eline geçmesi durumunda kuruluşa vereceği zarar eşit olmamakla birlikte, tüm verilerin eşit derecede güvenliğin sağlanması mümkün değildir. Tüm veriler için eşit derecede ve en üst seviyeden güvenlik tedbirlerinin sağlanması kuruluş için maliyetli olacağı gibi kuruluşun operasyonlarını gerçekleştirmesini yavaşlatacaktır.
Veri sınıflandırma yöntemlerinin uygulanmasının kuruluş için birçok avantajı vardır. Verilerin sınıflandırılması ortak özelliklerine göre yapıldığı için bu veri sınıfları için belirli kurallar uygulamak daha kolay hale gelecektir. Hassas veya hassas olmayan bilgilerin neler olduğunu ayrıştırır ve hangileri için ne seviyede güvenlik tedbirleri alınmalıdır, uygulanan kontroller yeterli midir sorularına cevap niteliği taşır. Güvenlik tedbirlerinin sınıflandırılmış veriler aracılığıyla alınması veri sızıntısını engelleme açısından avantaj sağlar. Çalışanların daha hızlı kararlar almasına yardımcı olur, bu nedenle operasyon süreçleri daha hızlı ilerler.
Veri sınıflandırmasının kuruluşa birçok faydası olduğu gibi bazı kurumlar, standartlar ve çerçeveler bakımından zorunluluk haline getirilmiştir. Bu husus hakkında bazı örnekler aşağıda verilmiştir.
·     Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), 15.03.2020 tarihinde Resmi Gazetede yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğinde, bilgi sistemleri risklerinin yönetilmesi amacıyla bilgi varlıklarının sınıflandırılmasını ve bu sınıflara göre uygun güvenlik önlemlerinin alınmasını şart koşmuştur.
·   Sermaye Piyasası Kurulu (SPK), 05.01.2018 tarihinde Resmi Gazetede yayımlanan Bilgi Sistemleri Yönetimi Tebliğinde, bilgi varlıklarının önem derecesinde sınıflandırılmasını zorunlu kılmıştır.
·   6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel verilerin sınıflandırılması, kişisel verilerin işlenmesi olarak tanımlanmıştır.  Ayrıca, veri sorumlusunun kişisel verilerin güvenliğini sağlama amacıyla her türlü güvenlik tedbirini alma sorumluluğu olduğu belirtilmiştir.
·     13.07.2014 tarihinde Resmi Gazetede yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliğinde Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin kurulması, kapsamı ve yönetilmesi başlığı altında varlıkların sınıflandırılmasını elektronik haberleşme sektöründe faaliyet gösteren kuruluşlara şart koşmuştur.
·    ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardında Ek A kontrollerinde A.8.2 Bilgi Sınıflandırma olarak geçmektedir. Bu sebeple, ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemi sertifikasına sahip olma zorunluluğu bulunan tüm kuruluşların bu koşulu yerine getirmeleri gerekmektedir. Bu kontrol maddesinde bilginin yasal şartlar, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye karşı hassasiyet derecesine göre sınıflandırılması gerektiği belirtilmiştir. Yani bu kontrolde belirtildiği üzere, bir kuruluşta bilgi güvenliği yönetim sistemi kurulup işletilmek istendiğinde kuruluşun bilgi varlıklarının sınıflandırması, etiketlemesi ve kullanımı için prosedür geliştirip uygulamaları gerekmektedir. Tüm bu faaliyetlerin gerçekleştirilmesinin amacı bilginin kuruluş için önemi derecesinde korunması gereken seviyede korunmasını sağlamaktır.
·        Control Objectives for Information and Related Technology (CobiT) çerçevesinde çalışanların iş aktivitelerini destekleyecek bilgiyi sağlamak, bilinçli bir şekilde karar alabilmek ve verimliliği arttırmak için kuruluşun verilerini sınıflandırması gerektiği belirtilmiştir.
Verilen örneklerde açıkça görülmektedir ki, veri sınıflandırma gerekliliği hem kuruluş operasyon süreçleri açısından, hem maliyet hem de verilerin koruması açısından kuruluşa avantaj sağlamaktadır.

Veri Sınıflandırmada Kullanılan Genel Kategoriler
Veri sınıflandırırken, hassas ve hassas olmayan verilere yönelik uygun güvenlik tedbirlerinin alınabilmesi için veriler belirli kategorilere dâhil edilir. Bu kategoriler belirlenirken kuruluş kendine uygun olan kategoriler oluşturmalıdır. Bazı kuruluşlar için verileri gizli kalma hassasiyetleri açısından üç kategoriye ayırmak yeterli olabilir fakat bazı kuruluşlar dört ya da beş kategoriye ayırmaya ihtiyaç duyabilir. Örnek vermek gerekirse; “halka açık, kurum içi, gizli” şeklinde üç kategori bir kuruluşun bilgi varlıklarının gizli kalma hassasiyetleri açısından bilgi varlıklarını net bir çizgiyle anlaşılabilir bir biçimde ayırıyorsa bu kategoriler o kuruluş için yeterlidir diyebiliriz. Dört seviyede kategoriye ayrılmak istendiğinde “genel, dahili, gizli, çok gizli” şeklinde çeşitlendirilebilir, yeterli olmadığı takdirde beş seviyeli bir sınıflandırma da kullanılabilir.
Kuruluşlar çalışan sayısı, ciro, faaliyet alanı, veri paylaşılan taraflar ve daha birçok yönden birbirinden farklılık gösterdiği için bu kategoriler yeterli olmayabilir. Kategori sayısı ihtiyaca oranla az kullanıldığı takdirde veriler için yeterli güvenlik önlemleri sağlanamayabilir. Örneğin veri sınıflandırırken aslında gizli kategorisinde olması gereken bir veri, kararsız kalınıp, kurum içi olarak sınıflandırıldığında o veri için alınacak güvenlik tedbirleri kurum içi veriler seviyesinde olacağı için bu durumda yeterli güvenlik sağlanmamış olur. Bu durumda söz konusu veri için yetkisiz kişilerin eline geçme ihtimali artar.
Gizli kalma hassasiyeti açısından sınıflandırılmış veriler için farklı güvenlik tedbirleri uygulanmaktadır. Kuruluş “genel” ya da “halka açık” olarak sınıflandırdığı veriler için ek bir güvenlik tedbiri almaya ihtiyaç duymayabilir. Bu veriler kuruluş dışındaki kişilerle de paylaşılabildiği için görüntülenmesi, paylaşılması ve kullanılması açısından bir sakınca yoktur. “Dahili” ya da “kurum içi” sınıfındaki veriler genel olarak kuruluş içinde tüm çalışanlar tarafından görüntülenebilir. Bu sınıftaki veriler içinse yetkili olmayan kişiler haricinde erişilmemesi ve paylaşılmaması gerektiği için ek güvenlik tedbirleri alınmalıdır. Örneğin bu sınıftaki veriler için; e-posta yoluyla paylaşılırken şifreleme kullanılabilir ve eğer çalışanların kullandığı cihazda bulunuyorsa disk şifrelemeyle veriler korunabilir. “Gizli” ve “çok gizli” sınıflarındaki veriler genellikle kuruluştaki tüm çalışanların değil yöneticilerin veya üst yönetimin erişebildiği veya paylaşabildiği verilerdir. Bu verilerin bulunduğu ortam dosya sunucu ise erişim için dosyalar şifrelenebilir ya da basılı evrak ise kilitli dolapta tutulabilir. Ek olarak, bazı kuruluşlar tüm gizli kalma hassasiyetindeki verilerini korumak adına çalışanların kuruluş dışına e-posta gönderimini olanak dışı kılmaktadır. Bazı çalışanlara gerekli durumlarda yetki verilebilir.

Veri Sınıflandırmasının Desteklediği Diğer Güvenlik Alanları
Veri sınıflandırmanın kuruluşa sağladığı diğer avantajlar da Veri Sızıntısı Önleme (Data Loss Prevention -DLP), erişim yönetimi gibi verinin güvenliğini sağlamaya yönelik alanlarda kullanılmasıdır. Kuruluşlar için hassas veriyi takip etmek giderek zorlaşmıştır. Bu ihtiyaç doğrultusunda zaman içinde verinin güvenliğini sağlamak adına farklı araçlar geliştirilmiştir.
Erişim yönetimi, veri sınıflandırmanın fayda sağladığı bir güvenlik alanıdır. Erişim yönetiminin uygulanmasında kullanılan yöntemlerden biri kullanıcı kimliklerinin yönetilmesidir.  Tüm kullanıcı kimliklerinin erişebileceği alanlar belirlendiğinde, hassas verilerin yetkili olmayan kişilerin eline geçmemesi için iyi bir yol kat edilmiştir denebilir. Kimlik ve erişim yönetimi alanında en çok kullanılan araçlara Azure Active Directory, IBM Security and Access Assurance ve Oracle Identity Cloud Service örnek verilebilir.
Veri Sızıntısı Önleme (Data Loss Prevention - DLP) teknolojisi, kuruluş içinde hassas olarak nitelendirilen verileri sanal ortamda takip eder ve verilerin kuruluş dışına sızmasını engeller. Farklı veri sınıfları için verilerin iletilmesi ve erişilmesi için farklı kurallar oluşturulur. Verinin geçtiği kanalları ve yetkisiz erişimleri izler. Kuralları farklı iletişim kanallarında (web, e-posta, cloud) uygulayabilme gibi özellikleri vardır. Verilerin bulunduğu dosyalar seçilerek etiketler uygulanır, aynı zamanda belirlenmiş kullanıcıların erişmesi hariç tutulabilir. Etiketleme işlemi belirli veri türleri ya da sözcükleri içeren dosyalar olarak otomatik olarak da yapılabilir. Bu alanda en çok kullanılan uygulamalara Symantec DLP, Checkpoint, Digital Guardian ve Microsoft 365 DLP aracı örnek verilebilir.

Veri Sınıflandırma İçin Kullanılan Uygulamalar
Verilerin sınıflandırılmasını tamamıyla gerçekleştirmek ve bu süreci tam olarak yönetebilmek bir kuruluş için oldukça efor gerektiren bir çalışmadır. Çalışanların saatlerini hatta haftalarını bu süreci tamamlamak için yapacakları çalışmalarla, görüşmelerle geçirmeleri gerekebilir. Kuruluşların hassas verilerinin güvenliğini sağlama ihtiyacı arttıkça ve teknoloji geliştikçe bu alanda yeni araçlar geliştirilmiş ve kullanılmaya başlanmıştır. Bu uygulamaların kullanılması aynı zamanda kullanıcıları hassas verilerin kullanılması ve iletilmesi konusunda daha sorumlu hale getirir. Bu makalede herhangi bir ürüne yönlendirme amacı bulunmamaktadır. Bilgilendirme amacıyla ürünlerin özelliklerinden bahsedilmiştir.
Bu uygulamalardan biri olan TITUS Classification, kullanıcı cihazlarının (mobil veya değil) eriştiği belgelerdeki hassas veririn güvenliğinin sağlanması için politikalar belirleyerek bunların uygulanmasını zorunlu tutar. Mobil cihazlarda, MS Office programlarında, e-postalarda ve dokümanlarda kullanılabilir. E-postalara görseller yerleştirilerek kullanıcılar için hassas verilerin iletilmesi konusunda farkındalık sağlanabilir. Aynı zamanda e-postalardaki eklerin görüntülenmesi de kullanıcı bazlı kısıtlanabilir.
Veri sınıflandırma için kullanılan bir diğer araç olan Boldon James; ağdaki dosyaları, e-postaları, Sharepointteki dosyaları ve bulutta paylaşılan dosyaları sınıflandırmada kullanılabilir. Veri sınıflandırma etiketleri, kuruluşun veri güvenliği politikasına uygun bir şekilde uygulanır. Boldon James aynı zamanda güvenli mesajlaşma çözümünde sahiptir. Bu sayede hassas verilerin iletimindeki güvenliği sağlanmış olur.
Symantec Information Centric Tagging (ICT) uygulaması ile MS Office programlarındaki ve e-postalardaki verilere kolaylıkla gizlilik etiketi uygulanabilir. Symantec DLP uygulaması ile bütünleşik bir şekilde çalışır ve hassasiyeti yüksek verilerin sızmasını engellemeye yardımcı olur. Kuruluşun veri gizliliği politikasına uyum sağlamasına ve kullanıcı farkındalığını arttırmaya yardımcı olur.
Office 365 uygulamasıyla birlikte gelen veri sınıflandırma özelliğinde etiketler tanımlanır ve etiket kuralları oluşturulur. Bu etiketler Outlook, OneDrive ve Sharepoint gibi uygulamalarda da kullanılabilir. Örneğin bir etiket için sınırlı bir süre seçilip, bu süre sonunda bu etikete sahip verinin silinmesi sağlanabilir ya da çok gizli etiketine sahip bir verinin e-posta yoluyla iletilmesi engellenebilir.
Tüm bu uygulamaların ortak özelliği KVKK, ISO/IEC 27001, COBIT gibi yasal uyumluluk gerektiren düzenlemelere ve çerçevelere uyum sağlama konusunda fayda sağlamalarıdır. KVKK’ya uyum sağlama konusunda örnek vermek gerekirse kişisel verileri işleyen kurumların bu verileri tutmak için yasal olarak bazı süreler belirlenmiştir ve bu sürelerin sonunda verilerin silinmesi gerekmektedir; bunu sağlamak adına verilerin tutulduğu dosyalar etiketlendiğinde yasal saklama süresi tanımlanırsa bu süre bittiğinde veriler silinmiş olur. Bu sürecin takibini yapmak kullanıcılar için oldukça vakit alan bir işlem olabilir fakat veriler sınıflandırılıp etiketlendiği takdirde bu hususun takibi kullanıcıların dakikalarını alır. KVKK’ya uyum konusunda bir diğer husus ise veri sorumlusuna başvuru sürecidir. İlgili kişi, veri sorumlusuna yaptığı başvuruda kişisel verisinin işlenip işlenmediğini, kişisel verileri işlenmişse hangi amaç doğrultusunda işlendiği, yurt içinde veya yurt dışında olmak üzere kişisel verilerinin hangi üçüncü kişilere aktarıldığı konusunda bilgileri almayı talep edebilir. Veri sorumlusunun bu hususta yasal bir sonuçlandırma süresi vardır. Bu bilgilere ulaşmak, verilerini sınıflandırmadan saklayan, kullanan ve işleyen bir kuruluş için çalışanların günlerce efor sarf etmesine sebep olabilir çünkü verilerin kaynağı olarak çok fazla dosya ve uygulamanın kontrol edilmesi gerekebilir. Veri sınıflandırma için uygulamaların ve araçlarının kullanılması zaman ve maliyet açısından tasarruf sağlayacağı gibi, yasal düzenlemelere ve çerçevelere uyum sağlama konusunda kuruluşun başvurması gereken temel kaynaklardan olmalıdır.
 
Faydalanılan Kaynaklar


· https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2015/using-cobit-5-to-deliver-information-and-data-governance
· 6698 Sayılı Kişisel Verilerin Korunması Kanunu
· ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
· https://www.park.com.tr/wp-content/uploads/2016/02/TITUS-Siniflandirma-cozumu1.pdf
· https://innoset.net/boldonjames
· https://docs.microsoft.com/tr-tr/cloud-app-security/dcs-inspection
· https://www.platinbilisim.com.tr/TR/IsOrtaklari/symantec-information-centric-tagging-ict
· https://www.cozumpark.com/office-365-security-compliance-center-veri-siniflandirma-data-classification-labels-bolum-1/

Hiç yorum yok:

Yorum Gönderme