Etiketler

, , , , ,


Veri Güvenliği neden zordur? Sadece doğru Proje Yönetimi ile güvenlik sağlanabilir mi?

Veri, günümüzde en değerli madenlerden ve kaynaklardan daha değerli bir ekonomiyaratmaktadır. Özellikle de insanların,şirketlerin somut nesnelerden, büyük bir hızla dijital dünyaya geçişiningerçekleştiği bir dünyada, özel hayatın, şirket stratejilerinin, sırlarının,yeni hizmet, uygulama ve ürünlerin kontrol altında tutulması önem arzetmektedir. Güvenlik, özellikle veri güvenliği kişi ve şirketlerin hayatlarına devam edebilmeleri için üzerinde hassasiyetle durduğu ana kavramların başındadır.

Hızla gelişen teknoloji, geliştiği ölçüde kullanıcılarla da yakınlaşmaktadır. Teknoloji bu kadargeniş bir mecra ile bu kadar çok yakınlaşınca da, bilgi (verinin işlenmiş hali) güvenliği de doğalolarak herkesi ilgilendiren genel bir kavram olmaktadır. Hem bireysel bazda hem de şirketler bazında özelimizi koruyabilmekte birincil önceliklerimiz arasına girmektedir. Buradakirisk, özelimizin ne kadar ilgi çekici ve başkaları için merak uyandırıcı (anlamlı, önemli ve değerli) olmasıyla doğru orantılıdır.

Bu kadar farklı yollardan ve hızlı hareket edebilen veriyigüvende tutmak, proje yönetimi açısından da hassas bir mecradır. Sadece uygulama bazında alınacak güvenlik önemleriyle bunu sağlayabilmek mümkündeğildir. Açıkları tespit edebilmek için, güvenliğe, şirketin genel işletme stratejisi içine nasıl gömülebileceği noktasından bakmak gerekir. Çünkü ancakbu sayede veri akışını simüle edebilir ve süreçteki açıkları gözlemleyip,önemler alabilirsiniz.

Proje yönetimi açısından ise güvenlik, hiçbir zaman sadeceherhangi bir sıradan bir konu olmamalıdır. Planlanan işlerden yapılmasıhedeflenen sıradan bir görev ibaret asla değildir. Çünkü güvenlik aynı zamanda da bir işletmesel risktir. Ve bu risk, herhangi bir projenin kapsamıyla sınırlıdeğildir. Riskin büyüklüğü projenizin etkileşimde bulunduğu tüm kaynaklarcaardışık olarak yayılabilir. Gözden kaçan ufak bir açık, çok daha büyük veri kümelerinin dışarı çıkmasına sebep olabilir. Bu da riskin sadece o proje ilesınırlı olmadığının açık bir göstergesidir.

Saldırı kavramına, verilerinize, sizin izniniz olmaksızın dış kullanıcılar tarafından erişilmesi olarak bakmamak gerekir. Önemli olannokta, verinin hangi yoldan ve nasıl olursa olsun sizin izniniz dışında dışkullanıcılarla buluşmamasıdır. Hem iç hem de dış açıklar sadece uygulamabazında değil, aynı zamanda süreç bazında da kapatmalıdır.

Veri güvenliği söz konusu olduğunda, bu güvenlik halkasınınen zayıf halkası her zaman insandır. Her ne kadar mükemmel bir güvenlikyönetimi tasarımı yaparsanız yapın, eğer birisi kendi erişim bilgilerini paylaşıyorsa ya da kendi yetkisi dâhilinde ki özel içeriği başkalarına sunuyorsayine süreçsel bazda ciddi bir güvenlik tehlikesi oluşturur. Bunun önünegeçebilmek, günümüz teknolojilerini kullanan kurumlar tarafından( istihbaratkuruluşlar, devletin gizli birimleri, askeri yapılanmalar hariç) altındankalkılabilecek bir maliyet değildir.

Güvenliği tam anlamıyla sağlayabilmemiz, bu özel faktörleridüşündüğümüzde, olası değil ise, en azından kimin ne yaptığını kayıt altınaalmaya çalışmalıyız. Veri kaybını önleyemesek de kimin kaybettiğini tespit etmeimkânımız söz konusu olur. Bu da gösterir ki proje yönetimi açısından bile güvenlikaslında hiçbir zaman tek ve bağımsız bir kalem olarak düşünülemez. Loglama, güvenliğin ayrılmaz bir parçasıdır. Hem işlemlerinin kayıt altına alınmasınısağlamasında, hem de akıllı algoritmalarla risk teşkil eden hareketlerin tespitedilmesi anlamında önemlidir.

Güvenliği bu kadar zor yapan, ne için endişelenmen gerektiğini hiçbir zaman tam olarak bilememektir. Onun için açıkları kapatmaya çalışmak ziyade, izin verileri belirleyip, bunlar haricindeki her şeyi kapatmak gerekir. En azından artık açıkların sadece ve sadece izin verilen noktalarolduğunu biliriz. Bilmediğimiz, izin verilen noktalarda bir açık olupolmadığıdır…

İnsan faktörünü, hem kullanıcı düzeyinde hem de projeyigeliştiren düzeyinde tekrar ele alıp, riskleri üzerinde, bir sonraki yazımdadeğineceğim…

Görüşmek üzere,