Yakın zamana kadar, şirket çalışanlarından birinin ihanet edeceği ve hassas verileri tehlikeye atacağı fikri neredeyse düşünülemezdi. Şirkete yönelik tehditlerin içeriden değil dışarıdan geldiği konusunda fikir birliği sağlandı ve güvenlik önlemleri buna göre oluşturuldu. Dünya, hassas NSA dosyalarını çalan ve sızdıran şimdiye kadar isimsiz bir müteahhit olan Edward Snowden’ı öğrendiğinde bu durum dramatik bir şekilde değişti.
Snowden olayına ek olarak, “Boscom” tarafından hazırlanan açıklayıcı bir rapor, bir şirketin verilerine yönelik ana tehdidin dışarıdan geldiği fikrine de meydan okudu: bilgisayar korsanlarından, endüstriyel casuslardan ve diğer rakiplerden. Bu rapor rahatsız edici bir gerçeği ortaya koyuyor: Herhangi bir şirketin eski çalışanlarının yaklaşık yüzde seksen beşi, gerçek belgelerle olmasa bile, hassas verilerle iş yerlerinden ayrıldı. Snowden’ın NSA’dan hırsızlığı küresel düzeyde görünür ve haber değeri taşırken, Boscom raporu, her yerdeki çalışanların hassas veri hazineleriyle çekip gitmesinin ne kadar kolay olduğunu gösteriyor.
Yukarıdakilerin ışığında, özellikle en büyük risk kendi çalışanlarından geldiğinde ve çalışanların verilere erişimi yalnızca işleri için değil, genel olarak şirketin başarısı için hayati önem taşıdığında, şirketlerin veri güvenliğini sağlamakta neden zorlandıklarını anlamak kolaydır. Bu nedenle, sezgisel yanıt olan verilere erişimi kısıtlama çözümü sorunludur – doğası gereği şirketin çalışma yeteneğini azaltır. Peki bu, şirketlerin çözümü olmayan bir sorunla karşı karşıya olduğu anlamına mı geliyor?
Bu bilmeceye sektörümüzle ilgili pratik bir senaryo aracılığıyla bakalım: Bir Forex aracı kurumu. Bir aracı kurumun, her birinin yeterince çalışması için belirli verilere erişmesi gereken birkaç departmanı vardır. Satış temsilcilerinden pazarlama ekibinin üyelerine (örneğin, e-posta pazarlamacıları) kadar, müşteri bilgilerinin çeşitli yönleri farklı kişiler tarafından görülebilir olmalıdır ve bölümlere ayırmayı yalnızca yeterli yazılım sağlayabilir. Çalışanlar bilgiye özel hale geldiklerinde, en büyük güvenlik ihlallerinin mümkün olduğunu görmemeleri gerekir – bu nedenle bölümlere ayırmanın önemi yeterince vurgulanamaz. Bir aracı kurumun, üretkenlikten ödün vermeden bilgileri içeriden gelen potansiyel tehditlerden koruyabilmesinin tek yolu budur.
Teknik düzeyde, bir aracı kurumun elindeki en önemli iki araç, iyi bir CRM ve iyi şifrelemedir. İlki, yönetimin kimin hangi verilere özel olduğunu belirlemesine izin verir ve ikincisi, yetkisiz kişilerin şirket dışı bilgisayarlar (“bilgisayar korsanları”) aracılığıyla bilgilere erişmesini engeller. İyi şifrelemenin bir başka yararı da, sahip olmadıkları uygun şifre çözme olmadan işe yaramaz olduğu için haydut çalışanların gizli verileri göndermesini önlemesidir.
Bu karşı önlemlerin en iyi şekilde uygulanabilmesi için öncelikle bu yollarla desteklenecek ve uygulanacak bir veri güvenliği politikasına karar vermek önemlidir. Bu, teknik önlemlerin mevcut araçlarla politika tarafından değil, politika tarafından belirlendiği anlamına gelir. Kullanılan teknik önlemlere ek olarak, yönetim, şirket mülkünde USB sürücülerin yasaklanması, farklı bir çalışanın kullanıcı adıyla oturum açma yasağı ve daha fazlası gibi dahili kuralları ve düzenlemeleri de açıkça tanımlamalıdır. Bu bariz olanı belirtmek gibi görünse de, verilerinizin güvenliğini sağlamak söz konusu olduğunda hiçbir şey açık değildir.
Edward Snowden, veri güvenlik açığını görünür hale getirdi. Ne de olsa, yüce NSA hırsızlığa karşı savunmasızsa, geri kalanımız nerede duruyor? Ancak özel sektör bağlamında, yeterli karşı önlemler bir şirketin kırılganlığını önemli ölçüde azaltır. Snowden’ı göz önünde bulundurarak, bilgiyi ve kaynaklarını kimin çaldığının kimliğini de akılda tutmak gerekir: ulusal istihbarat teşkilatları, rakip bir işletmeden daha fazla kaynağa sahiptir ve operatörleri bilgi almak için daha büyük riskler almaya isteklidir. Snowden gibi insanlar ideolojik nedenlerle bilgi çalarken, iş zekası para ve kâr tarafından yönlendirilir. Bu nedenle, özel sektörde hırsızlığı caydırmak için gereken karşı önlemler de daha uygun fiyatlı ve erişilebilirdir.
Günün sonunda, verilerimizin sürekli ve sürekli risk altında olduğu bir dünyada yaşıyoruz, ancak bu riski önemli ölçüde azaltan birçok teknolojik çözüm ve standart işletim prosedürü de var. Potansiyel tehditlere karşı tetikte ve bir adım önde olmanız gerektiğini unutmayın, ancak bu tehditlerin bile ne kadar önemli olursa olsun yönetilebilir olduğunu ve veri güvenliğini sağlamanın üretkenlik ve kâr pahasına olması gerekmediğini de unutmayın.
