Verilerin Sınıflandırılması ve DLP

Günlük hayatımızda olduğu gibi bilgisayar sistemlerinde de saklanan verilerin hepsi aynı öneme sahip değildir. Verilerden bazılarını doğrudan hiçbir endişe olmadan başkaları ile paylaşırken bazı verilerin başkaları tarafından görülmemesi, bizim için önemlidir. Verilerin gizliliklerine göre tasnif edilmesi işlemine bilgi sınıflandırması denilmektedir. Bilgisayar sistemlerinde de her bir dosya içerdiği bilgiye göre bir etiket ile sınıflandırılmaktadır. Bilgi sınıflandırma tarihçesi özellikle askeri ve devlet bilgileri gözönüne alındığında çok gerilere  gitmektedir. Teknolojinin gelişmesiyle kurumlar ve kişilerin verilerinin de sınıflandırılması ihtiyacı ortaya çıkmıştır. Bu makalede daha çok özel sektör kurumları ve kişiler için yaygın kullanılan veri gizlilik sınıfları ele alınacaktır.

Açık (Public):  Başkalarının eline geçmesi durumunda kuruma maddi ya da prestij olarak herhangi bir zararı  dokunmayan bilgilerdir. Kurum reklamları, müşterilerine sunduğu hizmetler gibi topluma açık olan dokümanlar tasnif dışı olarak da değerlendirilir.

Hassas (Sensitive ):  Daha çok yetkisiz erişim ve yetkisiz değiştirilmeye karşı korunması gereken bilgilerdir.  Bilginin yetkisiz olarak değiştirilmesi ve silinmesi durumunda kurum ve kişi zor durumda kalabilir.

Özel (Private): Kuruma veya kişiye ait bilgiler. Bu bilgilerin açığa çıkması kurumu ve kişileri zor duruma düşürür.  Maaş bilgilerinin ortaya çıkması, kişilere ait sağlık bilgilerinin başkaları tarafından bilinmesi bu tür bilgilere örnek gösterilebilir.

Gizli (Secret ): Bilginin başkalarının eline geçmesi durumunda kurum maddi ve prestij olarak ciddi kayba uğrar. Örneğin Ar-Ge bilgileri, ürünlere ait özel bilgiler, ticari sırlar, bu tür bilgilere örnek gösterilebilir.

Kurumlar ve kişiler verilerini sınıflandırmalı ve bu sınıflandırmaya uygun güvenlik önlemlerini almalıdır.

Kullanımdaki verinin kritiklik derecelerinin belirlenmesi ve korunması:

Bu aşamada elde bulundurulan veriler çeşitli mantık örgüleri, o kuruma haiz gizlilik kriterleri, iş sahibi düşünceleri gibi belirleyiciler yardımıyla sınıflandırılır ve ölçek ölçek ayrılan bu sınıfların ne aşamada korunması gerektiği belirlenir. Örneğin aynı rakam bilgisi bir yerde çok önemsiz bir sıra numarası olabilirken diğer yanda bir finansal bilgi ya da kişilerin sosyal güvenlik numarası olabilir. Bunları belirleyecek, çeşitli örüntüleri yakalayacak uygulamalar yardımıyla sınıflandırma yapılır.

Veri kaynaklarında saklanan verinin kritiklik derecelerinin belirlenmesi ve korunması:

Göz önünde bulunan veri sınıflandırıldığı gibi dosya sistemi, veri ambarı, dizüstü makinalar gibi kalan veri kaynaklarının üzerindeki veri de sınıflandırılarak koruma ekosistemine dahil edilmelidir.

Ağ üzerinde akan verinin tespiti, sınıflandırılması ve korunması:

Aynı şekilde ağ üzerinde akan veri de kontrol edilebilmelidir. Sadece belirli portların/uygulamaların (SMTP-25 gibi) kontrolü değil, tüm ağ akışının izlenmesi sağlanmalıdır.

Sınıflandırmaların ve güvenlik politikalarının periodik yenilenmesi:

Değişen şartlar ve güvenlik gereksinimleri DLP'de uygulanması gereken politikaların zaman zaman güncellenmesini gerektirir.

Kontrol ve yönetim araçlarının yeterliliği:

DLP politikalarının rahatlıkla uygulanabileceği bir kullanıcı dostu ortam oluşturulabilmelidir.

Veri kaçağı olaylarının anlık takibi:

Belki de en önemlisi DLP politikalarını ihlal eden bir hareket görüldüğünde, olayın yönetim biriminde anlık olarak görüntülenebilmesidir. Yapınızda bir monitoring ekibi bulunmaktaysa bu ekranlar onların

Kurum bazı bilinçlendirme:

Tüm kurum çalışanlarının ve sorumlularının belirlenen DLP politikaları hakkında gerekli eğitim ve bilgilendirme(broşür, el kitabı vb) sahibi olması sağlanmalıdır.

Data Loss Prevention

Proje dokümanları, bütçe dosyaları, rakip analizleri, personel giderleri, teknik dokümanlar, fiyat listeleri, araştırma geliştirme çalışmaları vs? Hepimizin çok değerli bilgilerini taşıyor artık bilgisayarlar. Hem kendimiz hem de şirketimiz için değerli bilgiler. Değerli veri bilgisa­yarlardan çeşitli yöntemlerle çalınırsa ya da iyi niyetli oldu­ğunu söyleyemeyeceğimiz şirket çalışanları tarafından rakiplerimize sızdırılırsa zararımız ne olur? 

Bahsedilen riskleri önlemek için aradığımız şeyin tam adı Data Loss Prevention dır.

Data Loss Prevention, bilgi güvenliğinde değerli verilerin başkalarının eline geçmesini engellemek üzere tasarlanmış teknolojiye verilen bir isimdir.DLP teknolojisi verinin kaynağı ile ilgilenir. Özel kullanıcılar için ekstra yetkiler tanımlanabilmesine karşın genel olarak bilgi koruma mantığı aynıdır. Merkezi olarak yönetilen DLP sistemi, önceden tanımlanmış kaynakları koruma altına alır. Korunan  kaynaklar  üzerinde  yapılan tüm işlemler raporlanır ve kaynağın güvenlik gözü ile izlen­mesine imkân sağlanır.

DLP ürünlerinin tamamı giriş/çıkış aygıtlarının denetimini yapabilir. Değerli verinin uygulamalar üzerinden (email, webmail, IM, P2P, Skype), ağ sistemleri üzerinden (wi-fi, blu-etooth, http(s), ftp), fiziksel aygıtlar üzerinden (yazıcılar, usb hafızalar, faks, cd/dvd) başka sistemlere gönderilmesini engeller.

DLP veriyi korumaya yönelik geliştirildiği için hack edilmiş, Truva atı bulaşmış, güvenlik zaafı bulunan veya hatalı konfigüre edilmiş bilgisayarlardan veri çalınmasını engeller. Bazı DLP ürünleri için kullanıcının nerede olduğu önemli değildir. Taşınabilir bilgisayarlar şirket ağında değilken bile agent mi­marisi sayesinde koruma kalkanını her zaman çalıştırabilir. DLP ürünleri sunucu sistemlerinde, istemcilerde, taşınabilir bilgisayarlarda, Blackberry gibi cihazlarda çalış­tırılabilir. Tüm DLP sistemi dağıtık ortamlarda olmasına rağ­men merkezi olarak yönetilebilir ve raporlanabilir. DLP ürünleri değişik biçimlerde bulunan kaynakları koruyabilir. Şifrelenmiş dosyalar, klasörler, bilgi bankaları, sıkıştırılmış dosyalar koruma altına alınabilir. 

Data Loss Prevention sistemleri için Gartner tarafından yayınlanmış olan 2011 raporu aşağıdaki gibidir.