54

Veri Sızıntısı,

kurumların can damarı niteliğindeki; gizli,

hassas ve kıymetli dijital verilerinin, izinsiz-kontrolsüz

bir şekilde kurum dışına çıkarılmasıdır. DLP (Data Loss

Preventation) yani “Veri Sızıntısı Engelleme” bu tür

tehlikeleri önleme amaçlı tasarlanmış sistemdir.

2004-2012 yılları arasında yaşanmış veri sızıntı olaylarına

bakıldığında(*) son yıllarda bu vakalarda ciddi artış

olduğu raporlanmıştır. Yaşanan bu

veri sızıntı vakaları

ile kurumlar

itibar kaybı, yasal yaptırımlar, maddi ziyan

ve

müşteri kaybı

ile karşı karşıya kalmaktadır. Kurumlar

bu olayları yaşamamak için ve ek olarak standartlara

uyumlu hale gelme adına veri sızıntı önleme çözümleri

kullanmaktadır.

Veri sızıntı önleme yöntemlerinin başarılı bir şekilde

uygulanmasının en önemli ayağı kurum için gizli, hassas

ve kıymetli olan bu verilerin neler olduğu ve hangi

ortamlarda bulunduğunun tespiti amacıyla yapılan “veri

sınıflandırma” sürecidir. Bu sayede kurumların hangi veri

tiplerine sahip olduğu, bu verilerin nerelerde bulunduğu,

uygulanan koruma seviyeleri/erişim yetkileri ortaya

çıkacaktır.

Kurumun sahip olduğu veriler temel olarak 3 yerde

bulunabilir. Veri sızıntısı önleme aracı olarak kullanılacak

ürünler buralardaki gizli ve hassas verileri izleyebilmeli

ve bu verilerin hareketi halinde kurum politikaları

uygulanabilmelidir.





Hareketli veri:

İç ağ ya da dış ağ üzerinde bulunan

herhangi bir veri. Buradan takip edilebilecek protokoller

HTTP, FTP, IM, P2P ve SMTP’dir.

Data Loss is the uncontrolled and unauthorized release of

confidential, sensitive and valuable digital information that serve

as the backbone of organizations. DLP (Data Loss Prevention) is

a system designed to prevent such threats.

Looking at the data loss incidents that occurred between

2004-2012 (*) it is seen that the number of data loss incidents

has increased significantly. With these data loss incidents,

the organizations are faced with the risks of loss of corporate

prestige, legal sanctions, material loss and loosing customers.

In order to avoid such problems and to achieve better

compliance with relevant standards organizations utilize data

loss prevention solutions.

The most important step in the successful implementation of

data loss methods is the “data classification” process carried

out with the purpose of determining what these data which are

confidential, sensitive and valuable for the company comprise

and in which settings they are present. This process will reveal

information such as what type of data the organizations have,

in what settings these data are present, the levels of protection

and access authorizations that are currently in use.

The data that the organization has can be present at 3 locations.

The solutions that will be used as data loss prevention tools

should be capable of monitoring the confidential and sensitive

data available in these locations and institutional policies should

be in place to implement them in case movement of data is

observed.





Mobile data:

it is the data located on the internal or external

web. The protocols that can be monitored here are HTTP,

FTP, IM, P2P and SMTP.

“VERİ SIZINTISI ÖNLEME” NASIL UYGULANIR?

HOW IS “DATA LOSS PREVENTION” IMPLEMENTED?

Mustafa İNANICI

Bilgi Güvenliği Uzmanı

Data Security Specialist

UZMAN GÖZÜYLE

EXPERT VIEW