Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, güvenlik ve teknoloji ekiplerinin oluşturulduğu, depolandığı, işlendiği, paylaştığı veya kullanıldığı her yerde verileri korumalarına yardımcı olan bir Veri Güvenliği uzmanlık alanı oluşturmalarına ve modernleştirmelerine yardımcı olurken işbirliği, analiz, bulut hizmetleri ve yapay zeka benimseme olanağı sağlar.
Güvenlik disiplinleri , kuruluşların teknoloji varlıklarının tamamında tutarlı bir şekilde güvenlik sonuçları sağlamasına yardımcı olan ilgili güvenlik çalışmaları gruplandırmalardır. Güvenlik benimseme modeli kapsamında disiplinler, güvenlik yatırımlarının güvenlik benimseme modelinin bir parçası olarak gerçek ölçülebilir sonuçlara dönüşmesini sağlayarak iş senaryoları ile teknik uygulama arasında bir köprü sağlamaya yardımcı olur.
Neden bu disiplin
Veriler, modern kuruluşların yaşam kaynağıdır. İş operasyonlarını, karar alma sürecini ve yenilikleri destekler ancak saldırganlar tarafından hedeflenen en değerli varlıklardan biridir.
Geleneksel, ağ merkezli veri koruma yaklaşımları artık bulut hizmetlerini, şifrelemeyi, mobil cihazları ve dağıtılmış işbirliğini kullanan ortamlarda yeterli değildir. Modern bir Veri Güvenliği uzmanlık alanı, çevre denetimlerinin ötesine geçerek iş değeri ve riskle uyumlu, kimlik kullanan, yaşam döngüsü tabanlı koruma sağlar. Etkili veri güvenliği olmadan kuruluşlar, aşağıdakileri de içeren önemli iş riskiyle karşı karşıya kalır:
- Bulut hizmeti, kişisel cihazlar ve yapay zeka kullanan çalışanlar tarafından istenmeyen verilerin açığa çıkarılma durumu.
- Hassas bilgileri hedefleyen kötü amaçlı insider etkinliği.
- Dağıtılmış ortamlarda çevre tabanlı denetimleri atlayan tehdit aktörleri.
- Fidye yazılımı ve haraç saldırıları işlemleri kesintiye uğratıyor.
- Mevzuat cezaları, itibar hasarı ve bazı sektörlerde yaşam güvenliği etkileri.
Ayrılmış Veri Güvenliği uzmanlık alanı, bu riskleri azaltmak için gereken yapıyı sağlarken, kuruluş genelinde verilerin güvenli ve üretken bir şekilde kullanılmasını sağlar.
Görev ve sonuçlar
Veri Güvenliği uzmanlık alanının misyonu, yaşam döngüleri boyunca veri varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak, güvenli iş operasyonlarına ve bilinçli karar alma sürecine olanak sağlamaktır.
Olgun bir Veri Güvenliği uzmanlık alanı şu temel sonuçları verir:
- Veri gizliliği: Yalnızca yetkili kullanıcıların ve sistemlerin verilere erişebildiğinden emin olun.
- Veri bütünlüğü: Verilerin yetkisiz olarak değiştirilmesini veya bozulmasını önleyin.
- Veri kullanılabilirliği: Gerektiğinde verilerin yetkili kullanıcılar tarafından erişilebilir olduğundan emin olun.
Bu sonuçlardaki başarısızlık, veri hırsızlığına ve kötüye kullanımına yol açabilir, iş operasyonlarını kesintiye uğratabilir, sahtekarlığa olanak tanıyabilir, düzenlenmiş verileri açığa çıkarabilir, hatta insanlara fiziksel zarar verebilir.
Net sahiplik, sınıflandırma ve koruma stratejileri oluşturduğunuzda, veri güvenliği bir kısıtlama yerine iş sonuçlarının etkinleştiricisi haline gelir.
Veri Güvenliği uzmanlık alanını etkili bir şekilde uygulamak için verilerin duyarlılığına ve iş etkisine göre korunmasına yönelik tutarlı bir yaklaşım oluşturmaya odaklanın:
-
İş önceliklerine ve risklerine uygun bir veri koruma stratejisi tanımlama
Verileri değerine ve maruz kalma veya kötüye kullanımıyla ilişkili risklere göre tanımlamak, sınıflandırmak ve korumak için net bir yaklaşım oluşturun. -
Veri yaşam döngüsü boyunca tutarlı bir şekilde koruma uygulama
Cihazlar, uygulamalar ve bulut ortamları dahil olmak üzere verilerin bulunduğu, taşınan veya kullanıldığı her yerde korunduğundan emin olun. -
Standartlaştırılmış veri koruma ilkeleri ve denetimleri oluşturma
Hassas verilerin kuruluş genelinde tutarlı ve güvenli bir şekilde işlendiğinden, erişildiğinden ve paylaşıldığından emin olmak için net yönergeler sağlayın. -
Veri korumayı kritik iş varlıkları ve senaryolarıyla uyumlu hale getirme
Özellikle kritik varlıkları koruma ve güvenli işbirliği sağlama gibi senaryolarda yüksek değerli ve düzenlenmiş verileri koruyan denetimlerin önceliklerini belirleyin. -
Veri korumayı sürekli izleme ve iyileştirme
Korumaları iyileştirmek ve zaman içinde verilerin açığa çıkarılıp kaybedilmesi riskini azaltmak için veri kullanımı, risk sinyalleri ve güvenlik olaylarından içgörüler kullanın.
Değişikliği yönetme
Geleneksel veri güvenliği yaklaşımları genellikle ağ tabanlı veri kaybı önleme (DLP) gibi tek bir denetim noktasına dayanır. Bu model modern ortamlarda aşağıdakiler nedeniyle etkisizdir:
- Veri yaşam döngüsünün yalnızca sınırlı noktalarında çalışır.
- Korumayı ve üretkenliği tek bir anda mükemmel bir şekilde dengelemeli,
- Veriler şifrelendiğinde, bulut hizmetleri aracılığıyla paylaşıldığında veya kişisel cihazlarda erişildiğinde başarısız olur.
Bu diyagram, veri güvenliğine yönelik modern bir yaklaşım kullanarak üstesinden gelinecek zorlukları özetler.
Modern bir Veri Güvenliği uzmanlık alanı, veri yaşam döngüsünün tamamında sürekli görünürlük ve denetime odaklanır.
Önemli odak alanları
Modern veri güvenliği stratejileri şu konuları vurgular:
| Odak | Ayrıntılar |
|---|---|
| Kritik verilerin önceliklerini belirleme | önce iş açısından en kritik verileri koruyun. |
| İşbirliği, kapsam, görünürlük | Cihazlar, uygulamalar ve bulutlar arasında yapılandırılmış ve yapılandırılmamış verilerin tam görünürlüğü için iş genelinde işbirliği yaparak veri silolarını önleyin. |
| Verileri bulma | Verilerin nerede var olduğunu ve hangi değere veya duyarlılığa sahip olduğunu bilme. |
| Verileri sınıflandırma | Güvenlik denetimlerinin otomatik olarak uygulanabilmesi için tutarlı etiketler uygulayın. |
| Yaşam döngüsü koruması | Konum, teknik platform, cihaz veya ortamdan bağımsız olarak verilerin güvenliğini sağlayın. Bu stratejiyi verilerin yaşam döngüsü boyunca uygulayın: oluşturma, kullanma, depolama, paylaşma ve atma. Verileri oluşturma ve üretim sırasında, depolama sırasında, erişim/paylaşım/kullanım sırasında ve aktarım sırasında; ayrıca artık etkin olmayan, arşivlenmiş veya silinmiş verileri koruyun. |
| İzleme ve uygulama | Gerçek zamanlı yetkisiz erişimi veya veri sızdırmayı tespit etmek ve bunlara müdahale etmek için gerçek zamanlı görünürlük ve otomatik uygulama sağlayın. |
| Öğrenme ve geliştirme | Veri güvenliğini sürekli geliştirin. Yapay zeka da dahil olmak üzere veri biçimleri, platformlar ve kullanım örnekleri geliştikçe strateji ve veri denetimlerini uyarla. |
Bu yaklaşım, iş ve teknoloji değişiklikleriyle ölçeklendirilen koruma sağlar.
Bu diyagramda hem güvenlik hem de üretkenlik sağlayan üst düzey bir veri güvenliği stratejisi gösterilmektedir.
Diyagramda:
- Noktalı çizgiyle gösterilen Sıfır Güven temeli, iç işlevlerle dış ortam arasında modern bir kimlik sınırı ve veri kaybı önlemesi oluşturur. Bu temel, yetkisiz veri kaybını önler, ancak yetkili dış taraflarla işbirliğine olanak tanır.
- Açık yeşil renkteki kurumsal işbirliği ortamı, kuruluş verilerinizin çoğunun oluşturulduğu, işlendiği ve depolandığı yerdir. Erişimi yalnızca iç kullanıcılarla sınırlayın ve varsayılan olarak en az ayrıcalık uygulayın.
- Daha koyu yeşil renkteki kritik uygulamalar ve veriler, kuruluşta sınırlı sayıda yetkili kullanıcı ve uygulamayla sınırlandırılması gereken en hassas verileri temsil eder. Bu verileri kurumsal işbirliği ortamında ve bazı yetkili dış taraflarla paylaşabilirsiniz, ancak her zaman korunması ve izlenmesi gerekir.
Disiplin rolleri ve iş ortakları
Veri güvenliği, iş, güvenlik ve teknoloji ekipleri arasında yakın işbirliği gerektirir. Büyük kuruluşlarda roller genellikle dağıtılır ve resmileştirilir; daha küçük kuruluşlarda sorumluluklar birleştirilebilir.
Bu disiplindeki birincil roller genellikle şunları içerir:
- Veri Sorumlusu / Veri İdaresi ekipleri
- Veri ve yapay zeka mimarları
- Veri ve yapay zeka mühendislik ve operasyon ekipleri
Önemli ortak çalışanlar şunlardır:
- İş liderleri ve veri sahipleri – Veri değerini, kullanımı ve sınıflandırmayı tanımlayın.
- Güvenlik stratejisi ve idare ekipleri – İlkeleri, standartları ve gözetimleri tanımlayın.
- Mimari rolleri – Veri güvenliği denetimlerini sistem ve platform tasarımlarına tümleştirin.
- Geliştiriciler – Uygulamalar içinde güvenli veri işleme uygulayın.
- Güvenlikle bitişik disiplinler – Veri güvenliğini gizlilik, risk ve uyumluluk çabalarıyla uyumlu hale getirme.
Diğer disiplinlerle uyum
Veri Güvenliği uzmanlık alanı, diğer disiplinlerle yakın koordinasyon içinde çalışır:
- Erişim ve Kimlikler uzmanlık alanı– Kimlerin verilere erişebileceğini kimlik ve erişim ilkeleri belirler.
- Güvenlik Mimarisi uzmanlık alanı – Mimari, verileri korumaya yönelik uçtan uca desenleri tanımlar.
- Güvenlik İşlemleri (SecOps) uzmanlık alanı – Verilerle ilgili olayları algılar ve yanıtlar.
- Güvenlik Duruşu uzmanlık alanı – Veri koruma olgunluğunu ölçer ve geliştirir.
Veri sorumlulukları genişledikçe net sahiplik ve paylaşılan sorumluluk temel öneme sahiptir.
Teknoloji yapılarına uyum
Veriler sistemler, kullanıcılar ve ortamlar arasında hareket eder. Sonuç olarak, Veri Güvenliği uzmanlık alanı tüm teknoloji yapılarını kapsıyor.
Uyumlu teknoloji sütunları şunlardır:
- Kimlikler: Veri güvenliği, güçlü kimlik ve erişim denetimleri aracılığıyla verilere güvenli erişimi zorlamak için kimlik güvenlik denetimlerine dayanır.
- Uç noktalar: Veri güvenliği, güvenliği aşılmış veya yönetilmeyen cihazlardan veri hırsızlığını önlemek için uç nokta güvenlik denetimlerine dayanır.
- Altyapı: Veri güvenliği, sunucularda, kapsayıcılarda ve bulut platformlarında depolanan veya işlenen verileri korumak için altyapı güvenlik denetimlerine dayanır.
- Uygulamalar: Veri güvenliği, uygulamaların hassas verilere güvenli bir şekilde erişmesini ve işlemesini sağlamak için uygulama güvenliği denetimlerine dayanır.
- Veri: Veri güvenliği, yaşam döngüsü boyunca verileri bulmak, sınıflandırmak, korumak ve izlemek için veri güvenliği denetimlerine dayanır. - Ağ: Veri güvenliği, veriler sistemler arasında aktarılırken bunların keşfedilmesine ve güvence altına alınmasına yardımcı olan veri güvenliği denetimlerinden yararlanır.
- Yapay zeka: Veri güvenliği yapay zeka çıkışlarını eğitmek, analiz etmek ve oluşturmak için kullanılan verileri korumak için yapay zeka güvenlik denetimlerine dayanır.
Sonraki Adımlar
Microsoft Unified, kuruluşların Güvenlik Duruş Yönetimi stratejisi, mimarisi ve teknolojisini modernleştirmesini hızlandırmalarına yardımcı olmak için uzman liderliğinde atölyeler sunar. Bu atölyeler şunlardır:
Mimari ve strateji atölyeleri - Güvenlik Benimseme Çerçevesi Veri Güvenliği atölyesi, veri güvenliği modernleştirmesine odaklanır. Bu atölye, temel öğrenmeler ve en iyi yöntemlere odaklanan dört saatten kısa bir tartışma olarak kullanılabilir.
Teknoloji benimseme atölyeleri - Microsoft Unified, kuruluşların veri teknolojilerini öğrenmesine, planlamasına, uygulamasına ve kullanımını iyileştirmesine yardımcı olacak atölyelere sahiptir.
