Trace Id is missing
Ana içeriğe atla
Microsoft Güvenlik

Veri güvenliği nedir?

Veri güvenliği, hangi verilere sahip olduğunuzu ve bunların konumunu bilmeyi ve verileriniz kapsamındaki riskleri belirlemeyi içerir. Verilerinizi nasıl koruyabileceğiniz hakkında bilgi edinin.

Veri güvenliğinin tanımı

Veri güvenliği, hassas verilerin yaşam döngüsü boyunca korumanıza, kullanıcı etkinliği ve veri bağlamını anlamanıza ve verilerin yetkisiz kullanımını ve veri kaybını önlemenize yardımcı olur.

Günümüzde Siber güvenlik alanındaki tehdit ve içeriden riskler giderek arttığı için veri güvenliğinin önemi azımsanamaz. Sahip olduğunuz veriler hakkında bilgi sahibi olmak, verilerin yetkisiz kullanımının önlenmesi ve verilerle ilgili risklerin belirlenip azaltılması için gereklidir. Veri güvenliği ile ilişkili olarak veri güvenliği yönetimi; iyi yazılmış ilkeler ve prosedürlerden faydalanarak veri güvenliği faaliyetlerini planlama, düzenleme ve kontrol etmede organizasyonunuza rehberlik eder.

Veri güvenliği türleri

Veri güvenliğinin etkili olabilmesi için, veri kümelerinin hassasiyetini ve organizasyonunuzun bağlı olduğu yasal düzenlemelere uyumluluk ile ilgili gereklilikleri hesaba katması gerekir. Bir veri ihlaline karşı korunmanıza, düzenleyici gereksinimleri karşılamanıza ve itibarınızın zarar görmesini önlemenize yardımcı olacak veri güvenliği türleri şunları içerir:

  • Erişim denetimi şirket içi ve bulut tabanlı verilere erişimin yönetilmesini sağlar.
  • Parolalar, erişim kartları veya biyometrik verilerle kullanıcı kimliklerinin doğrulaması.
  • Bir sistem arızası, veri bozulması veya olağanüstü durum sonrasında verilere erişim sağlamak için yedeklemeler ve kurtarma.
  • Olağanüstü durum kurtarma ve iş sürekliliğine proaktif bir yaklaşım olarak veri dayanıklılığı.
  • Verileri uygun şekilde imha etmek ve kurtarılamaz hale getirmek için veri silme.
  • Harfleri ve sayıları yetkisiz kullanıcılardan gizlemek için ara sunucu karakterleri kullanan veri maskeleme yazılımı.
  • Hassas verilerin yetkisiz kullanımına karşı koruma sağlamak için veri kaybı önleme çözümü.
  • Dosyaların yetkisiz kullanıcılar için okunamaz hale getirilmesini sağlayan şifreleme.
  • Dosyalarda ve belgelerde bulunan hassas verilerin sınıflandırılması için bilgi koruması.
  • Riskli kullanıcı etkinliğini azaltmak için içeriden risk yönetimi.

Güvenliğinin sağlanması gereken veri türleri

Kredi kartı güvenliği ihlal edilmiş veya kimliği çalınmış olan herkes, etkili veri korumasının önemini daha derin bir şekilde takdir eder. Kötü niyetli bilgisayar korsanları, sürekli olarak kişisel bilgileri çalmak ve bunun karşılığında fidye istemek, bu verileri satmak veya bunları kullanarak daha fazla kandırmak için yeni yollar geliştirmektedir. Ayrıca, mevcut ve eski çalışanlar genellikle veri kaybına neden olur ve bu da içeriden risk yönetimini organizasyonlar için bir gereklilik haline getirir.

Neyin nasıl korunacağına ilişkin gereksinimler sektörlere göre değişkenlik gösterse de güvenliğinin sağlanması gereken genel veri türleri şunları içerir:

  • Çalışanlarınız ve müşterilerinizin kişisel bilgileri.
  • Kredi kartı bilgileri, banka bilgiler ve kurumsal mali bilançolar gibi finansal bilgiler.
  • Alınan hizmetler, teşhisler ve tahlil sonuçları gibi sağlıkla ilgili bilgiler.
  • Ticari sırlar ve patentler gibi fikri mülkiyet.
  • Tedarik zinciri bilgileri ve üretim süreçleri gibi iş operasyonlarına ilişkin veriler.

Veri güvenliğine karşı tehditler

İster işte ister evde, internet size hesaplara, iletişim yöntemlerine ve bilgi paylaşma ve kullanma yollarına erişim sağlar. Çeşitli siber saldırılar ve içeriden riskler paylaştığınız bilgilerin risk altına girmesine sebebiyet verir.

  • Korsanlık Yapma

    Bilgisayar korsanlığı, veri çalma, ağları veya dosyaları bozma, bir organizasyonun dijital ortamını ele geçirme veya verilerini ve faaliyetlerini bozmak için bilgisayar aracılığıyla yapılan girişimler anlamına gelir. Bilgisayar korsanlığı yöntemleri arasında kimlik avı, kötü amaçlı yazılım, kod kırma ve dağıtılmış hizmet reddi saldırıları yer alır.

  • Kötü amaçlı yazılım

    Kötü amaçlı yazılım yetkisiz kullanıcıların ortamınıza erişmesini sağlayan solucanlar, virüsler ve casus yazılımlar için kullanılan bir terimdir. Bu kullanıcılar, sisteminize giriş yaptıktan sonra BT ağınızı ve uç nokta cihazlarınızı bozma veya dosyalarda kalmış olabilecek kimlik bilgilerini çalma potansiyeline sahiptir.

  • Fidye yazılımı

    Fidye yazılımı fidye ödeyene kadar ağınıza ve dosyalarınıza erişimi engelleyen kötü amaçlı bir yazılımdır. Bir e-posta ekini açmak ve bir reklama tıklamak, fidye yazılımının bilgisayarınıza indirilmesine neden olan yollardan biridir. Genellikle dosyalara erişim sağlayamadığınızda veya ödeme talep eden bir mesaj gördüğünüzde keşfedilir.

  • Kimlik avı

    Kimlik avı kredi kartı numarası ve şifre gibi bilgileri vermeleri için kişi veya organizasyonları kandırma eylemidir. Burada amaç, kurbanın tanıdığı saygın bir şirket gibi davranarak hassas verileri çalmak veya bunlara zarar vermektir.

  • Veri sızıntısı

    Veri sızıntısı, bir organizasyondaki verilerin harici bir alıcıya kasıtlı veya kazara aktarılmasıdır. Bu, e-posta, internet ve dizüstü bilgisayarlar ve taşınabilir depolama cihazları gibi cihazlar kullanılarak gerçekleştirilebilir. Şirket dışına çıkarılan dosya ve belgeler de bir tür veri sızıntısıdır. 

  • İhmal

    İhmal, bir çalışanın şirkete zarar verme amacı olmasa da bilinçli bir şekilde bir güvenlik ilkesini ihlal ettiği durumlardır. Örneğin, hassas verileri bu verilere erişimi olmayan bir iş arkadaşıyla paylaşabilir veya güvenli olmayan bir kablosuz bağlantı üzerinden şirket kaynaklarına giriş yapabilirler. Buna bir başka örnek ise, bir kişinin rozet göstermeden binaya giriş yapmasına izin vermektir.

  • Dolandırıcılık

    Dolandırıcılık, internetin sağladığı anonimlik ve gerçek zamanlı erişilebilirlikten yararlanmak isteyen ileri düzey kullanıcılar tarafından yürütülen eylemlerdir. Risk altındaki hesapları veya çalıntı kredi kartı numaralarını kullanarak işlemler oluşturabilirler. Organizasyonlar, garanti dolandırıcılığı, geri ödeme dolandırıcılığı veya bayi dolandırıcılığının kurbanı olabilir.

  • Hırsızlık

    Hırsızlık, verilerin, paranın veya fikri mülkiyetin çalınmasıyla sonuçlanan bir iç tehdittir. Kişisel menfaat sağlamak için organizasyona zarar verme amacıyla gerçekleştirilir. Örneğin, güvenilir bir satıcı karanlık ağda müşterilerin sosyal güvenlik numaralarını satabilir veya kendi işini kurmak için müşteriler hakkındaki şirket içi bilgileri kullanabilir.

Veri güvenliği teknolojileri

Daha eksiksiz bir veri güvenliği stratejisinin temel bileşenlerinden biri veri güvenliği teknolojileridir. Çeşitli veri kaybı önleme çözümleri, dahili ve harici etkinlikleri tespit ederek şüpheli veya riskli veri paylaşım davranışlarını işaretlemenize ve hassas veriler üzerinde bir denetim sağlamanıza yardımcı olur. Hassas verilerin çalınmasını önlemek için bunun gibi veri güvenliği teknolojilerini uygulayın.

Veri şifreleme. Yetkisiz kullanıcıların dosyanın konumuna erişseler bile dosya içeriğini görüntülemesini engellemek için beklemede veya hareket halindeki veriler için verilerin koda dönüştürülmesini sağlayan veri şifreleme yöntemlerini kullanın.

Kullanıcı kimlik doğrulaması ve yetkilendirme. Kullanıcı kimlik bilgilerini doğrulayarak erişim ayrıcalıklarının doğru şekilde atanmış ve uygulanmakta olduğundan emin olun. Rol tabanlı erişim denetimi organizasyonunuzun yalnızca ihtiyacı olanlara erişim sağlamasına yardımcı olur.

İçeriden risk algılama. İçeriden risk veya tehdit içeren faaliyetleri belirleyin. Veri kullanım bağlamını anlayın ve belirli indirmelerin, organizasyonunuz dışındaki e-postaların ve yeniden adlandırılmış dosyaların ne zaman şüpheli davranışlara işaret ettiğini öğrenin.

Veri kaybı önleme ilkeleri. Verilerin nasıl yönetildiğini ve paylaşıldığını tanımlayan ilkeler oluşturun ve uygulayın. Verilerin sızdırılmasını veya çalınmasını önlemek üzere çeşitli etkinlikler için yetkili kullanıcıları, uygulamaları ve ortamları belirtin.

Veri yedekleme. Bir depolama hatası, veri ihlali veya herhangi bir olağanüstü durum halinde yetkili yöneticilerinizin verileri geri yükleyebilmeleri için organizasyonunuzun verilerinin tam bir kopyasını yedekleyin.

Gerçek zamanlı uyarılar. Verilerin potansiyel olarak kötüye kullanımı için bildirimleri otomatikleştirerek olası güvenlik sorunları hakkında verilerinize, itibarınıza veya çalışan ve müşteri gizliliğinize zarar vermeden uyarılar alın.

Risk değerlendirmesi. Kurum çalışanlarının, satıcıların, yüklenicilerin veya iş ortaklarınızın verileriniz ve güvenlik uygulamalarınız hakkında bilgi sahibi olduklarını anlayın. Bu verilerin kötü amaçlarla kullanımını engellemek için, hangi verilere sahip olduğunuz ve organizasyonunuzda bu verilerin nasıl kullanıldığı hakkında bilgi sahibi olun.

Veri denetimi. Düzenli olarak planlanan veri denetimleri sayesinde veri koruma, doğruluk ve erişilebilirlik gibi önemli hususları ele alın. Bu tür denetimler sayesinde, verilerinizin kim tarafından ve nasıl kullanıldıkları hakkında bilgi edinebilirsiniz.

Veri güvenlik yönetimi stratejileri

Veri güvenliği yönetim stratejileri, verilerinizin daha güvenli bir şekilde muhafaza edilmesine yönelik ilkeler, prosedürler ve idare bileşenlerini içerir.

  • Parola yönetimi için en iyi deneyimleri uygulayın

    Kullanımı kolay bir parola yönetim çözümü uygulayın. Bu, yapışkan notlara ve elektronik tablolara olan ihtiyacı ortadan kaldıracak ve çalışanları benzersiz parolaları ezberleme zahmetinden kurtaracaktır.
    Parola yerine kurtarma ifadeleri kullanın. Çalışanlar açısından kurtarma ifadelerini hatırlamak daha kolayken siber suçlar için de bunları tahmin etmesi daha zordur.
    İki faktörlü kimlik doğrulamasını (2FA) etkinleştirin. 2FA sayesinde bir parola veya kurtarma ifadesi risk altında olsa bile oturum açma güvenliği muhafaza edilir, çünkü yetkisiz kullanıcının ikinci bir cihaza gönderilen koda erişimi yoktur. 
    Bir ihlal sonrasında parolalarınızı değiştirin. Bunları daha sık değiştirmenin zamanla daha zayıf parolalara yol açacağı düşünülmektedir.
    Parolaları veya kurtarma ifadelerini yeniden kullanmaktan kaçının. Bunlar, bir kez ele geçirildiklerinde, genellikle diğer hesaplara girmek için de kullanılırlar.

  • Bir savunma planı oluşturun

    Hassas verilerinizi koruyun. Yaşam döngüsü boyunca nerede olursa olsun, bilgilerin hacmini, türünü ve konumunu bilmek için büyük ölçekte veri sınıflandırmasını keşfedin.
    İçeriden riskleri yönetin. Veri güvenliği olaylarına yol açabilecek potansiyel olarak riskli etkinlikleri belirlemek için kullanıcı etkinliğini ve verilerin kullanım amacını anlayın.
    Uygun erişim denetimleri ve ilkeleri oluşturun. Hassas verileri uygun olmayan şekilde kaydetme, depolama veya yazdırma gibi eylemlerin önlenmesine yardımcı olun.

  • Verilerin güvenliğini sağlamak için şifrelemeden faydalanın

    Veri şifreleme, yetkisiz kullanıcıların hassas verilere erişmelerini engeller. Bu şekilde, veri ortamınıza erişim sağlayıp aktarım sırasında verileri görseler bile, kolayca okunamadığı veya anlaşılamadığı için veriler işe yaramaz.

  • Yazılım ve güvenlik güncellemelerini yükleyin

    Yazılım ve güvenlik güncellemeleri, siber suçluların hassas bilgileri çalmak için sıklıkla kullandıkları bilinen güvenlik açıklarını giderir. Düzenli güncellemeleri takip etmek, bu güvenlik açıklarını gidermeye ve sistemlerinizin güvenliğinin ihlal edilmesini önlemeye yardımcı olur.

  • Çalışanlarınıza veri güvenliği hakkında eğitim sağlayın

    Organizasyonunuzun verilerinin korunmasını sağlamak sadece BT departmanınızın görevi değildir; ayrıca çalışanlarınıza verilerin ifşası, hırsızlık ve yolsuzluğun gibi konularda eğitim sağlamalısınız. Veri güvenliği konusundaki en iyi deneyimler, çevrimiçi ve basılı kopyalar halinde yazdırılan verilerle ilgilidir. Üç ayda bir, iki yılda bir veya yılda bir olmak üzere resmi eğitimler düzenli olarak yapılmalıdır.

  • Uzaktan çalışma için güvenlik protokollerinin uygulanması

    Uzaktan çalışan iş gücünüz için güvenlik protokollerini uygulamaya ilkelerinizi ve prosedürlerinizi netleştirerek başlayın. Bu aşama, genellikle zorunlu güvenlik eğitiminin uygulanmasını ve hangi yazılım uygulamalarının kabul edilebilir olduğunu ve bunların nasıl kullanılacağını belirlemeyi gerektirir. Protokollerin ayrıca çalışanlar tarafından kullanılan tüm cihazların güvenliğinin sağlanması için uygulanacak süreci de kapsaması gerekir.

Yasal düzenlemeler ve uyumluluk

Organizasyonlar, ilgili veri koruma standartlarına, yasalarına ve düzenlemelerine uymalıdır. Bunlar; müşterilerden veya çalışanlardan yalnızca ihtiyaç duyduğunuz bilgileri toplama, bu verilerin güvenliğini sağlamak için çalışma ve uygun şekilde imha etme gibi hususları kapsamakla birlikte bunlarla sınırlı değildir. Genel Veri Koruma Yönetmeliği (GDPR), Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ve California Tüketici Gizliliği Yasası (CCPA), gizlilik yasalarına örnek olarak verilebilir.

GDPR en sıkı veri gizliliği ve güvenliği yasasıdır. Avrupa Birliği (AB) tarafından hazırlanmış ve onaylanmıştır, ancak dünya çapındaki kurumlar da, hedef kitlelerinin AB vatandaşları veya sakinleri olması, onlardan kişisel veri toplamaları veya onlara mal ve hizmetler sunmaları halinde bu yasa hükümlerine uymakla yükümlüdürler.

HIPAA, hastanın sağlık bilgilerinin hastanın bilgisi veya rızası olmadan paylaşılmasının önlenmesine yöneliktir. HIPAA Gizlilik Kuralı, kişisel sağlık bilgilerini korur ve HIPAA gerekliliklerini uygulamak için çıkarılmıştır. HIPAA Güvenlik Kuralı, bir sağlık hizmeti sağlayıcısının elektronik olarak oluşturduğu, aldığı, sakladığı veya ilettiği kişisel sağlık bilgilerinin korunmasına yardımcı olur.

CCPA, toplanan kişisel bilgiler ve bunların nasıl kullanıldığı ve paylaşıldığı hakkında bilgi edinme hakkı, toplanan kişisel bilgilerini sildirme hakkı ve kişisel verilerinin satılmasını reddetme hakkı da dahil olmak üzere Kaliforniyalı tüketiciler için gizlilik haklarının güvence altına alınmasını amaçlar.

Veri koruma görevlisi (DPO), uyumluluğu izleyen ve organizasyonunuzun kişisel verileri veri koruma yasalarına uygun olarak işlemesini sağlamaya yardımcı olan bir liderlik rolüdür. Örneğin, uyumluluk ekiplerine yasal düzenlemelere nasıl uyum sağlanacağı konusunda bilgi verir ve tavsiyelerde bulunur, organizasyon içinde eğitim sağlar ve kural ve düzenlemelere uyulmaması durumunda bunları bildirirler.

Uyumsuzluğun bir veri ihlaline yol açması, genellikle organizasyonlara milyonlarca dolara mal olur. Bu bağlamda, kimlik hırsızlığı üretkenlik kaybı ve müşteri çıkışları gibi sonuçlar meydana gelebilmektedir.

Sonuç

Veri güvenliği ve veri güvenliğinin yönetimi, verilerinize yönelik tehditleri belirlemenize ve değerlendirmenize, yasal gerekliliklere uymanıza ve verilerinizin bütünlüğünü korumanıza yardımcı olur.

Verilerinizi sık yedekleme taahhüdünde bulunun, yedeklemenizin bir kopyasını şirket dışında bir konumda saklayın, veri güvenliği yönetimi stratejilerinizi belirleyin, güçlü parolalar veya kurtarma ifadeleri kullanın ve 2FA uygulayın.

Organizasyonunuz için güçlü bir savunma inşa etmenin temelinde, verileri yaşam döngüsü boyunca korumak için adımlar atmak, verilerin nasıl kullanıldığını anlamak, veri sızıntısını önlemek ve veri kaybı önleme ilkelerini oluşturmak yatar.

Veri güvenliği prosedürleri ve araçlarından faydalanarak bulutlar, uygulamalar ve uç noktalar genelinde verilerinizi nasıl koruyabileceğiniz hakkında bilgi edinin.

Microsoft Güvenlik hakkında daha fazla bilgi edinin

Microsoft Purview

Kurumunuza ait veriler için idare, koruma ve uyumluluk çözümlerini keşfedin.

Daha fazla bilgi edinin

Veri kaybını önlemeye yardımcı olun

Uç noktalarda, uygulamalarda ve hizmetlerde hassas verilerin uygunsuz paylaşımını veya kullanımını belirleyin.

Daha fazla bilgi edinin

İçeriden riskleri yönetin

Çalışanlarınızın ve tedarikçilerinizin faaliyetlerindeki potansiyel riskleri nasıl belirleyeceğiniz hakkında bilgi edinin.

Daha fazla bilgi edinin

Bilgi koruması

Dijital varlığınız genelindeki en hassas verilerinizi keşfedin, sınıflandırın ve koruyun.

Daha fazla bilgi edinin

Sık sorulan sorular

  • Veri güvenliği, hassas verilerin yaşam döngüsü boyunca korunmasına, kullanıcı etkinliği ve veri bağlamının anlaşılmasına ve verilerin yetkisiz kullanımının önlenmesine katkı sağlar. Bu, hangi verilere sahip olduğunuzu ve bunların konumunu bilmeyi ve bu verilerinize karşı tehditleri belirlemeyi içerir.

  • Veri güvenliği türleri şunları kapsar:

    • Şirket içi ve bulut tabanlı veriler için oturum açma kimlik bilgileri gerektiren erişim denetimleri.
    • Parolalar, erişim kartları veya biyometrik veriler aracılığıyla kullanıcı kimliklerinin doğrulaması.
    • Bir sistem arızası, veri bozulması veya olağanüstü durum sonrasında verilere erişim sağlamak için yedeklemeler ve kurtarma.
    • Olağanüstü durum kurtarma ve iş sürekliliğine proaktif bir yaklaşım olarak veri dayanıklılığı.
    • Verilerin uygun şekilde imha edilmesi ve kurtarılamaz hale getirilmesi için verilerin silinmesi.
    • Harfleri ve sayıları yetkisiz kullanıcılardan gizlemek için ara sunucu karakterleri kullanan veri maskeleme yazılımı.
    • Hassas verilerin yetkisiz kullanımına karşı koruma sağlamak için veri kaybı önleme çözümü.
    • Dosyaların yetkisiz kullanıcılar için okunamaz hale getirilmesini sağlayan şifreleme.
    • Dosyalarda ve belgelerde bulunan hassas verilerin sınıflandırılması için bilgi koruması.
    • Riskli kullanıcı etkinliğini azaltmak için içeriden risk yönetimi.

  • Veri güvenliği için verilebilecek bir örnek, teknolojiden faydalanarak organizasyonunuzdaki hassas verilerin nerede olduklarını görmek bu verilere nasıl erişim sağlandığını ve verilerin nasıl kullanıldıkları hakkında bilgi sahibi olmaktır.

  • Veri güvenliği, bir organizasyonun veri ihlallerine yol açabilecek siber saldırılara, içeriden tehditlere ve insan hatalarına karşı korunmasına yardımcı olduğundan oldukça önemlidir.

  • Veri güvenliği için dört temel husus, gizlilik, bütünlük, erişilebilirlik ve uyumluluktur.

Microsoft 365’i takip edin