Hassas Veri Nedir?
29 / Temmuz / 24
Pandemi ile birlikte uzaktan çalışmanın artması, dijital dönüşümün ortaya çıkmasına ve artık şirketlerin verilerinin çoğunu dijital olarak depolamasına neden oldu. Dijital veri depolamaya geçiş son derece kullanışlı olsa da, benzeri görülmemiş sayıda siber saldırı ve veri ihlaline de yeni kapılar açtı.
Geçtiğimiz birkaç yıl içinde farklı ülkeler, bölgeler ve sektörler, şirketlerin hassas verileri nasıl ele alacağını düzenleyen ve giderek daha sıkı hale gelen veri koruma yönetmeliklerini yürürlüğe koydu.
Hassas Verilerin Tanımlanması
İnsanlar genellikle hassas veri, kişisel veri ve gizli veri terimlerini birbirlerinin yerine kullanırlar. Gündelik kullanımda hassas veri, ifşa edilmesini istemediğiniz herhangi bir bilgidir. Ancak, yasal yükümlülükler söz konusu olduğunda, hassas verilerin tanımı daha spesifiktir.
Hassas veri, açığa çıkmasının doğuracağı sonuçlar nedeniyle ekstra koruma gerektiren özel bir veri sınıfıdır. Hassas veriler ifşa edilirse, yanlış ellere geçmesi halinde finansal, kişisel veya itibar açısından zarar görme olasılığı yüksektir. Hassas verilerin ne anlama geldiğini anlamak, kuruluşların kişisel ve gizli bilgileri yetkisiz erişime karşı yeterince koruduklarından emin olmaları için çok önemlidir.
Kişisel Veriler ve Hassas Veriler
Kişisel bilgi, bir kişiyi tanımlamak için kullanılabilecek her türlü veridir. İsimler, adresler veya telefon numaraları gibi bilgiler kişisel verilerdir. Bazı durumlarda, e-postanız kişisel veri olarak kabul edilebilir. Kişisel veriler, parmak izleriniz veya bir güvenlik kamerasındaki görüntüleriniz gibi, birisinin belirli bir yerde bulunduğunuzu doğrulamak için kullanabileceği bilgileri de içerebilir.
Hassas bilgiler, bir kişiye bir şekilde zarar vermek için kullanılabilecek kişisel verilerin bir alt kümesidir. Adınız kişisel bir veridir, ancak Sosyal Güvenlik numaranız hassas bir veridir.
Hassas Veri Türleri
Genel olarak, hassas veriler kamuya açık değildir ve birkaç yüksek riskli kategoriden birine aittir. Bazı hassas kişisel veri örnekleri şunlardır:
● Finansal Veriler
Bir kişi veya kuruluşun mali durumuyla ilgili bilgiler hassas veri olarak kabul edilir. Buna şunlar dahildir:
● Banka hesap numaraları
● Kredi ve banka kartı bilgileri
● Kredi geçmişi
● Vergi başvuruları
Ödeme kartı bilgilerini kabul eden, işleyen, ileten veya saklayan işletmeler Ödeme Kartı Endüstrisi Veri Güvenliği Standardına (PCI DSS) uymak zorundadır. Bu standart, kart sahibi verilerini korumak için güçlü güvenlik yönetimi uygulamalarını zorunlu kılar.
● Kişisel Veriler
Kişisel Olarak Tanımlanabilir Bilgiler (PII) olarak da bilinen kişisel veriler, belirli bir bireyi tanımlamak için kullanılabilecek her türlü bilgidir. AB Genel Veri Koruma Yönetmeliği (GDPR) gibi düzenlemeler kişisel verileri korur.
GDPR, ‘kişisel verileri’ tanımlanmış veya tanımlanabilir bir gerçek kişiye (‘veri sahibi’) ilişkin her türlü bilgi olarak tanımlar. Kişisel veriler bir isim, kimlik numarası, konum verileri veya çevrimiçi bir tanımlayıcı gibi doğrudan olabilir. Ayrıca fiziksel özellikler, sağlık bilgileri veya kültürel ya da sosyal kimlik işaretleri gibi dolaylı da olabilir.
KVKK, kişisel veriyi, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlar. Telefon numarasından araç plakasına, hobilerinden sağlık bilgilerine kadar, kişiyi direkt olarak ya da dolaylı yoldan belirlenebilir kılan her tür bilgi, kişisel veri kapsamındadır.
● Korunan Sağlık Bilgileri (PHI)
Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamında Korunan Sağlık Bilgileri (PHI), sağlık durumu, sağlık hizmetlerinin sağlanması veya sağlık hizmetleri için yapılan ödemeler hakkında bir bireyle ilişkilendirilebilecek her türlü bilgiyi ifade eder. Bir kişinin geçmiş, şimdiki veya gelecekteki fiziksel veya zihinsel sağlık durumu hakkındaki bilgilerin yanı sıra çok çeşitli kişisel tanımlayıcıları da içerir.
● Risk Altındaki Hassas Veriler
Hassas veriler, çeşitli uygulamalarda ve depolama sistemlerinde yapılandırılmış ve yapılandırılmamış veri türlerinde ortaya çıkar. SQL sunucu veritabanı gibi yapılandırılmış veri havuzlarında veri hareketi oldukça sınırlıdır, bu da size verilerin nasıl iletileceği ve güvenliğinin nasıl sağlanacağı konusunda daha fazla kontrol sağlar. Ancak dosya paylaşımları ve SharePoint siteleri gibi yapılandırılmamış veri havuzlarında depolanan dosyalar daha serbest hareket etme eğilimindedir ve bu da tam olarak nerede bulunduklarının tespit edilmesini zorlaştırır. Bu gizli verilerin kontrol edilmesi ve güvenliğinin sağlanması daha zordur.
GDPR en çok tartışılan veri gizliliği yasası olmasına rağmen, ülkelerin %70’inden fazlası veri gizliliği yönetmeliklerini yürürlüğe koymuştur. Bu düzenlemelerin çoğu hassas kişisel verilerin korunmasına yönelik ortak bir hedefi paylaşıyor, ancak ayrıntılar değişiklik gösteriyor. Bu düzenlemeler, şirketleri hassas verilerinin kontrolünü ele almaya zorluyor. Bunu yapmak için, verilerin nerede olduğunu ve hassas veri maruziyetini azaltmak için hangi güvenlik önlemlerinin uygulandığını bilmeleri gerekir.
Hassas Verilerin Güvenliğini Sağlama
Uyumsuzlukla ilişkili para cezalarından kaçınmak için, nerede olursa olsun hassas verilerinizi bulmanız ve güvence altına almanız gerekir. Veri sınıflandırma envanteri, verileri hassasiyetlerine ve önemlerine göre tanımlamanıza ve sınıflandırmanıza yardımcı olacaktır. Bu yapıldıktan sonra, nerede depolandıkları, bunlara kimin erişimi olduğu ve nasıl kullanıldıkları da dahil olmak üzere tüm veri varlıklarınızın kapsamlı bir envanterini tutmanız gerekecektir.
Verilerinizin nerede depolandığını bilmek uyumluluğun ilk adımıdır, ancak yetkisiz erişimi önlemek için doğru kontrollere sahip olduğunuzdan da emin olmanız gerekir. İşletmelerin aynı zamanda gereğinden fazla veri toplamaktan kaçınması ve gereksiz verileri kaldırarak veri büyümesini sınırlandırması gerekir. Toplamadığınız verileri güvence altına almak zorunda değilsiniz.
Netwrix Nasıl Yardımcı Olabilir?
Netwrix, tüm hassas verilerinize, uygulamalarınıza ve sistemlerinize erişimi yönetmenize yardımcı olacak güçlü bir platform sağlar. Hem bulut tabanlı hem de şirket içi sistemlerdeki verileri tanımlayan 40’tan fazla yerleşik veri toplama modülü ile, nerede depolandıklarına bakılmaksızın veri varlıklarınızın kontrolünü elinizde tutabilirsiniz. Yapılandırılmamış biçimlerdeki hassas verileri gözden kaçırma konusunda endişelenmenize gerek kalmaz.
Netwrix’in Enterprise Auditor ürünü veri ihlali riskini azaltmanıza ve uyumluluk denetimlerini kolayca geçmenize yardımcı olabilir. Güvenlik duruşunuzdaki kullanıcı izinleri ve kötü aktörlerin yararlanabileceği devre dışı bırakılmış hesaplar gibi boşlukları proaktif olarak tespit edebilirsiniz. Enterprise Auditor, etkin olmayan hesapları silerek ve izinleri geri çekerek tehditleri otomatik olarak düzeltir. En az ayrıcalık ilkesini izleyerek, verilerinize kimin ve hangi amaçlarla eriştiğini izleyebilirsiniz. Veri güvenliğinizi sıkılaştırmak için gereksiz ayrıcalıkları hızla iptal edin.
