Veri güvenliği, verileri onaylanmamış erişime karşı korumak ve veri gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için kullanılan koruyucu önlemlerdir. Veri güvenliği en iyi uygulamaları; veri şifreleme, anahtar yönetimi, veri düzeltme, verileri alt kümelere ayırma ve veri maskeleme gibi veri koruma tekniklerinin yanı sıra ayrıcalıklı kullanıcı erişimi denetimleri, denetim ve izleme gibi işlemleri içerir.
Veri güvenliği en iyi uygulamaları, veri ihlali riskini azaltmak ve yasal uyumluluğu sağlamak için hem şirket içinde hem de bulutta kullanılmalıdır. Bazı öneriler değişiklik gösterebilir ancak genellikle detaylı bir savunma yaklaşımı uygulamak için oluşturulmuş katmanlı bir veri güvenliği stratejisi gerekir. Farklı kontroller farklı tehdit vektörlerini azaltır. Belirli çözüm alanları arasında, veritabanı aktivitesini ve tehditleri değerlendirme, tespit etme ve izleme olanakları yer alır.
Veri, her organizasyon için en önemli varlıklardan biridir. Bu nedenle, verileri her türlü yetkisiz erişime karşı korumak kritik önem taşır. Veri ihlalleri, başarısız olan denetimler ve yasal gereksinimlere uyulmaması durumunda itibarımız zedelenebilir, marka öz sermayesinde kayıplar yaşanabilir, fikri mülkiyetin gizliliği bozulabilir ve uyumsuzluk nedeniyle cezalarla karşılaşılabilir. Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) uyarınca veri ihlalleri, bir organizasyonların küresel yıllık gelirinin %4'üne kadar para cezalarına neden olabilir. Bu durum, çoğu zaman ciddi mali kayıplara yol açabilir. Hassas veriler kişiyle ilişkilendirilebilir bilgileri, finans bilgilerini, sağlık bilgilerini ve fikri mülkiyeti içerir. Veri ihlallerini önlemeye ve uyumluluğu sağlamaya yardımcı olması için veriler korunmalıdır.
Veri maskeleme, veri alt kümesi oluşturma ve veri düzeltme, uygulamalarda yer alan hassas verilerin ifşasını azaltmaya yönelik tekniklerdir. Bu teknolojiler, AB GDPR gibi düzenlemelerle ilişkili anonimleştirme ve bulanıklaştırma gereksinimlerinin ele alınmasında önemli bir rol oynar. Avrupa Birliği GDPR; amaç sınırlaması, yasalara uyum, şeffaflık, dürüstlük ve gizlilik gibi köklü ve yaygın olarak kabul edilen gizlilik ilkelerini temel alır. Bildirim ve onay, teknik ve operasyonel güvenlik önlemleri ile sınır ötesi veri akışı mekanizmaları gereksinimleri dahil olmak üzere, mevcut gizlilik ve güvenlik gereksinimlerini güçlendirir. GDPR; yeni dijital, küresel ve veri temelli ekonomiye uyum sağlamak amacıyla sorumluluk ve veri azaltma gibi yeni gizlilik ilkelerini de şekillendirir.
Genel Veri Koruma Yönetmeliği (GDPR) uyarınca, veri ihlalleri bir şirketin yıllık küresel cirosunun yüzde dördüne veya 20 milyon Euro'ya kadar para cezalarına neden olabilir. AB'de veri toplayan ve işleyen şirketler, veri işleme uygulamalarını aşağıdaki gereksinimlere göre değerlendirmeli ve yönetmelidir:
Veritabanları, veri hırsızlarının birincil hedefini oluşturan hassas bilgileri yer aldığı değerli veri havuzlarıdır. Genellikle, veri korsanları iki gruba ayrılabilir: dışarıdaki ve içerideki kişiler. Dışarıdaki kişiler arasında, işletmede kesintiye yol açmak veya finansal kazanç elde etmek isteyen korsanlar ve siber suçlular ya da ulusal veya küresel ölçekte kesintiye neden olmak amacıyla sahtecilik yapmak isteyen suç örgütleri ve devlet destekli organizasyonları içerir. İçerideki kişiler ise mevcut veya eski çalışanlardan, meraklı kullanıcılardan ve veri çalmak için güvenilir konumlarından yararlanan ya da bir hata sonucu istenmeyen bir güvenlik olayına yol açan müşteriler veya iş ortaklarından oluşabilir. Hem dışarıdaki hem de içeriden kişiler, kişisel verilerin, finans verilerinin, ticari sırların ve düzenlemeye tabi verilerin güvenliği için risk oluşturur.
Siber suçlular, veritabanlarından veri çalmaya çalışırken çeşitli yaklaşımlar kullanır:
İyi yapılandırılmış bir veritabanı güvenlik stratejisinde, çeşitli tehdit vektörlerini azaltmaya yönelik kontroller bulunmalıdır. En iyi yaklaşım, uygun güvenlik düzeylerini uygulamak için kolayca devreye alınabilen yerleşik bir güvenlik kontrolleri çerçevesi kullanmaktadır. Veritabanlarının güvenliğini sağlamak için daha yaygın olarak kullanılan kontrollerden bazıları şunlardır:
Veri ihlali riskini azaltın ve şifreleme, anahtar yönetimi, veri maskeleme, ayrıcalıklı kullanıcı erişim kontrolleri, etkinlik izleme ile denetim için veri güvenliği en iyi uygulamalarıyla uyumu kolaylaştırın.