Veri Sınıflandırma

İşletmelerin hassas verilerini koruyabilmesi için korumak istediği veriyi tam olarak bilmesi gerekmektedir. Sınıflandırma ürünleri yapılandırılmamış verilerin sınıflandırılması ve görsel olarak etiketlenmesi ile kurumlara çok sayıda fayda sağlamaktadır.  Sızıntı önleme veri sınıflandırma ile başlar. Veri sınıflandırma güvenli veri paylaşımının temelidir. Kurumun sahip olduğu bilgiler hakkında farkındalık kazandırır.   Tutarlı bir veri sınıflandırması ile kurum kültürünün bilgiye olan bakışı gelişir. Bilgi güvenliğine dair farkındalık çalışanlar için süreklilik arz eder.   Kullanıcıların farkındalık ve sorumluluk anlayışı gelişir. Kullanıcılar yaptıkları gündelik işlerin bir parçası olarak kullandıkları sınıflandırma ürünü ile güvenlik politikalarına uygun etiketleme seçeneklerini kullanarak kurum veri güvenliği politikasının bir parçası olurlar.  Firmalar veri sınıflandırma ile KVKK, EU GDPR, ISO-27001, PCI, PII, ITIL vb. bilgi güvenliği düzenleme ve standartlarına uyumluluğu sağlar.  DLP ürünleri ile meta data üzerinden entegre çalışarak “false positive” oluşumunun önemli ölçüde azalması sağlanmaktadır. Böylece gereksiz iş yükünden kurtulunmaktadır.  Kurumun sahip olduğu durağan veriler (Rest Data) üzerinde taramalar yapılarak belirlenen kurumsal politikalar çerçevesinde bu verilerin etiketlenmesi mümkündür.   Kurum çalışanlarının doküman ve epostalar oluşturulurken içeriği hazırlayan kullanıcının, kişisel veri kanunu 4.1, 4.2.c ve 4.6 maddeleri kapsamında sınıflandırma uygulaması yapmaları gerekmektedir.  Yapılacak kişisel veri sınıflandırmasında: 

  • Kullanıcı tamamen bağımsız bırakılabilir,  
  • İçerik kontrolleriyle tespit edilecek kişisel veriye göre bir sınıf önerilebilir,  
  • Otomatik kişisel veri sınıflandırması uygulanabilir. 

 Kişisel Veri açısından uygulanacak sınıflandırma ve meta data kaydı:

  • İlgili içerikte kişisel verinin varlığını,  
  • İlgili içerikte kişisel verinin niteliğini,  
  • İlgili içerikte kişisel verinin kimin tarafından oluşturulduğunu ya da değiştirildiğini,  
  • İlgili içerikte kişisel verinin ne zaman oluşturulduğunun ve değiştirildiğinin meta data kaydını oluşturur.  

 İfade edilen meta data’yı bulunduran dosya, doküman ya da epostalar veri keşfi çözümleriyle taranıp tespit edilebilir. Gerektiğinde arşivleme, silme ya da yok etme işlemlerine tabi tutulabilir.  Kullanıcılar tarafından hazırlanan bir eposta içeriğinin gönderilmesi veya doküman içeriğinin kaydedilmesi aşamasında: 

  • Kullanıcıyı sınıflandırma ve etiketlemeye zorlayarak kullanıcı yardımıyla,
  • Hazırlanan içeriği kriterler çerçevesinde inceleyerek otomatik olarak, 
  • Hazırlanan içeriği kriterler çerçevesinde inceleyerek kullanıcıya öneride bulunmak yöntemiyle,
  • İçerik hakkında bir anket sunarak kullanıcı seçimlerinin yorumlanması yöntemiyle,
  • İçerikteki Kişisel Veriler tespit edilir ve ilgili etiketleme sağlanır. 

 Kişisel veri bulundurduğuna ilişkin olarak kullanıcı tarafından ya da otomatik olarak sınıflandırılan bir içeriğe, dokümanlar için “Kişisel Verileri Koruma Kanunu” açısından şifreleme, yetkilendirmeye dayalı şifreleme (AD RMS), buna ek olarak epostalar için sansürlemeyi kanunun 4.1, 6, 7, 8, 9, 12.b ve 12.c maddeleri kapsamında uygulayabilir. Belirtilen işlemlerin uygulanması için, S/MIME, AD RMS, Azure RMS, IONIC, Virtru, PGP gibi şifreleme ve yetkilendirme çözümleriyle entegrasyon desteklenmektedir. Böylece aşağıda ifade edilen kurallar uygulanıp aksiyon üretilebilmektedir:  

  • Bir eposta gönderilirken içerisinde kimlik numarası tespit edilmişse kimlik numarasını sansürle,  
  • Bir eposta gönderilirken Kişisel Veri bulunuyor şeklinde sınıflandırılmışsa, S/MIME şifreleme/Virtru şifreleme/PGP şifreleme/AD RMS şifreleme uygula,
  • Bir doküman kaydedilirken kişisel veri bulunuyor şeklinde sınıflandırılmışsa AD RMS ile şifreleme ve yetkilendirme uygula,
  • Dosya keşfi ile tarama işlemine tabi tutulduğunda içeriğinde kişisel veri kriterlerine uygun içerik tespit edilen dosya ve dokümanlara AD RMS ile şifreleme ve yetkilendirme uygula, 

 Sınıflandırma çözümleri DLP özelliklerine destek sağlamaktadır. Herhangi bir çözüme ait DLP fonksiyonu, sınıflandırma ürünü tarafından kişisel veri bulundurduğuna ilişkin etiketlenen bir içeriği meta data alanındaki “Kişisel Veri” etiketinden tespit edecek, kurum dışına çıkmasını ya da IK dışına çıkmasını engelleyebilecektir.  Sınıflandırma çözümleri Outlook üzerinde DLP fonksiyonları uygular ve eposta içeriğinde ya da eklerinde “Kişisel Veri” bulunduğunu tespit ederse ya da buna yönelik etiketleme uygulandığını görürse gerekli kısıtlamaları domain, AD grubu ya da kişi bazlı olarak uygulayabilir.   Dosya keşif aracı kullanımı ile kişisel veri kriterlerine yönelik içerik kütüphanesinin kullanımı kapsamında yapılan tarama ile aşağıdaki aksiyonlar sağlanır: 

  • Yapılandırılmamış verilerde Kişisel Veri açısından gerekli etiketleme mevcut değilse etiketlemenin yapılması, 
  • Taranan dosya ya da sharepoint sunucuya yönelik veri envanterinin kişisel veri açısından oluşturulması,
  • İçeriğinde kişisel veri bulunduran dosyaların farklı bir ortama otomatik taşınması, 
  • “İlgili Kişi” kendisine ilişkin kişisel verilerin, kanunun 7. Madde kapsamında silinmesini, yok edilmesini veya anonimleştirilmesini istediğinde kanunda belirtilen süre içerisinde yapılandırılmamış verilerde “İlgili Kişi”ye ait verileri tespit edip silinmesi,  
  •  “İlgili Kişi” kendisine ilişkin kişisel verilerin, kanunun 11.1.a ve 11.1.b maddeleri kapsamında kendisine ait verilerin nerelerde bulunduğunu öğrenmek isterse, belirtilen süre içerisinde kendisine bir envanter raporunun sağlanması.  

Eposta veya Dokümanda Kişisel Veri Etiketlemesinin Yapılması  Bir eposta gönderilmesi ya da bir dokümanın kaydedilmesi senaryosunda, kullanıcı kendisi “Kişisel Veri” sınıflandırmasını uygulayabilir ya da tespit edilen kişisel veriye göre kişisel veri sınıflandırması otomatik seçilebilir.   Eposta veya Dokümanda Kişisel Verinin Otomatik Tespit Edilmesi  Gönderilen bir eposta içeriği veya eklentisinde ya da doküman içeriğinde Kişisel Verinin tespit edilmesi ve kullanıcının uyarılarak doğru davranışa yönlendirilmesi için otomatik sınıflandırma zorlanabilir.   Office Formatları Dışındaki Dosyalarda Kişisel Veri Açısından Sınıflandırma  Windows sistem üzerindeki herhangi bir dosyanın “Kişisel Veri” sınıflandırılmasının yapılması senaryosunda, Sınıflandırma ürünleri içeriği kontrol ederek içerikteki kişisel veriyi tespit edebilir ve kullanıcının yanlış bir sınıf seçmesi halinde kullanıcıyı uyarır ve otomatik olarak doğru sınıflandırma uygulayabilir.   “Kişisel Veri” Etiketli Epostaların Forward Edilememesi   “Kişisel Veri” bulundurduğuna ilişkin etiketlenmiş epostaların çok fazla alıcıya ulaşıp gereksiz yayılmasını önlemeye yönelik Forward edilmesi engellenebilir.   Kişisel Veri Bulunan Dokümanların Yazdırılmasının Engellenmesi/Belirli Bir Yazıcıdan Yazdırılması  Gizli olarak ya da “Kişisel Veri İçerir” olarak sınıflandırılmış bir dokümanın sadece belirli bir printerdan yazdırılmasına için zorlanabilir. Örneğin; IK departmanına ait printer gibi veya yazdırma işleminin tamamen engellenebilir.   Veri sınıflandırması, belirli veri öğelerinin meta verileri dokümanlar, e-postalar vb. İçine enjekte ederek ne kadar hassas olduklarına dayanarak bilgileri kategorilere ayrılmasına olanak tanır. Bu bilgiler, kullanıcılara ele verdikleri verilerle ilgili hassasiyet derecesi konusunda kullanıcıları uyarmak için kullanılabilir.  İletmeler için basitçe söylemek gerekirse, hassas verilerinizi korumak için, korumak istediğiniz veriyi tam olarak bilmeniz gerekir. Veri sınıflandırması, belirli veri öğelerinin meta verileri dokümanlar, e-postalar vb. İçine enjekte ederek ne kadar hassas olduklarına dayanarak bilgileri kategorilere ayırmanıza olanak tanır. Bu bilgiler, kullanıcılara ele verdikleri verilerle ilgili hassasiyet derecesi konusunda kullanıcıları uyarmak için kullanılabilir. Bu, “Kırılgan!” Yazan bir kutuya etiket koymaya benzer. Dikkatli tutun!”.  Çoğu şirket için başlangıç ​​noktasının, gizlilik gereksinimleri doğrultusunda verileri sınıflandırmak olduğunu ve giderek gizli veriler için daha fazla güvenlik sağladığı belirtilmektedir.  Sınıflandırma, bir kuruluşun belirli bir zaman diliminde belirli bilgileri almak için yasal ve düzenleyici gereksinimleri karşılamasına yardımcı olabilir ve bu genellikle veri sınıflandırma teknolojisinin uygulanmasının ardındaki motivasyondur.  Bununla birlikte, her biri farklı türde ve hacimdeki veriler oluşturduğundan, veri stratejileri bir kuruluştan diğerine büyük ölçüde farklılık gösterir. Bakiye, bir kullanıcıdan diğerine ofis belgeleri, e-posta yazışmaları, resimler, video dosyaları, müşteri ve ürün bilgileri, finansal veriler vb. Arasında büyük farklılıklar gösterebilir.  Etkin bir meta veri stratejisi kullanarak verileri doğru şekilde etiketlemek çok önemlidir. Sentra, veri sınıflandırma çözümleri için Titus ve Klassify ile çalışmaktadır. Alanının lider firmaları olan çözümler hakkında bilgi almak için Sentra satış ekibi ile temasa geçebilir ya da info@sentra.com.tr adresine eposta atabilirsiniz.