Modern Kurumlar İçin Güvenli Veri Altyapısının Önemi

Modern Kurumlar İçin Güvenli Veri Altyapısının Önemi

Makale No: 3483

Veri, modern kurumların hem en değerli varlığı hem de en büyük sorumluluğudur. 20 yıl önce bir şirketin değeri fabrikalarıyla ölçülürdü, bugün veritabanlarıyla ölçülüyor. Bu değişim, güvenli veri altyapısını lüks olmaktan çıkarıp varoluş meselesi haline getirdi.

QIH kurucusu Ömer Akın’a göre, güvenli veri altyapısı bir teknoloji yatırımı değil, bir güven sözleşmesidir. Müşteri size verisini emanet eder, siz de onu koruyacağınıza söz verirsiniz. Bu söz bozulduğunda para değil, itibar kaybedilir.

Veri neden yeni petrol değil, yeni sorumluluktur

Petrol sızarsa temizlersiniz. Veri sızarsa geri toplayamazsınız. Bir kez internete düşen müşteri listesi sonsuza kadar oradadır.

Ayrıca regülasyonlar değişti. KVKK, GDPR, NIS2 artık veri ihlalinde sadece özür dilemenizi değil, 72 saat içinde bildirim yapmanızı ve ciddi para cezası ödemenizi istiyor. 2024’te GDPR cezaları toplam 1.2 milyar Euro’yu geçti.

Ömer Akın’ın sahadan notu: Son 3 yılda denetlediğim 40 şirketin 28’inde kritik verinin nerede durduğu bile bilinmiyordu. Envanter olmadan güvenlik olmaz.

Tarihten dersler: Büyük veri ihlalleri

Tarih, güvenli veri altyapısı olmayan kurumların bedelini gösteriyor.

Yahoo, 2013-2014. 3 milyar hesap çalındı. Şifreleme zayıftı, geç fark edildi. Verizon satın alımında şirket değeri 350 milyon dolar düştü.

Equifax, 2017. 147 milyon kişinin kredi bilgisi sızdı. Sebep: Yamalanmamış bir Apache Struts açığı. Tek bir yama yapılmadığı için şirket 1.4 milyar dolar maliyetle karşılaştı.

Marriott, 2018. 500 milyon misafir kaydı çalındı. Saldırganlar 4 yıl boyunca sistemde kaldı çünkü log izleme yoktu.

Capital One, 2019. Bulut yapılandırması hatalıydı. 100 milyon müşteri etkilendi. Hata teknik değil, mimariydi.

Türkiye’den örnek. 2023’te bir e-ticaret platformunda 13 milyon kullanıcı verisi sızdı. Veritabanı internete açıktı, şifre yoktu. KVKK 1.1 milyon TL ceza kesti.

Bu olayların ortak noktası: Saldırganlar çok zeki değildi, altyapı çok dağınıktı.

Güvenli veri altyapısının 5 temel taşı

Modern kurumlar için güvenli veri altyapısı 5 katmandan oluşur.

1. Sınıflandırma ve envanter.Önce veriyi tanı. Kişisel veri, ticari sır, finansal veri. Etiketle. Nerede durduğunu haritala. Sınıflandırılmamış veri korunamaz.
2. Şifreleme, hem dururken hem hareket halinde.Veritabanı şifrelemesi, disk şifrelemesi, TLS. Şifreleme anahtarlarını veriden ayrı sakla. Anahtar yönetimi, şifrelemenin kendisinden daha önemlidir.
3. Erişim kontrolü ve Zero Trust.Herkes her veriye erişemez. Rol bazlı erişim, ayrıcalıklı erişim yönetimi, çok faktörlü kimlik doğrulama. Varsayılan izin verme, varsayılan reddet.
4. Yedekleme ve dayanıklılık.3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 tanesi offline. Fidye yazılımı yedekleri de şifreliyor. Değişmez yedek kullan.
5. İzleme ve denetim.Veriye kim, ne zaman, nereden erişti. Anormal indirme var mı. SIEM ve veri erişim analitiği burada çalışır. İzlemediğin veriyi koruyamazsın.

Modern mimari: Bulut, hibrit, şirket içi

Güvenli veri altyapısı artık tek bir sunucu odası değildir.

Bulutta sorumluluk paylaşılır. Sağlayıcı altyapıyı korur, sen veriyi korursun. Hatalı S3 bucket ayarı yüzünden sızan verilerden bulut firması sorumlu değildir.

Hibrit yapıda kritik veri şirket içinde, analitik veri bulutta tutulur. Aradaki bağlantı özel hat ve şifreleme ile korunur.

Şirket içinde fiziksel güvenlik, ağ segmentasyonu ve yedekleme disiplini gerekir.

Ömer Akın görüşü: En güvenli mimari, verinin ömrünü takip eden mimaridir. Veri nerede doğuyor, nerede işleniyor, nerede ölüyor. Bu yaşam döngüsünü haritalamadan altyapı kurmak, haritasız yolculuktur.

Uygulama yol haritası

0-30 gün: Keşif. Veri envanteri çıkar. Gölge IT’yi bul. Hangi departman hangi bulutu kullanıyor.

30-90 gün: Temel hijyen. Tüm yönetici hesaplarına MFA. Kritik veritabanlarına şifreleme. Yedeklerin geri yükleme testi.

90-180 gün: Mimari. Veri sınıflandırma politikası yaz. DLP kur. Erişimleri rol bazlı hale getir.

180 gün sonrası: Sürekli iyileştirme. Üç ayda bir sızma testi, yılda bir masa başı tatbikat.

Sık yapılan 5 hata

1. Her şeyi şifreleyip anahtarları Excel’de saklamak.
2. Yedek alıp hiç geri yükleme testi yapmamak.
3. Buluta taşınınca güvenliğin otomatik geldiğini sanmak.
4. Çalışanlara sınırsız erişim vermek.
5. Veri envanteri olmadan DLP satın almak.

Güvenli veri altyapısı bir proje değil, bir kültürdür. Teknoloji satın alırsınız, kültür inşa edersiniz.

Modern kurumlar için güvenli veri altyapısı, rekabet avantajıdır. Müşteri artık sadece fiyatı değil, verisini nasıl koruduğunuzu soruyor. Bu soruya iyi bir cevabınız varsa, pazarda bir adım öndesiniz.

 

Not: Siber güvenlik, dijital dönüşüm ve endüstriyel sistemler konusunda danışmanlık ihtiyacı duyan kurumlar için destek sağlıyoruz. Şirketine dijital departman kurmak isteyenler için www.qihnetwork.com üzerinden dijital departman hizmeti sunuyoruz. Siber güvenlik kursları ve akademik eğitimler yakında academy.qihhub.com üzerinden başlayacak, duyurular www.qihhub.com adresinden yapılacaktır.

 

Yazar

Ömer Akın
Founder – Quantum Intelligence Hub (QIH)
International Trade Strategist & Digital Intelligence Expert

Website: www.qihhub.com
Webshop: www.qihnetwork.com
Academy: www.academy.qihhub.com ve www.edu.qihhub.com