Veri sınıflandırma, kurumların çeşitli bilgi varlıklarını belgelerin içeriklerine ve bu belgelere erişmesi gereken kitlelere göre kategorize ettiği bir veri yönetimi sürecidir [1]. Bu kurumlar, bu süreci kolaylaştırmak için güvenlik politikaları uygulayabilir.

Bilgi yönetimi yaşam çevriminin önemli bir parçası olan veri sınıflandırma, kurumların bilgi erişimi ve paylaşımını hızla ve güvenle yapmasını sağlar. Doğru kategorizasyon, ayrıca uyumu artırır ve kurumların GDPR, HIPAA, FERPA ve diğer veri koruma düzenlemelerine uymasına yardımcı olur.

Veri sınıflandırma önemlidir çünkü kurumların verilerini daha etkin ve doğru şekilde yönetmesini sağlar. Bu tür kurumlar, farklı kanallara (ağ veya bulut uygulamaları) veya konumlara (ağ sunucuları, klasörler ve sabit sürücüler) dağılmış bilgi varlıklarına sahip olabilir ve bu da bilgi görünürlüğünü ve erişimi zorlaştırabilir. Veri sınıflandırma, kurumların hassas verilerin nerede bulunduğunu kolaylıkla belirlemesine yardımcı olur, bu kritik verilerin doğru etiketlenmesini kolaylaştırır ve bilgi erişimi ve/veya paylaşımı için koruma sağlar.

Verilerini sınıflandıran kurumlar, aynı zamanda hassas ve değerli bilgileri daha iyi yönetebildikleri için güvenliği de iyileştirmiş olur [2]. Dolayısıyla; veri sınıflandırma, veri ihlali veya diğer siber saldırıların gerçekleşme ihtimalini azaltabilir.

Kurumlar, verileri sınıflandırmak için çeşitli yöntemler kullanabilir. Bu yöntemler, kimlik erişim yönetimi, veri şifreleme, adli veri soruşturma ve otomasyonu içerir [2].

Kimlik erişim yönetimi (IAM)

Kurumlar, izin haklarına sahip olmayanların verilere erişimini sınırlayabilir. Örneğin, çalışanlar bilgi varlıklarına yalnızca bir şifreyle erişebilir.

Veri şifreleme

Kurumlar, üçüncü tarafların bu verilere erişimini engellemek için hassas bilgi varlıklarını şifreleyebilir.

Otomasyon araçları

Otomasyon, bir veri sınıflandırma çözümüyle birleştirildiğinde veri etiketlerinin tanımlanmasına, tespit edilmesine ve uygulanmasına imkan sağlayan bir veri kaybı önleme (DLP) çözümündeki politikalar devreye alınarak sağlanır. Forcepoint DLP ile sunulan bu çözüm, veri sınıflandırmayı kolaylaştırmak, kullanıcı hatalarını azaltmak ve genel güvenlik farkındalığını artırmak için kullanıcılar tarafından başlatılan sınıflandırmayla otomasyonun dengelenmesini sağlayabilir.

Genelde, kurumlarda veri sınıflandırmadan sorumlu kişi Bilgi Teknolojilerinden Sorumlu Başkan (CIO) veya Bilgi Teknolojilerinden ve Güvenlikten Sorumlu Başkandır (CISO). CIO veya CISO, yönetim, İK, satış veya finans gibi farklı departmanlarla birlikte hareket ederek, bilgi varlıklarının güvenli, erişilebilir ve yerel ve federal kanun ve düzenlemelere uygun olmasını sağlayacaktır. Bir veri sınıflandırma lideri olabilse de kurumlar tüm organizasyondaki kilit paydaşları bu sürece dahil etmelidir [4]. Böylece, veri sınıflandırma süreçlerini daha efektif bir şekilde benimseyebilirler.

Veri sınıflandırma, başlangıçta bir maliyet getirebilse de kurumlara yatırım getirisi de sağlayabilir. Örneğin, bilgi sorumluları, güvenliği, erişilebilirliği ve uyumu artırmak için verileri sabit sürücülerden buluta taşımak zorunda kalabilir. Ancak, iyi veri sınıflandırma araçları, kurumları maliyetli uyumsuzluk cezalarından koruyabilir.

Sağlık sektöründe, federal hükumet tekrarlı ihlallerde bir yıl içerisinde 1,5 milyon $’ı geçmemek kaydıyla kurumlara veri koruma ihlalleri için 100 ila 50.000 $ para cezası uygulayabilir.

Kullanıcıların verileri kullanımının ve verinin hassasiyetinin zaman içinde değişmesinden dolayı, veri sınıflandırmanın ince ayar ve süreç değişiklikleri gerektiren sürekli bir süreç olduğunu unutmayın.

Kurumlar, daha efektif veri sınıflandırma için aşağıdaki adımları atmalıdır:

• Kritik IP’lerin veya düzenlemeye tabi verilerin nerede bulunduğunu belirlemek; ör. sabit sunucular, veri tabanları, ağ dosyaları, klasörler, bulut uygulamaları, vb.
• Veri kategorilerini tanımlamak - Karmaşık veya aşırı kapsamlı sınıflandırma şemalarından kaçınarak süreci basit tutun [4]
• En değerli verileri tespit edin ve bu hassas bilgileri korumak için veri sınıflandırma ve etiketleme otomasyon araçları gibi teknolojilerden faydalanın.
• Mevcut ve yeni çalışanları hassas verilerin nasıl işlenmesi gerektiği konusunda eğitin ve sürekli güvenlik farkındalığı için gereken araç ve kaynakları sağlayın.
• Yerel, eyalet ve federal veri koruma yasa ve düzenlemelerine uyun ve uymamanın getirdiği cezaları anlayın.
• Kullanıcıların kurum içerisindeki kritik IP veya düzenlemeye tabi veriler için katkı sağlayabilecek ve sorumluluk alabilecek şekilde güçlendirildiği bir veri sınıflandırma stratejisi oluşturun.

Kaynaklar:

[1] https://doit.missouri.edu/services/it-pro-services/register-it/data-classification/

[2] www.cbronline.com/what-is/data-classification-explained/

[3] www.truevault.com/resources/compliance/how-much-do-hipaa-violations-cost

[4] www.forrester.com/report/Rethinking+Data+Discovery+And+Classification+Strategies/-/E-RES85842