Verinin dijitalleşmesiyle birlikte işlenmesi kolaylaşırken, güvenliğini ve bütünlüğünü korumak bir hayli zorlaştı. En basit üyeliklerde bile kişisel verilerin işlendiği, özel şirketlerde ve kamu birimlerinde çok daha kapsamlı kişisel verilerin saklandığı bilinirken, bu verilerin gizliliğinin son derece önemli olduğu kaçınılmaz bir gerçek olarak karşımıza çıkıyor.

       Ülkeler vatandaşlarının kişisel verilerini korumak üzere çeşitli regülasyonlar belirleyerek şirketlerin veya kamu birimlerinin oluşturulan kanunlara uymalarını zorunlu kıldı. Amerika Birleşik Devletleri’nde CCPA ve eyalet bazında farklı yasalar bulunurken, Avrupa Birliği ülkelerinde GDPR uygulanıyor. Türkiye’de ise 2016 yılında yürürlüğe giren KVKK mevzuatı, 6698 sayılı Kişisel Verileri Koruma Kanunu olarak biliniyor ve uygulanıyor.

       Gerçek kişinin belirlenmesini sağlayan her türlü bilgi Kişisel Veri olarak ifade edilmektedir. Sadece kişinin adı, soyadı, doğum bilgileri gibi kesin sonuçlar oluşturan veriler değil, aynı zamanda kişinin çalışma, ideoloji, sosyal, sağlık, üyelik bilgileri de kişisel verilerdir. Mevcut bilgilerin herhangi bir şekilde gerçek kişiyle ilişkilendirilmesi sonucu, kişinin tanımlanabilir hale gelmesi o bilginin Kişisel Veri olduğunu ifade eder. Örneğin, herhangi bir kritere bağlı olmaksınız kişilerin ad ve soyadlarının rastgele bir şekilde tutulması kişisel veri değilken, herhangi bir amaç için sistematik bir şekilde kayıt altına alınması, bu bilgiyi kişisel veriye dönüştürüyor. KVKK kişisel veriyi iki ayrı nitelikte ele almaktadır.

       KVKK’nın yürürlüğe girdiği yıllarda şirketler ve kurumlar veri kaybı önleme, veri sınıflandırma, veri şifreleme ve veri maskeleme çözümleri üzerine yoğunlaştı, bu alanda çokça proje gerçekleştirdi. KVK Kurumu tarafından yapılan denetlemelerde, hazırlıklarını tamamlamayan şirketlere ciddi para cezaları verildi. Bu denetlemeler günümüzde eski sıklığını yitirmiş olsa da kişisel verilerin, şirket bilgilerinin ve fikri mülkiyetlerin gizliliğinin korunması önemini sürdürüyor.

       Şirketler ve kurumlar KVKK uyumluluğunu karşılamak üzere Data Loss Prevention çözümü kullanmak zorunluluk halini aldı. Bu aşamada kişisel veri envanterinin eksiksiz belirlenmesi, kapsayıcı kuralların oluşturulması, oluşan olayların incelenerek neticelendirilmesi bu sürecin başlıca unsurları arasında. DLP ile kişisel veriler güvenceye alınırken şirket veya kurum için kritik olabilecek doküman, tasarım, yazılım, proje vb. verilerin de kontrol altına alınması sağlanabilir.

       KVKK’ya tam uyumluluk farklı çözümlerin bir araya gelmesiyle sağlanabilir. Trend Micro Apex One iDLP, KVKK mevzuatındaki sac ayaklarından biri olan DLP gereksinimini karşılar, şirketin veya kurumun özel verilerinin kontrol altına alınmasına olanak tanır. Modül yapısına sahip olan Ape One iDLP, kabiliyetleri kısıtlı olmasına rağmen kapsamı oldukça geniştir. Güvenlik çözümü üzerinde entegre bir şekilde ücretsiz olarak sunulan iDLP modülü, farklı DLP çözümlerinde yer alan bazı özellikleri içermeyebilir. Buna rağmen KVKK, GDPR süreçlerinde uyumluluk gereksinimlerini karşılar.

       DLP kurallarını oluştururken, ilgili birimler tarafından kişisel verilerin belirlenmesi ilk adım olarak sayılabilir. Belirlenen kişisel verilerin içeriğine göre Regular Expression, File Attributes veya Keyword Lists oluşturulmalıdır. Araç plakası, telefon numarası gibi belirli kalıplar dahilinde ise Regular Expression oluşturularak eşleşen verilerin tespiti sağlanır. Din, ırk, sendika üyeliği gibi belirli kelimelerin olduğu durumlarda Keyword Lists yardımıyla tespit gerçekleştirilir. Ayrıca dosya türü veya uzantılar File Attributes oluşturularak kontrol altına alınabilir.

Düzenli İfadeler anlamı taşıyan, belirli kalıp veya düzen içerisinde olan ifadeleri tespit etmek için kullanılan sorgu türüdür. DLP yapılandırmalarında veya yazılım süreçlerinde sıkça kullanılır. E-posta hesabı, IBAN numarası, araç plakası belirli düzen içerisinde olan örneklerdir.

Verilerin saklandığı dosyaları türlerinin kontrol altına alınmasını sağlayan özelliktir. Veritabanı, yedekleme dosyaları veya fikri mülkiyet özniteliği taşıyan dosyaların sızıntıya maruz kalmasını engeller. Tanımlı dosya türleri uzantısı değiştirilmiş olsa bile “Başlık” bilgilerinden dosyanın gerçek türü belirlenir.

Belirlenen kelime veya tanımların her türlü dosya ve veri içerisinde taranmasını sağlar. Oluşturulan liste içerisindeki herhangi bir kelimenin veya tüm kelimelerin geçtiği durumu kapsayan koşul oluşturulabilir, kelimelere puan atanarak belirlenen puan eşiğine ulaşıldığı anda kuralın tetiklenmesi sağlanabilir.

Kişisel veri envanteri ve fikri mülkiyet özniteliği taşıyan içerikler tanımlandıktan sonra bir veya birden fazla Regex, File Attributes, Keyword Lists kullanılarak Template oluşturulur. Template içerisine eklenen Regex’lerin kapsadığı düzenli ifadeler, belirlenen tekrara ulaştığında kuralın uygulanması sağlanabilir. Template içeriği belirlenirken herhangi bir tanımın hariç tutulması koşullandırabilir. Farklı kombinasyonlar uygulanarak belirlenen ifadelerin istenilen sayıda bulunması halinde aksiyon uygulatılabilir.

Hazırlanan Template’lerin bilgisayarlara atanması için politika ve kural oluşturulmalıdır. Kural içerisinde yer alan Template’ler, seçilen çıkış kanallarında kontrol edilerek tespiti halinde ilgili aksiyonun uygulanması sağlanır. Politikada birden fazla kural oluşturulabilir, farklı çıkış kanalları ve aksiyon planı seçilebilir.

İlk aşamada kural içerisinde olması istenilen Template’ler seçilir.

Seçilen Template’lerin hangi kanallarda veya uygulamalarda kontrol edileceği belirlenir.

Belirlenen kurallarla örtüşen işlemler için aksiyon planı uygulanır. Aksiyonlar arasında Pass, Record Data veya Block seçenekleri yer alır. Ayrıca kullanıcıda bildirim oluşması sağlanabilir veya gerekçeli işlem seçeneği sunulabilir.

DLP kuralları için kullanılan veya yeni oluşturulan Template’lerde yer alan içeriklerin hangi bilgisayarlarda bulunduğunu belirlemeye yarar. Keşif taramaları zamanlanarak ortaya çıkan sonucun monitör edilmesine olanak tanır.

Tüm bu süreçler uygulanırken mevcut işleyişin etkilenmemesi son derece önemlidir. Apex One iDLP işletim sistemleriyle uyum içinde çalışır. Kaynak tüketimi oldukça düşük seviyededir. Esnek yapısı False Positive-True Positive alarmların giderilmesini mümkün kılar.

Özellikle halihazırda Apex One kullanılan ortamlarda, DLP yatırım maliyetlerini ortadan kaldırmak adına, entegre olarak ücretsiz kullanıma sunulan iDLP modülünün kullanılması aynı zamanda yönetim kolaylığı getirecektir. Farklı uç nokta güvenlik çözümü kullanılan ortamlarda ise Apex One PoC yapılarak ürünün değerlendirilmesi ve maliyetlerin karşılaştırılması seçim yapmayı kolaylaştıracaktır.