Chakra Mağazacılık Bilgi Teknolojileri Müdürü Ahmet Velioğlu: “VERİNİN SINIFLANDIRILMASI GEREKİYOR”

“İki farklı statüde verimiz mevcut. Birincisi kendi öz verimiz, yani Şirket içerisinde üretilen, ürünlerin fotoğraf içeriğinden tutun da herhangi bir satışın raporlamasına kadar olan veri diyebiliriz. İkincisi en kritik veri bizim için, yani KVKK Kurallarına tabi olan müşteri verileri. Bu verilerin maskelenmesi, saklanması, paylaşımının belli bir güvenlik seviyesinde yapılması durumu bu. Mağazacılığın iki satış kanalı mevcut, birincisi fiziksel mağaza satışı, diğeride e-ticaret satış kanaldır. Birçok şirkette olduğu gibi e-ticaretin tamamını kendi altyapılarınızda tutamıyorsunuz, evet bir e-ticaret ekibiniz var, ama içeriğin tamamını dışarda mevcut olan hazır e-ticaret kanallarında barındırıyoruz. Bu kanallardan veri almanız ve vermeniz, müşterinizin bütün verilerini o kanallardan doğru ve güvenli şekilde iletilmesini beklemeniz gerekiyor. Uygulama tanıtım dökümanı na baktığımda en çok dikkatimi çeken veri maskeleme bölümüydü. İstenen bilginin doğru bir şekilde alınması, işlenmesi, iş bittikten sonra aynı güvenlikle yerine tekrar konması önemli. Firmalar onprem’de yatırım yapmak yerine bulutta büyüyor, Data center’da büyüyelim, verimiz orada olsun, bu veri güvenliğinin sağlanması gerekliliğinin bir diğer kısmı. Hem e-ticarette açık ortamdasınız hem de bulutta veriniz var. Verinizi kendi altyapınızda ne kadar korursanız koruyun, aynı verinizi sizin koruyabildiğiniz kadar hizmet aldığınız destek firmalarının da verinizi sizin için koruması gerekiyor. Bu da IT ekipleri için iş yükünü artırıyor. Firma olarak dışarıdan SOC (Security Operatin Center) hizmeti alıyoruz. Tüm kanallardan içeri gelebilecek erişim isteklerini kontrol ediyoruz. Özellikle erişim güvenli olmayan kaynaklardan geliyor ve illegal bir erişim ihtimali var ise erişim isteği yapan bu IP’lerin engellenmesi, erişim yapılmak istenen portların kapatılması, ilgili coğrafik ortamdan gelen isteklerin engellemelerinin yapılması gibi adımlarımız var. DLP ile içerdeki sınıflandırılmış veriyi korumaya çalışıyoruz. Bu konuda hepimizin tanıdığı üreticilerden birisi ile çalışıyoruz. O veriyi DLP ile koruyorsunuz ama veri sınıflandırılması için ayrı bir ürün kullanmanız gerekiyor. Bulutta konumlandırılmış bir e-ticaret ortamınız var ise veriyi güvenli şekilde iletebilmeniz gerekmektedir, bunun içinde verilerinizin kritiklik seviyesine göre sınıflandırılması gerekiyor. Sistem içerisindeki dosyaların paylaşımlarını mevcut güvenlik uygulamalarımız ile engelliyoruz. Departmanlardan bazı kritik verilerin şirket dışına gönderimini yapamadığı bilgisi geldiğinde veri güvenliği noktasında doğru işi yapıyoruz diye düşünüyoruz. Daha yolumuz var ve bu tarafta güvenlik için uygulamalara ihtiyacımız var. Çok fazla dış desteğimiz mevcut bu destek ekibinin hangi adımı attığı, hangi data base ile ne yaptığını bilmiyoruz. Bunu da bilmek istiyoruz. Güvenlik projesinde adımlarımızı oluşturduk ve DLP (Data Lost Prevention) sistemini devreye alma aşamasındayız. EDR ile datamızı kullanıcılarımızın bilgisayarlarını korumaya amaçlıyoruz. Bununla birlikte DLP ile veri güvenliğini üst seviyelere taşırken, sonrasında veri maskeleme ile daha güvenli bir veri seviyesine ulaşmayı amaçlıyoruz.”