Personelden geri alınan cihazlarda veri temizliği nasıl yapılır? Güvenli silme yöntemleri, KVKK uyumu ve kurumsal veri imha süreçlerini detaylı öğrenin.
İşten ayrıldığında personelin teslim ettiği laptop, telefon veya harici disklerin temizliği yapılmalıdır. Çünkü bu cihazların içinde müşteri bilgilerinden şirket içi yazışmalara, erişim anahtarlarından finansal verilere kadar birçok bilgi bulunmaktadır.
Personelden geri alınan cihazlarda yapılan en küçük ihmal bile, ciddi güvenlik açıklarına yol açmaktadır. Personelden geri alınan cihazların veri temizliği teknik bir işlem olmakla birlikte, kurumsal güvenlik için kesinlikle gerekli olmaktadır. Personelden geri alınan cihazların veri temizliği hakkında hem teknik hem de operasyonel açıdan bilgi sahibi olmak için yazımızı okumaya devam edebilirsiniz.
İşten ayrılan personelin teslim ettiği cihazı sıfırlamak çoğunlukla yeterli değildir. Cihazlarda yapılan klasik silme işlemleri veriyi tamamen ortadan kaldırmadığı gibi, yalnızca erişimi zorlaştırmaktadır. Bu durum veriyi yok etmediğinden, veri kurtarma araçları ile bilgiler tekrardan elde edilebilmektedir. Veri temizliği yapılmadığı takdirde oluşan riskler ise aşağıdaki gibidir.
Müşteri bilgilerinin sızması,
Kurumsal e-posta ve hesap erişimlerinin ele geçmesi,
Şirket içi belgelere üçüncü tarafların ulaşması,
KVKK kapsamında önemli yaptırımlar,
Cihazlardaki veri temizliği sürecinin başarılı olması için süreç belirli prosedürle gerçekleştirilmelidir.
Her cihazın aynı şekilde temizlenmesi söz konusu olmazken, cihazların türüne göre yöntemler uygulanmalıdır.
Bilgisayarlarda ve laptoplarda veri güvenliği açısından uygulanan disk overwrite işlemi, en etkili veri silme yöntemlerindendir. Disk üzerine yazma yani disk overwrite işlemi ile disk içeriği rastgele verilerle doldurulmaktadır. Kullanılan yöntemler ise;
Tek geçişli silme,
Çoklu geçişli silme,
DoD 5220.22-M standardı,
Bilgisayar ve laptop veri temizliği için bunların yanı sıra, disk tamamen formatlanmalı, işletim sistemi tekrardan kurulmalı ve BIOS/UEFI ayarları kontrol edilmelidir.
E-posta ve uygulama erişimlerinden dolayı mobil cihazlar yani telefonlar çok daha kritiktir. Mobil cihazlarda veri temizliği için remote wipe yani uzaktan silme de tercih edilmektedir. Telefonlarda veri temizliği için yapılması gerekenler ise;
Fabrika ayarlarına dönüş,
Google ve iCloud gibi tüm hesapların kaldırılması,
SIM ve SD kartların çıkarılması,
MDM var ise telefondan kaldırılması,
Personelden tekrardan geri alınan harici disk ve USB bellekler çok riskli olan cihazlardan olup, kesinlikle gözden kaçırılmamalıdır. Harici disk ve USB bellekler de kullanılacak olan temizleme yöntemleri ise aşağıdaki gibidir.
Güvenli silme yazılımlarıyla veri overwrite
Yüksek hassasiyetli veriler için fiziksel imha
Veri silme yöntemleri değişkenlik göstermekte olup, güvenlik seviyeleri yöntemlerin farklılaşmasında etkili olmaktadır.
Yazılımsal veri silme yöntemi yaygın şekilde kullanılmakta olup, çok avantajlıdır. Özel yazılımlarla geri getirilemeyecek şekilde veriler tamamen silinmektedir. Uygulanması çok kolay olan yazılımsal veri silmenin maliyeti ekonomik olup, kurumsal log tutulabilmektedir.
İleri seviye güvenlik gerektiren durumlarda ise donanımsal veri imha tercih edilmektedir. Finans, sağlık ve savunma sektörleri donanımsal veri imha yöntemlerinin kullanıldığı alanlardandır. Donanımsal veri imha yöntemleri ise disk kırma, fiziksel parçalama ve manyetik yok etmedir.
Veri temizliğinde teknik işlem ve süreç yönetimi fazlası ile önemlidir. Plansız şekilde gerçekleştirilen veri temizliği süreçleri genellikle eksik kalmaktadır. İç denetimlerde hem de olası hukuki durumlarda şirketi korumak için veri temizliğinde birtakım hususlara dikkat edilmelidir. Veri temizliğinde sağlıklı bir süreç için aşağıdaki adımlar eksiksiz şekilde gerçekleştirilmelidir.
Cihaz teslim tutanağı oluşturulmalıdır,
Veri yedekleme gerekli ise alınmalıdır,
Kullanıcı erişimleri kapatılmalıdır,
Standartlara uyacak şekilde veri silme yapılmalıdır,
Veri silme işlemi raporlanmalıdır,
Cihaz tekrardan kullanıma hazır duruma getirilmelidir,
Ülkemizde veri güvenliği konusu direk Kişisel Verileri Koruma Kurumu tarafından düzenlenmektedir. KVKK ve yasal yükümlülükler kapsamında, şirketler kişisel verileri korumakla yükümlü olmaktadır. Veri silme işlemlerinin doğru yapılmaması idari para cezası, hukuki yaptırımlar veya marka itibarının zarar görmesi gibi olumsuz sonuçlara neden olmaktadır. Bundan dolayı veri temizliği süreci, yalnızca IT ekiplerine bırakılmamalı, aynı zamanda hukuki bir sorumluluk olarak değerlendirilmelidir.
Personelden geri alınan cihazların veri temizliği yapılırken genelde basit ancak kritik hatalar yapılmaktadır. Veri temizliğinde en sık yapılan hatalar;
Format atmanın yeterli olduğunun düşünülmesi,
Kullanıcı hesaplarının kapatılmaması,
Harici disklerin göz ardı edilmesi,
Veri silme işleminin kayıt altına alınmaması,
Yukarıda belirtmiş olduğumuz hatalar çoğunlukla fark edilmez, fakat sorun yaşandığımda geri dönüşü zor olmaktadır. Personelden geri alınan cihazların veri temizliği, çok basit gibi görünse de basit olmayıp, çok katmanlı güvenlik sürecidir. Cihazlardaki veri temizliği doğru yöntemlerle yapılmadığı takdirde, yıllarca oluşturulan veri birikimi kolaylıkla dışarı sızabilmektedir.
Kurumsal yapılar için personelden geri alınan cihazların veri temizliğindeki kritik olan şey, silmek olmayıp hem geri getirilemeyecek şekilde ortadan kaldırmak hem de bunu kanıtlayabilmektir.
