Bir satış müdürü, bir rakibe katılmak için bir şirketten ayrılır. Adres defterini yanına almasını bekleyebiliriz, ancak şirketin ticari verileriyle birlikte ayrıldığını da düşünebilir miyiz? Ne yazık ki, oluyor ve çoğu zaman zaten çok geç olduğunda bunu fark ediyoruz.
Çoğu şirket, iş verilerini bulutta tutar ve bunu bir süredir yapmaktadır. Birçok yönetici, verilerin güvenliğini sağlamanın en iyi yolunun bu olduğunu varsayıyor. Ancak bu tehlikeli bir varsayımdır. Bulut hizmeti sağlayıcıları, uygulamalarının sunduğu her şeyden (ör. veri merkezleri) sorumludur; ancak buradaki verileri korumak herhangi bir liderin sorumluluğundadır.
Araştırma ekiplerimiz, ortalama olarak her çalışanın yaklaşık 11 milyon kayda erişimi olduğunu göstermiştir. Buna, örneğin Salesforce’a erişim alan bir grup alt yükleniciye verilen erişimle ilgili bir senaryoyu ekleyelim. Aylar sonra, projeleri tamamlandıktan sonra, eski müteahhitler çoğunlukla hâlâ oturum açabiliyor ve şirket kayıtlarına erişebiliyor. Bu senaryo defalarca görüldü.
Bu nedenle, bir CRM’de yer alan verilerin koruma derecesi hakkında düşünmek önemlidir. Ticari veriler yalnızca korunması gereken kişisel ve yasal düzenlemelere tabi bilgileri (isimler, adresler, telefon numaraları ve e-posta adresleri) içermekle kalmaz, aynı zamanda şirketin işiyle ilgili bilgileri de içerir – örneğin mali konular. Kaybolurlarsa, tüm iş mahkumdur. Özellikle şirketler CRM sistemlerini sözleşmelerin, tekliflerin, müşteri vakalarının, ödemelerin ve diğer hassas bilgilerin yönetimini içeren her türlü kritik iş akışı için kullandıklarından, daha önemli bir veri seti hayal etmek zor.
Bu yüzden kimse siber suçlular müşterilerin kişisel verilerini çalıp sızdırırsa ne olacağını düşünmek istemiyor. Ancak bu olasılığı göz önünde bulundurmak ve olmaması için her şeyi yapmak her liderin sorumluluğundadır. İşi tehlikeye atmanın yanı sıra, şirketin itibarı da zedelenebilir ve patron mahremiyeti ihlal ettiği için para cezasına çarptırılabilir.
CRM veri korumasını bir bütün olarak düşünmek kolay değil. Birçok bulut uygulaması o kadar karmaşık hale geldi ki, bunları anlamak yüksek düzeyde uzmanlık gerektiriyor ve müşteri ilişkileri yönetimi (CRM) uygulamaları en karmaşık olanlar arasında.
Temel iş verilerini korumak neden zor?
Bulut uygulamaları, veri korumasıyla ilgili soruları yanıtlamayı kolaylaştırmaz. “Hassas verilerimize kimler erişebilir?” gibi sorular sormaya başladığımızda her biri farklı bir yanıt getiriyor. Eski çalışanımız ayrılmadan önce neye erişti? Örneğimiz doğru yapılandırılmış mı? »
Ama Salesforce’a geri dönelim. Esasen, potansiyel kuruluşlar için hesap kayıtları, şirketin iletişim kurmak istediği profesyoneller için iletişim kayıtları ve ekiplerin üzerinde çalıştığı anlaşmalar için Fırsat kayıtları gibi birçok farklı türde kayıt içeren büyük ve karmaşık bir veritabanıdır. Her kaydın kendisiyle ilişkilendirilmiş adres alanı, açıklamalar, maliyetler ve hesap kişisi referansları gibi birçok alanı vardır. Salesforce’ta kimin hangi kayıtlara erişimi olduğunu ve hangi tür kayıtlara erişimi olduğunu belirleyen erişim denetimleri, örtüşen birçok katmana sahiptir.
Çoğu güvenlik ekibi, bulut uygulamalarını “kara kutular” olarak tanımlar. Bu uygulamaların nasıl çalıştığını veya içeride neler olduğunu gerçekten bilmiyorlar. Siber liderler konuya daldıklarında, birçok organizasyonel ayar, rol tabanlı erişim yetenekleri, organizasyonel hiyerarşiler, iş modelleri (bölge veya ürün) ve nesne ve alan seviyelerine kadar ayrıntılı erişim kontrolleri olduğunu görürler. Ayrıca uygulama, sistem ve paylaşım ayarları da vardır.
Bazı Salesforce yöneticileri, sadece kimin neye erişimi olduğunu takip etmeye çalışmak için devasa elektronik tablolar oluşturmayı ve sürdürmeyi kabul ediyor. Değişiklikleri anlamak, hassas ve düzenlenmiş verileri bulmak ve faaliyetleri izlemek eşit derecede zordur ve ek modüller ve yapılandırmalar ve çok fazla uzmanlık gerektirir.
Bir güvenlik ekibinin, şirketin faaliyetleri sırasında kullandığı her SaaS uygulamasının ve her bulut altyapı hizmetinin tüm yapılandırma seçenekleri ve mekanikleriyle güncel kalmasını beklemek gerçekçi değildir. Ayrıca uygulama uzmanlarının devasa elektronik tablolar tutmasını ve bunları üç ayda bir uyumluluk ve güvenlik yöneticilerine açıklamasını beklemek de düşünülemez.
Peki ticari veriler nasıl korunur?
Kesin olan şey, saldırganların bu tür verileri ele geçirmek istedikleridir. Bu nedenle herhangi bir siber yöneticinin görevi, onlara erişimi mümkün olduğunca zor hale getirmektir.
İlk adım, riskleri analiz etmek ve önceliklendirmek, ardından ihlalin gerçekleştiğini kabul etmek ve CRM sistemine gelebilecek olası hasarı azaltmaya başlamak için aşağıdaki adımları atmak:
- Artıların yüksek ve eksilerin düşük olduğu yerden başlayın. Veri riski değerlendirmesi, test için oluşturulan ancak asla kapatılmayan ticari veritabanının tam bir kopyası gibi, yaygın olarak erişilebilen ancak nadiren kullanılan büyük miktarda hassas veriyi ortaya çıkarabilir.
- Risk değerlendirmelerimiz, birçok kullanıcının asla kullanmadıkları veya sahip olmamaları gereken güçlü izinlere sahip olduğunu ortaya koyuyor. Kullanıcılarınızın %10’undan fazlasının CRM sisteminizde yönetici hakları varsa, muhtemelen çok fazladır.
- CRM verilerinize odaklanan bir masa üstü alıştırmasını tamamlayın. Orta düzey bir satış yöneticisinin şirketten ayrıldığını varsayalım. O zaman ne almış olabileceğini görmek için erişimlerini incelemek gerekir. Kaç dosyaya danışabilir? Hangilerine erişimi var? Satış müdürü çok sayıda dosyaya erişiyorsa bir sistem uyarılır mıydı?
CRM sistemleri karmaşıktır, ancak içerdikleri veri korumasının olması gerekmez. Görevleri yalnızca doğru kişilerin ilgili verilere her zaman erişmesini sağlamak olan bir siber güvenlik uzmanı ekibi atamak her liderin sorumluluğundadır. Son olarak, her zaman onları doğru şekilde kullandıklarından emin olun. Sonuç olarak, CRM sistemini korumak basit bir soruyla başlar: İş verilerimizi nasıl koruruz?
