“Yeni nesil tehditlere karşı hazır değiliz”

İşNet Teknoloji, Operasyon ve Strateji Direktörlüğü Güvenlik Sistemleri Kıdemli Uzmanı Ahmet Selvi

İnternet ve mobil kullanımının yaygınlaşması ve birlikte iş dünyası yepyeni güvenlik tehditlerinin  odağı haline geldi. Günümüzde en büyük bilgi güvenliği tehditleri mobil cihazlar başta olmak üzere içeride çalışanların hatası ihmali ve kötüye kullanımı, henüz güvenliği kesin olmayan teknolojilere hızlı geçiş ve sosyal medyadaki bilinçsiz kullanımı sayabiliriz. Bunların dışında daha organize yapılan saldırılar arasında da radikal organizasyonlar, aktivistler, suç örgütleri, yabancı istihbarat servislerinin faaliyetlerini sıralayabiliriz. Geleneksel yöntemlerin yetersiz kaldığı bu siber tehdit ortamında sürdürülebilir bir siber güvenlik ancak yeni nesil bilgi güvenliği teknolojilerine yatırım yapmakla mümkün olabilir.

Siber saldırılara ve tehditlere karşı şirketler henüz yeteri kadar hazır değil. Tehditlerle ilgili ön bilgi toplama, tespit ve analiz etme, tehdite müdahale etme aşamalarında şirketler yetersiz kalıyor. Yapılan araştırmalara göre şirketlerin yüzde 30'unun olası tehlike anında uygulayacağı bir güvenlik politikasının olmadığını, yüzde 60'a yakınının ise mevcut güvenlik planlarını güncellemediklerini görüyoruz. Ayrıca şirketlerin yüzde 55'inin de kendi kritik bilgilerini henüz tam tanımadıklarını ve olası bir tehdit sırasında öncelikli hangi bilgilerini kurtaracaklarını bilmedikleri ortaya çıkmış durumda.

Buluta geçişte iş ortağı seçimi çok önemli

Bulut bilişim, gelecekteki bilgi güvenliği sistemlerimizin de belirleyicisi konumunda. Şirketler bulut bilişime geçiş ve bilgi güvenliği uygulamalarında sağlam ve güvenilir bir hizmet sağlayıcı iş ortağı seçimi yapmak durumunda. Bulut hizmeti alacağı şirketi çok iyi araştırmalı, güvenilirliği konusunda yetkin ve sertifikalı olup olmadığından emin olmalı. Örneğin; bulut bilişim hizmetini veren iş ortağının hizmet esnasında ne kadarlık kesinti yapabileceği konusunda rapor sunması bile talep edilebilir.

Şirketlerin buluta taşıdıkları verileri şifrelemesinde büyük yarar var. Bu şifrelemenin bulut sağlayıcının sunduklarından biri olmaması gerekiyor. Zira buluta sızabilen saldırganların o sistemin şifreleme altyapısını da aşma ihtimalleri yüksek görünüyor. Bu nedenle şirketler güçlü şifreler belirlemeli.

Türkiye’de şirketlerin (özellikle KOBİ) veri güvenliği konusunda yatırım yapma konusunda çekingen davrandığını görüyoruz. Bu konuda şirketlere ne gibi önerilerde bulunuyorsunuz?

Şirketler günümüzde siber güvenlik tehditlerinin ve bilgi güvenliğinin öneminin farkında ancak bu konuda bütçe ayırmak, uzman insan kaynağına yatırım yapmak ve bir iş ortağıyla çalışmak konusunda zorlanıyor. Dijital dönüşümden uzak durmak mümkün değil ve şirketler bu konuda yatırım yapmaktan çekinse dahi mevzuat ve yasal düzenlemeler bunu gerekli kılıyor.

Şirketler basit ve temel bazı güvenlik kurallarına uyum göstererek daha güvenli olabilirler. Bunlar:

• Güncel bir antivirüs programı kullanmak ve bu programların güncellemesini sürekli açık tutmak
• Lisanssız ve güncel olmayan işletim sistemi kullanmamak
• Mutlaka düzenli ve profesyonel veri yedeklemesi yapmak
• Güvenlik duvarı uygulaması kullanmak
• Cep telefonlarında antivirüs programı kullanmak
• Basit şifreler yerine karmaşık şifrelemeyi tercih etmek
• ADSL modem şifrelerini değiştirmek.