Kutu değil, uçtan uca çözüm almak öncelik olmalı

Biznet Genel Müdür Yardımcısı Haluk Aydın

Önceleri kurumlarda son derece tehlikeli bir sahte güvenlik hissi hakimdi. Genellikle yapılan yetersiz güvenlik ürünleri alımlarının, kurumsal koruma koruyacağı düşünülürdü. Ancak şu anda tam bir siber korku ortamının beslediği kaos hali hüküm sürüyor. Kurumlar kendilerinin de bir şekilde, bir zamanda kurban olduklarını veya olacaklarını biliyor, ancak tehdidi göremedikleri ve farkına varamadıkları için ne yapmaları gerektiğini bilmiyorlar. USOM-SOME çalışmalarının bu konuda faydası olmakla birlikte yetersiz. Siber güvenlik konusunda en büyük sorunlardan biri yetişmiş insan bulunamaması. Nispeten genç ve tecrübesiz arkadaşlarımız için bu ortam bir bıçak sırtı: karanlığa da aydınlığa da düşebiliyor insan. Buradaki en temel sorun, kurumların çözümün ne olması gerektiği konusunda genellikle bir bilgisinin olmaması. Bu da yanlış projeler demek.

Çoğu şirket ve kamu kurumu bir güvenlik çözümü değil, bir güvenlik kutusu almak peşinde. Piyasadaki birçok ürünü araştırıyor, inceliyor, uzun ve zahmetli kavram kanıtlama (PoC) süreçlerinden sonra bir ürün seçip alıyorlar. Sonraki alımları genellikle bir öncekinden kopuk olabiliyor. Bir süre sonra kurum pek çok ama birbirinden kopuk ürünler mezarlığına dönüşüyor. Halbuki zaman bütünleşik, yani tüm bileşenlerinin en üst seviyede entegre olduğu, hem teknoloji hem de ürünleri içeren çözümler zamanı. Çok kıt insan kaynaklarını en uygun şekilde kullanabilmenin anahtarı da bu. Biznet Bilişim olarak stratejimiz, müşterimizin ihtiyaçlarını, gerekli teknoloji ve hizmetleri de dahil ederek, uçtan uca çözmek. Yani bütünleşik çözümler sağlamak.

Öncelikle mutlaka bir referans noktasına ihtiyaç var. Bu da firmanın yaptığı işe göre PCI DSS, ISO 27001 ve diğer güvenlik standartlarından biri veya birkaçı olabilir. Bu standartların en büyük faydası, uygun ve adı üstünde, standart bir yöntem sağlıyor olması. Uygulama ise şirketin yaptığı iş, saldırganların şirkete yönelik iştahları, riskler ve diğer pek çok parametreye göre farklılık gösterebilir. Sonuçta şirketler birer güvenlik politikası, doküman ve süreçlere sahip olur. Bu ‘’sistem’’ yılda en az bir defa ve güvenlikle ilgili önemli olaylardan sonra gözden geçirilmelidir.