2016 güvenlikte farkındalık yılı
Bilgiye ulaşımın son derece kolaylaştığı ve her türlü mobil cihazdan veriye ulaştığımız bir dünyada, siber saldırıların nereden ve nasıl geleceğini öngörmek imkansız. Sosyal mühendislik teknikleri, DDoS gibi dağıtık saldırılar, fidye yazılım saldırıları, sıfırıncı gün saldırıları gibi sayısız tehditten korunmak için bir güvenlik politikasına sahip olmak gerek. Yani bu konuda haberleri gazeteden okumakla yetinip, sonra haber olmamak için planlı güvenlik adımları atmak önemli.
Siber güvenlik şu anda organizasyonların 1 numaralı teknoloji yatırımı konumunda. Büyük zararlar veren siber saldırılar, sayısız teknikle hayat buluyor. Zararları hesap etmek de giderek güçleşiyor. Bu nedenle siber güvenlik, son yıllarda kurumların öncelikli teknoloji yatırımı. Tehditlerin artması ve saldırıların çeşitlenmesi, bu alandaki yatırımlara hız verilmesinin temel sebebi. Güvenlik yaklaşımında BT güvenliğinin ‘kurmakla yetinilecek bir projeden’ çok daha fazlası olduğunu bilmek gerek. Çünkü söz konusu güvenlik, kendi bilgisayarımızın veya onun içindeki verinin güvenliği ile sınırlı değil. Buzdağının bu görünen yüzünün altında kullanılan tüm cihazlar, tüm ağ ve internet bağlantı noktaları, iş ortakları ve onların BT yapıları gibi birçok paydaş var. Sürekli bir çevre güvenliğinin yanında, veri güvenliğini de kapsayan bir güvenlik politikası belirlemek, bu politikayı düzenli aralıklarla güncellemek ise her şeyin temeli. Zira BT güvenliği; kurumlar için yaşayan ve eskiyen, bu nedenle de sürekli geliştirilmesi gereken bir kavram. Yani örneğin bir güvenlik uygulamasını devreye alıp, güvenlik konusunda gerekli tüm adımların atıldığını sanmamak gerek. Adımların birbirini takip etmesi ise esas.
Kurumsal sahiplenme ve çok katmanlı güvenlik
Bu belirttiğimiz biçimde BT güvenliği konusunda düzenli ve istikrarlı adım atma gerekliliği, beraberinde kaçınılmaz olarak bütçe odaklı sıkıntıları da getirebiliyor. İşte bu nedenle kurumsal güvenlik; hele de risklerin katlanarak arttığı bir ortamda sadece BT veya kurumsal güvenlik biriminin değil, CEO’dan tüm birimlere ve tüm çalışanlara yayılması, kavranması, desteklenmesi ve benimsenmesi gereken bir kavram. Bu kurumsal bütünsellik, kurumsal devamlılığın şartı. Çünkü olası bir büyük saldırıda zarar gören sadece şirketin kendisi olmaz, müşterilerinin verisi, iş ortaklarıyla olan ilişkileri ve çalışanların güveni de zarar görür. Bu nedenle söz konusu farkındalık, sahip olunan kurumsal değerlerin de garantisi niteliğinde. Siber saldırıları engellemek için güvenlik ekipleri kuran şirketlerin de zaten temel derdi ortak: Kullanıcıların bilinç ve bilgi eksikliği. Örneğin günümüzde çalışanlar artık eskisi gibi ofislerine bağımlı kalmak zorunda değiller. Akıllı telefonlarından, taşınabilir bilgisayarlarından ve tabletlerinden kurum dışından işlerini yapabiliyorlar. İşte bu noktada, denetimsiz veya bilgisiz son kullanıcılar, güvenlik zafiyeti anlamına geliyor. Mobilite ve bulutun hâkim olduğu yeni dünyada, kurumsal kimliği merkezine alan, çok katmanlı güvenlik yaklaşımları önem kazanıyor.
Farkındalık, zarardan sonra oluşuyor
İnternet yoluyla işlenen suçlar ve veri sızıntılarında artışın yanı sıra, şirket bant genişliğinin gereksiz uygulama ve site ziyaretleri ile etkin kullanılamaması gibi sebeplerle her ölçekten şirket, zaman ve para kaybına uğruyor. Şirketler bir güvenlik politikası, doküman ve süreçlere sahip olup, bu ‘sistem’ düzenli aralıklarla gözden geçirildikçe, gerçekten bir önlem alınması söz konusu olabiliyor. Ama bu farkındalık da, maalesef gelişen tehditlerle paralel bir gelişim sergiliyor. Son yıllarda hem küresel düzeyde hem Türkiye’de siber saldırıların sayısı ve verdikleri zararlar katlanarak artıyor. Ancak belirttiğimiz gibi farkındalık, zarardan sonra oluşuyor. Eskiden kurumlarda öne çıkan ‘sahte güvenlik’ algısı, her şeyin kontrol altında olduğunu sanma hatası, belirttiğimiz tehditlerle beraber farklı bir yapıya büründü. Kurumsal güvenlik paranoyası bu yönüyle öne çıktı. Böylece gerek kamuda gerek özel sektörde güvenliği ‘bir program kutusu’ ile sınırlı görmeme eğilimi kendini gösteriyor. Şirketlerin bir hatası da güvenlik başlığında ismi çok duyulan markaların çözümlerini satın alarak, güvenlik noktasında problemlerini çözdüklerini sanmaları. Oysa temelde, kuruma, ihtiyaçlarına ve risk skalasına en uygun olanı seçmek, önceliği modaya ve popülariteye vermemek gerek. Güvenlik çözümleri arayışında olan şirketlerin kendilerine gelen tekliflerde bu unsura dikkat etmesi önemli.
Güvenlikten sorumlu yetkin İK
Güvenlik, tüm bileşenleriyle ele alındığında anlamlı bir bütün oluyor. Burada ele alınması gereken başlıklar ise insan, süreçler ve teknoloji. Bu yüzden öncelikle insanlarda güvenlik kültürü oluşturulması, sonrasında iş süreçlerinin güvenli hale getirilmesi ve tüm bu yapının teknoloji ile desteklenmesi şart.
Siber güvenlik çalışmalarında farklı bir bakış açısına ihtiyaç duyan şirketlerin, öncelikle tehdit modellemesi geliştirmeleri de öneriliyor. Güvenliğe ve iş hedeflerine yönelik stratejilerin etkin bir biçimde bir araya getirilmesi, tehditlere hazırlıklı olunması ve kısa sürede tepki verilmesi adına kurumsal güvenlik farkındalığını geliştirmek kadar, bu konuda yetkin insan kaynağını istihdam edebilmek da önemli.
Politikanızı sürekli güncelleyin
Etkin bir siber güvenlik politikası için öne çıkan bazı başlıklar var. Birincisi; siber güvenliği iş süreçlerinin bir parçası, kurum için bir standart haline getirmek. İkincisi; mevcut siber güvenlik konumunun, bu başlıkta sahip olunan unsurların detaylı değerlendirilmesi. En kötüye hazırlıklı olarak, olası aksaklık ve felaketlere karşı plan yapmak da üçüncü sırada yerini alıyor. Dördüncü başlık, sistem üzerinde hangi kullanıcının hangi işlemler için yetki sahibi olduğunu düzenli kontrol etmek, veri kaybı ya da saldırılara karşı hazırlıklı olmak. Saldırıların zaman içinde çeşitlendiği ve boyut değiştirdiği düşünüldüğünde, güvenlik politikasının da düzenli aralıklarla gözden geçirilmesi faydalı. Ayrıca, güvenlik çözümlerinin entegre çalışabilmesi de şart. Çünkü saldırı şekilleri artık çok değişti ve çeşitlendi. Tek bir kalkan, tüm saldırılara karşı koyamaz. Bunu farklı güçte uygulamalarla desteklemek gerek.
Proaktif hamle fırsatı
Teknoloji yatırımları arttıkça, saldırı türleri de çeşitleniyor. Sosyal mühendislik yöntemi, yazılımların barındırdığı güvenlik açıkları, genel bulut servis sağlayıcılarının altyapılarındaki zafiyetlere yönelik saldırılar ve internete açık olan cihazların zafiyetlerine yönelik saldırılar gün geçtikçe artıyor. Bu da, güvenlik çözümlerinin entegre edilmesinin önemini daha da artırıyor. Yani şirket içinde kullanılan tüm güvenlik çözümlerinin, bir şirket politikası paralelinde, yetkin bir ekip tarafından düzenli olarak izlenmesi ve yönetilmesi gerek.
Tüm güvenlik çözümlerinin düzenli kayıtlarının merkezi bir veritabanında toplanması ve çeşitli analizlerle sorgulanması, olası tehditlerin anında raporlanması da proaktif olmak adına önem taşıyor. Olası siber saldırılarda nasıl hareket edeceğini bilen Siber Olaylara Müdahale Ekibi (SOME) oluşturmak da bu yetkinliği destekliyor.
Web uygulaması firewall'ları, yeni nesil firewall'lar, saldırı önleme sistemleri, virüsten korunma gibi unsurlarla ağa en başından giriş yapılmasını önlemeye çalışırsınız. Saldırının son aşamasında bir saldırganın giriş yaptığını bilir ve nasıl girdiklerini, içeride ne yaptıklarını ve arkalarında hangi bilgileri bıraktıklarını öğrenerek bu uyarıları bir araya getirirsiniz. Ancak böyle bir yaklaşımda sürecin ortasında ne olduğu, yani tehdit oluştuktan sonra, ancak saldırgan ayrılmadan önce ne yaşandığı anlaşılmaz. Şirketler, saldırgan giriş yaptıktan sonra da kendilerini koruyabilir, ancak bunu yapmak için tehditleri daha hızlı algılamaları gerekir.
Saldırıların büyük çoğunluğu kurum içi ağ yapısından geliyor. Bu nedenle, öncelikle tüm çalışanların kurumun bilgi güvenliği politikasını bilmesi ve benimsemesi gerek. Şirketin de bilgi varlıklarını sınıflandırması, bu bilgi varlıklarına erişim yetkilerinin de bu sınıflandırmaya göre yapılması önem taşıyor. Öyle ki, tüm erişimlerin kayıtlarının tutulması, anlık olarak bu kayıtların analiz edilmesi ve olası yetki ihlallerinin raporlanması, merkezi veritabanında yapılacak analizler ile olası saldırıların tespit edilmesi için fırsat demek.
Madem iyice mobilize olduk, kurumsal güvenlik politikanız da olmalı
Güvenliğin seviyesini yükseltmek için birçok yöntem ve kullanılması gereken birçok teknik var. Uç nokta güvenliği, iç ağ güvenliği ve dış ağlardan gelen tehditlere karşı koruma gibi temel güvenlik ihtiyaçlarının yanı sıra BYOD, MDM, Advanced Malware Protection, SIEM ve korelasyon çözümleri gibi konularda da çözümleri gündeme almak önemli. Veri Merkezi Güvenlik Duvarları, özel ve genel bulut altyapıları, yazılım tanımlı ağlar (SDN), sanallaştırma ve mobil platformlar üzerinden çalışmalarını yürüten akıllı, bütünleşik güvenlik platformlarına ve bunların sanal sürümleri de güvenlik politikasında dikkat edilmesi gereken başlıklar.
Güvenlik çözümlerine ilişkin yatırımlar artsa da, bu alanda hâlâ yeterli bilince ulaşıldığını ve söylemek zor. Bunun ilk akla gelen örneği, bilgi güvenliği politikası oluşturmuş şirket sayılarının düşüklüğü. Güvenlik politikasını oluşturmada en önemli adım, şirketin bilgi varlıklarının tespiti ve bu varlıkların risk seviyesinin belirlenmesi. Bu aşama doğru bir tanımla gerçekleştirildiğinde, şirketler kendilerine en uygun politikaları belirleyebilir. Politikalar içinde yer alan yönetmelikler ise daha teknik detayda bilgiler içerdiğinden, kurumun ihtiyacı ve sıkıntıları aşmaya yönelik daha kısa zaman aralıklarında yenilenebilmekte.
Kurumların mobiliteye geçişinde mobil kullanıcıların kurumsal dosyalara, dokümanlara ve diğer dijital varlıklara erişiminin ve bunların gerek kurum içindeki çalışanlar gerekse kurum dışındaki iş ortakları ya da müşterilerle paylaşımının BT birimlerinin tam kontrolünde, belirli izinler dahilinde gerçekleştirilmesi önem taşıyor. Başarılı bir BYOD programı için dikkat edilmesi gereken unsurlar; kablosuz ağlar ve ilke yönetimi, mobil cihaz yönetimi, güvenlik ve son olarak, ağ ve uygulama görünürlüğünün entegre işlemesi bütünsel verim, daha doğrusu uçtan uca görünebilirlik ve güvenlik için önem taşıyor.
