Esnek güvenlik sistemi anlayışı benimsenmeli
Günümüzde beklenmedik bir siber saldırı senaryosuna tepki vermek ve bir güvenlik ihlali sırasında dinamik olarak değişen durumlara hazır olmak için kurgusal, yani insan odaklı bir bakış açısına ihtiyaç var. Bunun için en son siber güvenlik bilgisine sahip, güvenlik tehditlerini tespit edebilecek ve bunlarla baş edebilecek güvenlik mühendisleri ile donanmış güvenlik operasyon merkezleri oluşturulması ya da kullanılması gibi bir güvenlik yönetim kültür değişimi kaçınılmaz. Zira veri merkezlerinde, sunucularda, bilgisayarlarda ve mobil cihazlarda saklanan kurumsal bilgi miktarı üssel bir hızda artmakta. Dolayısı ile birden fazla giriş noktası bulunan çok daha fazla platformda siber saldırı senaryolarını çeşitlendirecek riskler oluşmakta. “Yani hızla güvenlik tehditlerinin listesi artmakla beraber daha sofistike bir hale gelmekte” yorumunu yapan Fujitsu Türkiye Çözüm Tasarım Mimarı Turgut Haspolat, güvenlikte kurumsal farkındalığı ve gereklerini şöyle anlattı:
“İşiniz açısında kritik olan verilerin ne olduğunu tanımlayamıyorsanız, onu koruyamazsınız. Kurumun BT hizmetleri üzerinde kontrolsüz ve belirsiz olaylardan kaynaklanan hizmet kesintilerinin olma olasılığı ve etkisini belirleyemiyorsanız, onları orantılı savunacak bir şeyiniz yok demektir. Birçok kurum halâ iş riski yönetimi ve tehditleri hakkında çok temel bir anlayışa sahip. Prensip olarak, kurumlar bilgi varlıklarının olduğu her yerde çevresini savunmaya odaklanırlar. Ancak siber saldırı, kaleye atılan top güllesine benzemez, daha çok kalenin içine atılmış bir göz yaşartıcı gaz gibidir. Sonuçta kurumlar korku, belirsizlik ve şüphe içinde yanlış problemlere pahalı teknik çözümler satın almakla güvende oldukları rehavetlerini gözden geçirmeli. İyi bir siber güvenlik mekanizması; iş riski yönetimi ile insanı, süreci ve teknolojiyi kapsayan ve kurumun tepesinden gelen aktif liderlik tarafından yönlendirilen tamamen bütüncül bir yaklaşımdır. Unutmayın ki, yıkıcı saldırılar sadece dışarıdan yapılanlar değildir. Ya da konuyu sadece savunma bakış açısı ile ele alamayız. Çoğu sektördeki büyük işletmeler en az bir defa yıkıcı bir siber saldırıya ya da güvenlik ihlaline maruz kalmıştır. Hatta şu anda sistemlerine nüfuz etmiş yıkıcı bir sibernetik organizmanın farkında bile olmayabilirler. Bir saldırıya maruz kaldıktan sonra normal operasyonlara geri dönmek için bir iyileştirme planı uygulanması, mali zararların en aza indirgenmesi ve itibarın tekrar kazanılması için önemli. Veri güvenliği (koruma) mimarisinin temel hedefi iş sürekliliğini garanti altına almak. İş sürekliliği planlaması, potansiyel tehditler, denetim ve test sonuçları ile ortaya çıkan değişiklikler kapsamında zamanla gelişen sürekli bir döngüde olmalı. Kurum politikaları, standartları ve değişen süreçleri de iş süreklilik planına entegre edilmeli. Dijital dönüşüm çağında yenilikçilik ve değer yaratma bağlamında bozulumu (değişimi), global ölçekte siber alanda ülke sınırları olmadan hiper bağlanmış bir dünyanın getirdiği fırsatları izliyoruz. Bu durum özellikle genel veri korunması yönetmelikleri, mevzuatları, standartları yaklaşımları ile önemli bir hal alacak. Kurumların riskleri göz önüne alması, korunması gereken en önemli veriyi bulması ve ağlarını dikkatli bir şekilde izlemesi ve yönetmesi gerekecek. Önümüzdeki yıllarda düzenli aralıklarla gerçekleşecek siber saldırılar ve güvenlik ihlallerini sık sık göreceğiz. Tüm bu zarar verici unsurlar insan odaklı olarak en iyi bilinen büyük şirketleri, hükümetleri ve artık ev halkını da etkileyecek. Güvenliğin hiçbir zaman teknolojik mutlak bir sonu olmayacak. Bize düşen, belli bir noktada gerekli riskleri ve karşılık önlemleri alarak teknoloji, süreç ve insan etkileşimi ile esnek bir güvenlik mekanizması oluşturmak. Esnek güvenlik sistemi anlayışı; insan metabolizması sürekliliğini sağlayan bağışıklık sistemi gibi sürdürülebilir bir yapıda kurgulanması temel odak noktası olmalı.”