Bilgi güvenliği yeniden tanımlanıyor

Her türlü bilginin, iş süreçlerinin internet ortamına taşındığı, kurumların her geçen gün artan oranda kritik bilgi ürettiği, bilgi akışının arttığı ve hızlandığı günümüz ortamında bilgi güvenliği artık hem kurum hem de kişiler için vazgeçilmez bir kavram olarak karşımıza çıkıyor. Bilgi günümüzde şirketlerin stratejik varlığı haline gelirken kurumlar için her geçen gün önem kazanıyor. İnternet kullanımının hayatın her alanına yayılmış olmasının getirdiği sorumluluklar, güvenlik gerçeği nedeniyle artıyor. Transferi kolaylaşan bilgi, beraberinde güvenliğini de gündeme taşırken, bulut bilgiişlemle her yerden erişilebilecek mimariler ve dağıtık yapılarla bilgi güvenliği daha da fazla önem kazanıyor. Şirket sistemlerini çalışmaz hale getirmeye odaklanan güvenlik tehditleri artık bilgiyi ele geçirmeye çalışan zararlı kodlara dönüşüyor. Dünya gelinen nokta da bilgiyi ele geçirmenin en kolay ve en ucuz yöntemi olan casus programlarla uğraşıyor. Nitekim uzmanlar da dünyada zararlı kodların saldırılan kişinin para ya da prestij kaybetmesine neden olmanın da çok ötesine geçmiş durumda olduğuna dikkat çekiyor. Hala üzerinde sayısız makaleler yazılarak konuşulan Stuxnet gibi örnekler de artık siber tehditlerin nükleer santral ve üretim tesislerini hedef alarak birebir olarak şirketlerin ve hatta ülkelerin ekonomisini etkileyebileceğini de gösteriyor. Nitekim Münih’te gerçekleşen Kaspersky Güvenlik Sempozyumu’nda konuşan Eugene Kaspersky de işletmeleri sabote etmek ve endüstriyel sistemleri yok etmek üzere tasarlanan Stuxnet solucan saldırısını da bu konuda “Pandora’nın Kutusu’nun” açılışı olarak nitelendirmişti. Kaspersky’e göre 90’lar siber magandaların, 2000’ler siber suçluların dönemiydi; günümüz ise sibers avaşların ve siber terörün çağı olarak gözüküyor.

Bilgi merkezli yönetim stratejisi geliştiriliyor
Symantec Bölge Teknoloji Müdürü Burak Sağdıç’a göre bilgi güvenliğinden bahsedildiğinde son beş sene içinde tanımı ve kapsamı değişen bir kavramla karşılaşılıyor. Eskiden herhangi bir kurumda “bilgi güvenliği” üzerine konuşulduğunda ya da bu amaçla bir ekip kurulduğunda tek amacın kurumun üzerinde bilgi bulunan sistemlerinin güvenliğini sağlamak ve yapılan tüm eleman ve altyapı yatırımlarının da buna yönelik olduğunu belirten Sağdıç, “İstisnai bazı müşteriler dışında çoğu kurumda bilgi güvenliği ile bilgi teknolojileri güvenliği arasında bir ayrım bile yapılmazdı. Ama teknoloji ve teknolojilerin iş süreçlerine etkisiyle “sistem merkezli” olarak adlandırabileceğimiz bu yönetim stratejisi yerini yavaş yavaş “bilgi merkezli” bir yönetim stratejisine bırakıyor ve bırakmak zorunda. Daha somut örnekler vermek gerekirse geçmişte merkezi, belli şablonlara uygun ve fiziksel sistemlerden oluşan bilgi teknolojisi mimarilerinden bahsediyorduk. Bugün ise dağıtık, her kurumun kendi ihtiyaç ve yenilenmelerine uygun şablonlarda, giderek daha büyük bir süratle sanallaşan, dış kaynaklar tarafından yönetilen ve hatta bulut bilgiişlem ile internet üzerinden her an erişilebilecek mimariler gündemde. Bu yeni dönemde artık en önemli bilgi güvenliği çekincesi bilginin kendisinin korunması yönünde olmalı” diye konuştu.

Çok katmanlı ve güvene dayalı olmayan güvenlik yapıları özellikle öne çıkıyor
Bordotek İleri Teknolojiler ve Savunma Sanayi Genel Müdürü Öner Gültekin’e göre de şu anda devletler, şirketler ve şahıslar birçok özel bilgisini çeşitli güvenlik tedbirleri alarak kendi elleriyle internet ortamına açıyorlar. Bu kadar büyük miktarda bilgiye erişmek için bugün ilgili güvenlik mekanizmalarını aşılmasıyla istenilen bilgilerin hattın diğer ucunda beklediğini belirten Gültekin’e göre alınacak güvenlik önlemleri hayati önem arz ediyor ve çok katmanlı ve güvene dayalı olmayan güvenlik yapıları özellikle öne çıkıyor. İşlemleri elektronikleştirirken yapılan en büyük hatalardan birinin de tüm verileri bir noktaya toplamak olduğuna dikkat çeken Gültekin, “Bu yüzden külfetli de olsa mutlaka büyük sistemlerde verilerin dağıtımı yapılması gerekiyor. Aksi takdirde herhangi bir güvenlik zafiyetinde tüm verilerin ifşa olması sıkıntısı baş gösteriyor” şeklinde konuştu.
Günümüzde sadece çalışanlarıyla değil, müşterileri ve iş ortaklarıyla birlikte anılan kuruluşlar için bilgilerinin korunması çok daha büyük stratejik bir önem kazandığını belirten Helyum Pazarlama Müdürü Neslihan Aksun, gerek yürüyen işlerin devamında gerekse şirketin güvenilirliği anlamında güvenliğin çok önemli olduğunu vurguladı. Aksun da, günümüzde zararlı kodların saldırılan kişinin para ya da prestij kaybetmesine neden olmanın da çok ötesine geçmiş durumda olduğuna da dikkat çekti.
HP TippingPoint Grup Kurumsal Çözüm Mimarı Altuğ Yavaş da, bilgiye her yerden erişimin giderek kolaylaştığı dünyamızda bilginin korunmasına erişim kolaylığını sağlamak kadar önem verilmediğini düşünüyor. Yavaş’a göre bilgi güvenliği, bilginin değeri gözetilerek korunması anlamına geliyor. Özellikle kamu kuruluşlarının vatandaşa ait bilgilerin gizliliğini korumaya, bu bilgilerin izinsiz olarak değiştirilmesine engellemeye ve hizmet sürekliliğini sağlamaya yönelik önlemler alması gerektiğini belirten Yavaş, şirketler tarafında da kişisel bilgilerin ve ticari sırların korunması, veri merkezlerine izinsiz erişimin önlenmesi, bilgisayar saldırıları ile kötü amaçlı yazılımların engellenmesi gerektiğini dile getirdi. Kaspersky Türkiye Genel Müdürü Murat Göçe’ye göre de hayatımızın her alanında olan internet, bir taraftan sosyalleşmeyi sağlarken bir taraftan da bizi kötü niyetli hackerlarla bir araya taşıyor. Bu dünyada güvenliğin de gerçek dünyadaki güvenlikten farklı olmadığını belirten Göçe, “Bilgiye ulaşmaya başladığınız her nokta yani özetle internete bağlandığınız an güvenliğiniz yani bilgi güvenliğiniz kritik bir önem kazanıyor” diye konuştu.

Bilgi güvenliği yatırımları artacak
Bağımsız araştırma şirketi, Gartner’ın araştırmaları dünya genelinde bilgi güvenliği yazılımları ve bilgi güvenlik hizmetleri harcamalarının 2011 yılında diğer BT yazılım ve hizmet alanlarındaki harcamalara oranla bütçeden oldukça büyük pay almasının beklendiğini ortaya koyuyor. Türkiye’nin bu eğilimin neresinde olduğunu ise ABH’nin de içinde olduğu Ernst Young’ın Türkiye ve dünyadan çeşitli şirketlerle yapmış olduğu 2009 Küresel Bilgi Güvenliği Anketinin sonuçları gösteriyor. Anket, bir önceki yıla kıyasla önümüzdeki yıl daha fazla bilgi güvenliği yatırımı yapacak şirketlerin oranını dünya genelinde yüzde 47,89 olarak gösterirken Türkiye genelinde yüzde 49,43 olduğunu ortaya koyuyor. Bir önceki yıla kıyasla önümüzdeki yıl daha fazla bilgi güvenliği yatırımı yapacak şirketlerin oranı dünya genelinde yüzde 50,36 gözükürken Türkiye genelinde de yüzde 49,38 oranı görülüyor. Sonuçlar güvenlik harcamaları konusunda Türkiye’deki şirketlerin de dünyadaki genel eğilime uygun olarak güvenlik alanındaki yatırımlarını artırdıklarını doğruluyor. Diğer taraftan özellikle 5651 sayılı kanun başta olmak üzere çeşitli sektörel regülasyonlar da Türkiye’deki şirketlerin bu yöndeki harcamalarını etkilediği ve geleceğe yönelik yatırım kararlarında yönlendirici olduğu da belirtiliyor.