Güvenlik, yazılım ve donanım ekseniyle bir bütün olarak düşünülmeli

Uzmanlara göre güvenlik, yazılım ve donanım ekseniyle güvenlik bir bütün olarak düşünülmesi gereken bir konu. Çoğu yazılım ve donanım güvenlik açıkları barındırmakta ve bunlarla ilgili geliştirilen yamaların öneminin kullanıcılar tarafında bilinçlendirilmesi yapılmamakta. Bu konuda güvenlik üreticileri, uzmanları ile yazılım donanım geliştiricilerinin ortak çalışması gerekliliği  vurgulanıyor. Aynı görüşü paylaşan Helyum Bilişim İş Geliştirme Müdürü Sinem Tirkeş, özellikle mobil kullanımı ve mobil uygulamalar bu kadar yaygınken mobil donanım üreticileri güvenlik yazılım üreticileriyle ortak çalışmalarla ürünlerini piyasaya sunması gerekliliğine dikkat çekti. Biznet Genel Müdür Yardımcısı ve Baş Danışmanı Onur Arıkan ise bilgi güvenliğinin olmazsa olmaz üç bileşeni olduğunu belirterek sözlerine şöyle devam etti: “Birincisi bilgiye erişebilmek. Eğer sistemleriniz çalışmıyorsa ve ihtiyacınız olduğunda bilgiye erişemiyorsanız bir terslik var demektir. Bu yüzden hem yedeklilik, hem sistemlerin çalışması için uygun altyapının sağlanması önemli bir gereksinim. İkinci konu ise bilginin gizliliği. Herkes tarafından en çok önem verilen konu bu. Bilgiye erişen kişinin o bilgiyi görme hakkı var mı yok mu? Sistemlerde uygun şekilde yetkilendirme yapılmış mı yapılmamış mı? Üçüncü bileşen ise  eriştiğimiz bilgi doğru mu ya da başka bir söylemle bu bilginin yetkisiz kişiler tarafından değiştirilmediğinden emin olabiliyor muyuz? İşte bilgi güvenliğinde bütün çabalar temelde bu üç bileşeni sağlamaya yönelik.”
Trend Micro Akdeniz Ülkeleri Güvenlik Danışmanı İnanç Ilgın, güvenliği yazılım ve güvenlik doğrultusunda ayırmanın yanı sıra bir bütün olarak düşünmek ve bu eksenin içine eklenebilecek tüm parametreleri eklemek gerekliliğine işaret ederek sözlerini şöyle sürdürdü:
“Bu eksenin içine mutlaka son kullanıcının dahil edilmesi ve buna göre önlemler alınması gereklidir. Bir örnek vermek gerekirse; günümüzdeki hedefe odaklı saldırılarda hem donanım hem yazılım hem de kullanıcı hedef alınmaktadır. Yazılım ve kullanıcıya odaklı tehditleri çoğu kez görmekle beraber, donanıma yönelik yazılmış zararlı kodları da artık günümüzde görmekteyiz.

Yazılım ve donanım birbirinden ayrılmaz iki unsur

Yazılım ve donanımın birbirinden ayrılmaz iki unsur olduğunu belirten İnfonet  İş Geliştirme ve Danışmanlık Grubu Yetkilisi Mehmet Dağdevirentürk, bunun güvenliğinin hem üretici şirketlerin hem de bu üreticileri tercih eden son kullanıcıların oldukça üzerinde durduğu büyük yatırımların yapıldığı ve oldukça önem gösterilen bir konu olduğunu belirtti.  Yazılım ve donanım optimizasyonunda  da ağ güvenliği ile doğru orantılı olduğunu belirten Dağdevirentürk, şöyle konuştu: “Bu eksende verilen danışmanlıklarda ağ güvenliği sağlanırken ister kurumsal ister kişisel bazda olsun ilk önce saldırı tespiti yapılmalıdır. Daha sonra bu tespite göre uygun program ve donanım seçilmelidir. IPS sistemlerinde de kurumlar için ilgili analiz sürecinden sonra karar aşamasına geçilir. Bu süreçte işin sistem tarafı ayrı bir segment bunun güvenliği ayrı bir segmentte yer alır. Güvenlik segmenti için yazılım ve donanım bazlı farklı politikalar yaratılmalı ve standartlar ile sürekli güncel tutulmalıdır.”

Performans kaybı olmaması için  özel güvenli donanım modelleri tercih edilmeli

Prolink Sistem Mühendisi Mehmet Gülyurt’a göre yazılımların güvenlik ihtiyaçları doğrultusunda gelişmeleri çalıştıkları donanım ortamları için kaynak kullanımını daha fazla tüketmeleri anlamına geliyor. Bu konuda en iyi örneğin şifreleme ile ilgili verilebileceğini belirten Gülyurt, şöyle konuştu: ”Yazılımınızın çalıştığı donanım üzerinde şifreleme anahtarlarını saklayarak kullanması hem bir güvenlik riski hem de performans kayıplarına yol açacaktır. Bu tür sorunları ortadan kaldırmak için şifreleme örneğinde uygulanacağı gibi daha güvenli ve performans kaybına yol açmayacak özel güvenli donanım modüllerine bırakılmalı.” Gülyurt’a göre ağ güvenliğinin en kritik noktaları da yerel ağ üzerinde bulunan kullanıcıların bilinmeyen bir ortama yani internete erişimleri ve bilinmeyen bir ortam olan internetten yerel ağa erişim istekleri.

Bulut bilişim, bilgi güvenliği anlamında sorumluluğun ve denetimin arttığı uygulamaları gerektiriyor

Dünyada bilgi güvenliğine yapılan yatırım her geçen gün önemli oranda büyüdüğünü ve Türkiye’de de durumun yurtdışına paralel olarak geliştiğini belirten E-Güven Genel Müdürü Can Orhun, şu değerlendirmelerde bulundu: “Bilgi güvenliğini sağlama konusunda en güvenilir kabul edilen çözümlerin başında iş yükünü azaltarak bürokratik süreci hızlandırmaya yönelik bir veri güvenliği uygulaması olan e-imza geliyor. 2012’de daha da yaygınlaşacak olan ve altyapı yatırımını önemli oranda azaltabilecek bulut bilişim sistemleri, dağınık bir mimari içerdiği için bilgi güvenliği anlamında sorumluluğun ve denetimin arttığı uygulamaları gerektiriyor. Bu yapılarda kimlik doğrulamanın önemi daha da fazla büyüyeceği için elektronik imza yine önemli faktörler arasında yer alacak.”

Uygulamaları ve içeriklerini de koruyacak çözümleri devreye almak gerekiyor

Oytek Network ve Güvenlik Hizmetleri Müdürü Mazhar Turhan Karagülle’ye göre güvenliğin bir yelpaze olduğunu unutmadan hareket etmek gerekli. Sadece güvenlik duvarı kullanımı veya antivirüs kullanımı ile güvenliğin sağlandığını düşünmenin yanlış olacağına vurgu yapan Karagülle, şu değerlendirmelerde ve saptamalarda bulundu: “Uygulamaları ve içeriklerini de koruyacak çözümleri devreye almak gerekiyor. Zafiyet taramalarının düzenli olarak yapılması, açıkların kapatılması gerekir. Verinin korunması konusunda da DLP teknolojilerine ağırlık verilmeli. Mobil servislerinin artan çeşitliliğine bağlı olarak internet hizmetine açılan servislerin de sayısı artmaktadır. Özellikle web tabanlı mobil servislerin güvenliği önem kazanacaktır.Mobil cihazların (Akıllı telefonlar, tabletler) güvenliği önem kazanacaktır. Artan cihaz ve bağlantı türü çeşitliliğine bağlı olarak bilgi işlem altyapıları; herhangi bir yerden, herhangi bir zamanda, herhangi bir cihazdan güvenli bir noktaya gitmekte. Bu gelişmeye bağlı olarak güvenlik sistemlerinin de bu duruma uyum sağlaması gerekmekte. Çeşitli noktalara konumlandırılmış olan güvenlik sistemlerinin merkezi olarak birbirleri ile iletişim halinde olmaları gerekli. Güvenlik sistemlerinin çok çeşitli cihazlara hizmet verebilmeleri gerekli.Güvenlik sistemlerinin bağlantı noktalarına sistemlere bağlanan kişilerin birçok parametreye göre kimliklerini anlıyor olmaları gerekli. Tüm bunlara ek olarak yazılım ve uygulamaların açıklarının da kapatılması gerekmekte.”