Standartlar yerleşirken, kurumların güvenlik yaklaşımları da değişiyor
Ağ güvenliği konusunda yeni gereklilikler, bunların beraberinde getirdiği ihtiyaçlar söz konusu olduğunda yeni standartlar da hayata geçiyor. Bunları, varolan BT yapısı ile uyumlu bir biçimde kullanabilmek, güvenliğin ve risklere karşı atak olabilmenin de anahtarı halini alıyor. Güvenlik konusunda en yeni eğilimler sektör temsilcilerine göre mobil güvenlik, bulut bilişim ve sanallaştırma güvenliği ile veri kaybına karşı DLP çözümleri olarak sıralanıyor. Helyum Bilişim İş Geliştirme Müdürü Sinem Tirkeş de bu başlıklara vurgu yaptı. Günümüzde mobilitenin önemi ve yaygınlığı tartışılamaz. Artık hemen hemen her şirketin, çalışanlarına sürdürülebilir iş verimliliği nedeniyle akıllı mobil cihazlar verdiğini ya da çalışanların kendi akıllı telefonlarını şirket içinde kullandığını belirten Tirkeş, “Bu cihazların şirket bilgilerini dışarıya sızdırmaması için güvenlikleri en hassas konulardan biri. Her güvenlik çözümüne bütünleşik çalışan ve kritik bilginin dışarı çıkmasını engelleyen DLP çözümleri de en son güvenlik eğilimlerinden” bilgisini verdi.
Güvenlik başlığında sürekli yeni standartların yayınlandığına dikkat çeken Prolink Sistem Mühendisi Mehmet Gülyurt, konunun bulut bilişimle bağlantısını “Özellikle yeni alanlarda Cloud Security Alliance (CSA) benzeri standartlar incelenmeli ve oluşacak riskler önceden hesaplanmalı” sözleri ile örnekledi. Buna karşılık, yeni bir alan için standart yayınlanmadığı sürece, Gülyurt’un önerisi, süregelen güvenlik standartlarının takip edilmesi. Gülyurt, “Günümüzde kullanılan PCI-DSS gibi önemli standartlar, geçmişten bugüne sürekli güncellenerek gelmekte ve güvenilirliğini korumakta” yorumunu yaptı.
Farklı standartlar var
Konu bilgi güvenliğini korumak olduğunda, farklı standartlar kendini gösteriyor. Biznet Genel Müdür Yardımcısı ve Baş Danışmanı Onur Arıkan, bunların bir kısmının Türkiye’de bilindiğini ve kurumların da buna uymaya çalıştığını belirterek şöyle konuştu: “Örneğin şirketler, bilgilerini korumak için bir sistem oluşturmak istiyorlar. Bilgi Güvenliği Yönetim Sistemi adı da verilen ISO-27001 bu ihtiyacı adresliyor. Neyi koruyacağınızı, hangi tehlikelerden koruyacağınızı, güvenlik açıklarınızı, riskinizi bu yaklaşımla son derece etkin bir şekilde kontrol edebiliyorsunuz. Bir diğer standart ise özellikle kredi kartının güvenliğini sağlamaya yönelik olan PCI DSS. Kartlı Ödeme Endüstrisi Veri Güvenliği Standardı aslında kredi kartıyla işlem yapan ya da kredi kartı bilgisini saklayan her şirketin uymakla yükümlü olduğu bir standart. Bankalar ise COBIT çerçevesine uymak konusunda uzun zamandır çalışmalarını sürdürüyor. Bunlara ek olarak, kişisel bilgilerin korunmasına yönelik yasa çalışmalarının da sürekli gündemde olduğunu, IPv6 standardına yönelik güvenlik bileşenlerini de artık daha fazla duyacağımızı hatırlatmak lazım.”
Sektörde kablolu ve kablosuz alanda yeni standartlar hayat buluyor. Bu tabloda ISO 27001’in artık birçok kurumda yerini aldığına işaret eden İnfonet İş Geliştirme ve Danışmanlık Grubu Yetkilisi Mehmet Dağdevirentürk’e göre, eskiden kurumsal yapılarda görülen bu standartlar artık KOBİ tarafında da oldukça yaygın. İnternetten gelen tehditlerin sürekli değiştiği ve standartların da buna ayak uydurduğu hızlı bir süreçteyiz. Ağ güvenliği kavramları da bu süreçte önemini giderek artırıyor.
Labris İş Geliştirme Yöneticisi Ertuğrul Kara’ya göre ise yeni standartlardan ziyade, varolan standartların etkisini ve kapsamını artırdığını söylemek mümkün. Bu noktada, güvenlik alanında yegane sertifikasyon ve standart TSE tarafından da verilen Common Criteria (Ortak Kriterler). Kara’ya göre, TSE bu sertifikasyona önemle eğiliyor. Nitekim dünyada yalnızca 14 ülke bu sertifikasyonu verebilirken, yalnızca 50 civarında laboratuvarda ilgili testler yapılabiliyor. Kara bunun sebebini, “Zira çok ciddi bir laboratuvar ve bilgi yatırımı gerek. EAL4+ garanti seviyesi ise ticari ağ güvenliği ürünlerinde alınabilecek en üst seviye. Bu, bir ürünün “metodik olarak tasarlandığı, test edildiği ve gözden geçirildiği” anlamına geliyor. Kendi altında 7 ana başlık ve 26 alt başlık altında binlerce gereksinimi barındırıyor” sözleri ile açıkladı. Symantec Güneydoğu Avrupa ve Türkiye, Bölge Teknoloji Müdürü A. Burak Sadıç’a göre ise ISO/IEC 27001, bilgi güvenliği yönetim standardı olarak hala lider ve TSE kapsamına alınması Türkiye’deki yaygınlığını artırdı. Finans ve telekomünikasyon gibi yüksek risk içeren ortamlarda faaliyet gösteren kuruluşlar için ise iş sürekliliği standardı BS 25999 ön plana çıkıyor ve bu standart da, Sadıç’ın verdiği bilgiye göre, çok yakında ISO standartları arasında yerini alacak. Büyük resme bakacak olursak, bilgi güvenliğine yönelik ISO/IEC 27000 ailesinde yayınlanmış toplam ondan fazla standart var ve bir o kadar standart da hazırlanma aşamasında. Bu uluslararası standartlar yanında, Sadıç’ın dikkat çektiği gibi, özellikle finans kurumlarında yoğunlukla kullanılan ve ülkemizde BDDK tebliğlerinde de yerini alan COBIT’in beşinci sürümü 2012 yılında yayınlandı.
Bu standartlara ek olarak, günümüzde çok değişik yaratıcı çözümler ve yaklaşımlar da kendini gösteriyor. Websense Akdeniz Afrika Bölgesel Satış Direktörü Hüsamettin Başkaya bunun sebebini, özel ve kamu bulut uygulamaları, mobil uygulamalar ve sosyal medyanın çok yaratıcı bir biçimde kullanılması ile örnekledi. Böyle olunca, paralel yaratıcı çözümlere yönelik ihtiyaçların da her zamankinden çok daha fazla olduğunu vurgulayan Başkaya, içinde bulunulan yapıyı ise şöyle tanımladı: “Bu noktadan baktığımda, eskisine göre çok daha az standardın olduğunu görmekteyiz. Bununla birlikte, kurumların yaklaşım olarak, güvenlik üreticilerini ve teknolojilerini konsolide ettiklerini görüyoruz. Yine katmanlı güvenlik olsun, ama birbirini anlayabilen ve yönetim ve raporlama kolaylığı getiren çözüm arayışları var.”
“En önemli konu; güvenlik açıkları yönetimi”
Güvenlik konusunda son zamanların en dikkati çeken ve hızla standart haline gelen konusu Güvenlik Açıkları Yönetimi. Kurumların artık güvenlik açıklarını belirleyip, bunları tıpkı diğer sistemler gibi yönetilebilir hale getirmek istediğine işaret eden Securist İş Geliştirme Koordinatörü Erhan Görmen, bunu yaparken hem sunucular gibi kritik varlıkları için, hem de tablet bilgisayarlar ya da akıllı telefonlar gibi teknolojinin iş için daha çok kullanmaya yönlendirdiği mobil varlıklarda yönetim sağlayan ürünlerin tercih edildiğini söyledi. Bulut bilişim gibi kullanılan hizmetlerde de aynı yönetimin yapılabileceğini söyleyen Görmen, “Belirlenen açıkları şirketler kendilerine göre kolaylıkla değerlendirebilir ve açıkların kapatılabilmesi için çağrı açıp, açığın durumunu izleyebilirler. Bu tür yönetim yazılımları sayesinde kurumlar risklerini de görüp zamanında önlem alabilir halde olmakta, bunun için minimum insan ve bilgi kaynağı gereksinimi duyulur, bu araçlarla öğrenim sağlanabilir” dedi.
“Kritik ve değerli bilgilerin şifrelenmesi standart olarak belirlenmeli”
Trend Micro Akdeniz Ülkeleri Güvenlik Danışmanı İnanç Ilgın, güvenlik konusunda yeni bir standart olmamasına rağmen, özellikle saldırıların bilgi ve para çalmaya odaklanması nedeniyle, bilginin şifrelenmesinin saldırganın bu bilgileri kurumdan bir şekilde çıkarsa bile, saldırganın bu bilgilere ulaşmasını ve herhangi bir şekilde kullanmasını engelleyeceğini söyledi. Dolayısıyla kurum için en kritik ve değerli bilgilerin şifrelenmesinin bir standart olarak benimsenmesi gerektiğini belirten Ilgın, “Ayrıca, güvenlik standartları oluşturulurken, mutlaka son kullanıcıların kendi mobil cihazlarını kullandığı ve kişisel bilgisayarlarını kurum ortamına getirdikleri göz önünde bulundurulmalı” hatırlatmasını yaptı. Ilgın şöyle devam etti:
“Güvenlik politikaları belirlenirken, sadece şirket içinde kullanılan bilgisayarlar, sunucular, uygulamalar değerlendirilmemeli, kurum sistemine mobil cihazı, kendi kişisel bilgisayarı ile erişen tüm kullanıcılar bu politikanın içine dahil edilmeli. Ayrıca, bulut bilişim kullanımı, şirket içinde bulut bilişim konusunda bir çalışma yapılacaksa, mutlaka güvenlik seviyelerinin buna göre belirlenmesini ve güvenlik politikalarının bu doğrultuda güncellenmesini gerektirmekte. Bulut bilişim kullanımında en büyük endişe; buluta taşınan bilgilerin güvenli bir ortamda saklanması, yani bilgilerin güvenliği. Bu nedenle bu bilgilerin nasıl güvende olacağı ve saldırılar sonrasında elde edilip edilemeyeceği konusunda güvenlik politikalarının güncelleştirilmesi ve eğer yoksa, güvenlik politikalarına dahil edilmesi gerekli.”
