Güvenlik politikası deyip geçmeyin!

Kurumlar için doğru bir güvenlik politikası oluşturulması büyük önem kazanıyor. Labris İş Geliştirme Yöneticisi Ertuğrul Kara da, bu noktada geleceği gören bir politika oluşturmanın gerekliliğine vurgu yaparak bunun da meşakkatli bir süreç olduğunu da belirtti. Öncelikle bu politikanın gerekliliğine inanmak ve bu doğrultuda insan kaynağı, teknoloji ve maliyet gibi 3 temel unsuru göz önüne alarak hareket etmek gerektiğinin altını çizen Kara, doğru bir güvenlik politikası için dikkate alınması gerekenleri de şöyle özetledi: “Sadece ilgili personel değil, kurumu meydana getiren tüm hücrelere bu politikanın gerekliliği ve şartları anlatılmalı.Diğer temel unsur da, teknoloji-maliyet dengesidir. Kurumun, güvenlik politikalarını en tanınır teknolojiyle değil, gereksinimlerine en uygun teknolojiyle temellendirmesi gerekir. Bu noktada, sorumlu kalifiye personele büyük görev düşmektedir. Politika oluşturmak bir süreç işidir.” Helyum Bilişim İş Geliştirme Müdürü Sinem Tirkeş de, güvenlik politikalarından söz edildiğinde genel şirket politikalarının yanında kullanıcı özellikleri göz önünde bulundurularak muhakkak bireysel ve grup bazlı politikaların da geliştirilmesi gereğine dikkat çekti. Tirkeş, şirket çalışanlarının da internet kullanımı, günümüz tehditleri ve bilgi güvenliğinin sağlanması için dikkat edilmesi gereken hususlar gibi önemli konularda bilinçlendirilmesinin gerektiğini de dile getirdi. Oytek Network ve Güvenlik Hizmetleri Müdürü Mazhar Turhan Karagülle’ye göre güvenlik politikaları belirlenirken uygulanabilir olmalarına dikkat edilmeli. Bir politikanın uygulanabilirliği araştırılmalı, değişiklikler yapılmalı. Güvenlik politikalarının izlenmesi ve düzenli olarak revize edilmesi gerektiğine vurgu yapan Karagülle, döngünün  bu şekilde devam ettirilmesi gerektiğini belirtti.

“Güvenlik politikası kullanıcılara çok iyi anlatılmalı, kurum içi eğitim verilmeli”

Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, güvenlik politikası planlanırken göz önünde bulundurulması gerekli olan ilk unsurun kurumun süreçlerinin kesintisiz ve sorunsuz çalışmasının temin edilmesi olduğu görüşünde. Bunu göz önünde bulundurarak kurum içi güvenlik gruplarının tespit edilmesi ile işe başlanması gerektiğini belirten Akkoyunlu, yapılması gerekenleri şöyle özetledi: “İlgili yetkilerin verilmesi, güvenliğe yönelik bir şifre oluşturma ve sürdürme yöntemi belirlenmeli, güvenlik cihazları ve yazılımlarının kullanım biçimleri doğru belirlenmeli ve doğru şekilde yönetilmesi sağlanmalı. Eğer ki kurum, bulut tabanlı hizmetler kullanıyorsa, burada tutulan verilerin güvenliği için hizmet sağlayıcı ile gerekli güvenlik tanımları konusunda bir düzen belirlenmeli. Erişim yetkilendirmesi granüler bir şekilde kurum politikasına uyarlanabilmeli.  Son olarak güvenlik politikasının verimli olabilmesi için kullanıcılara çok iyi anlatılmalı, gereken kurum içi eğitim verilmeli.”

“Statik çözümler üzerinde inşa edilmiş bir güvenlik politikasının sağlamlığından söz edilemez”

Ametis İş Geliştirme Müdürü Ömer Kartal’a göre güvenlik politikaları söz konusu olduğunda dikkat edilmesi gereken nokta statik çözümler yaklaşımı ile hareket edilmemesi olmalı.
Statik çözümler üzerinde inşa edilmiş bir güvenlik politikasının sağlamlığından söz etmenin demode bir yaklaşım olduğunun altını çizen Kartal, şu yorumlarda bulundu: “Gerçek güvenlik politikası ancak uygulanan mevcut politikayı gerçek hayattaki saldırganların gözünden görerek test etmekle oluşturulabilir. Bu nedenle hızla yaygınlaşan bulut sistemler de dahil olmak üzere çok katmanlı saldırıları kurumların kendi iç iş süreçleri haline getirmeleri gerekiyor. Core Impcat Professional bu anlamda kurumların elini güçlendirecek bilinen en güçlü çözüm. Güvenlik standartları noktasında ise kurumların kendi kaynaklarına yönelik zafiyet ve riskleri ölçümleyebilmelerinin uzunca bir süre en önemli konu olacağını düşünüyorum.”

Çalışanların bilinçlendirilmesi gerekli

İnforte Genel Müdürü Güngör Gündoğdu’ya göre de şirketlerin, yönetimleri BT birimleri ile beraber güvenlik politikalarını şirketlerin her bir departmanına yayarak eğitimler vermeli. Bilgi güvenliği konusunda tatbikatlar yapmalı, çalışanlarını şirket bilgilerinin korunmasına yönelik olarak bilinçlendirme çalışmaları yapmalı. Bulut bilişim ise  ticari faydalarının yanı sıra risk potansiyelleri açısından da değerlendirilmeli. Bulut hizmetlerinde servis seviyesi anlaşmaları olan  (SLA)’lerde doğru planlanmış bir anlaşmanın daha çok güven sağlayacağını belirten Gündoğdu,  “Hizmetin yaşam döngüsünde bu çok önemli. Güvenlik politikalarının hem servis sağlayıcı özelinde, hem de bulut bilişim servislerini kullanan şirketlerin özelinde yapılanması iş sürekliliğini de beraberinde getirecek ve bu tür servislerin katma değerleri gelecekte daha da vazgeçilmez olacaktır” yorumunda bulundu.

“Güvenlik politikası için  öncelikle sistemde dolanan verinin yoğunluğu göz önünde bulundurulmalı”

Webroot Security Teknoloji Danışmanı Sedat Çolak’a göre güvenlik politikaları konusunda göz önünde bulundurulması gereken farklı noktalar var. Güvenlik politikalarını belirlerken öncelikle sistemde dolanan verinin yoğunluğunun göz önünde bulundurulması gereğine dikkat çeken Çolak, akan veri boyutu ne kadar büyükse ortama getireceği güvenlik risklerinin de o kadar büyük olacağını hatırlatarak şu noktalara dikkat çekti: “Trafiğinizi denetledikten sonra ortamınızda çalışan kullanıcıların bilgisayar kullanım profillerini belirlemeniz gerekir. Hangi çalışan ne ölçüde bilgisayar kullanabiliyor ve/veya teknolojiye ne kadar hakim bunları da net bir şekilde değerlendirmelisiniz. Bulut bilişim bütün güvenlik zaaflarını ve sorunlarını kendi üzerine çektiği için işletmelerin düşünmesi gereken çok fazla madde kalmıyor.”

Kurumlar güvenlik politikalarını belirlerken öncelikle risk bazlı bir yaklaşım içinde olmalı

Biznet Genel Müdür Yardımcısı ve Baş Danışmanı Onur Arıkan’a göre kurumlar güvenlik politikalarını belirlerken öncelikle risk bazlı bir yaklaşımı kullanmalı. Kurumun kültürüne uygun ancak güvenlik açısından da bir boşluk yaratmayacak bir yapı kurgulanması gereğine vurgu yapan Arıkan, “Bilgi güvenliğinin teknik ve yönetsel bir süreç olduğu bunun bir seferlik bir yapılanma değil  artık şirketin bir yaşam tarzı olarak devrede olması  gerektiği unutulmamalı” diye konuştu. İnsan faktörünün de güvenlik açısından son derece kritik olduğunun dikkate alınması gerektiğini belirten Arıkan, sözlerini şöyle devam etti:
“Farkındalığın tüm şirket personeline yaygınlaştırılmasını sağlamaya yönelik eğitim programları uygulanmalı. Bilginin şirketin kendi yerleşkesindeki değil, internetteki sistemlerde tutulması ilk başta güvenlik açısından tedirgin edici gelebilir. Ancak gerekli güvenlik önlemlerinin alınması ve olayların sürekli izlenmesi ile bu durumun güvenliğin sağlanması açısından bilginin şirket merkezinde tutulmasından çok farklı olmadığını söyleyebiliriz.”