Sırt dönülemeyecek gerçek, stratejik plan ister

Kurumsal bilgilerin güvenliği, kurumsal işlerliğin de devamını sağlıyor. Ama özellikle son yıllarda güvenlik risklerinde artış ön planda. Bu da, şirketlerin bilgi güvenliğine, bunu sağlamak için tercih ettikleri uygulamalarda farklı bir mantık ve bakış açısıyla hareket etmelerini gerekli kılıyor. Kılıyor ama, acaba kaç şirket bu gerçeğin farkında?
Turkcell Global Bilgi İç Denetim ve Bilgi Güvenliği Müdürü Temel Tokgöz’e göre, günümüzde kuruluşların, bilgi güvenliği ile ilgili risklerin farkında olup bu risklerden kaçınmak için gerekli bilgi güvenliği tedbirlerini almaları şart. 4S Ürün Teknoloji Danışmanı Mehmet Özpolat’a göre de insanlık tarihi boyunca güvenlik, tercihten çok, her zaman bir gereklilik oldu. Bugün ise güvenlik, can ve mal güvenliği ile beraber, ‘bilgi’nin korunması adına çok önemli bir yere sahip. Özpolat, bilgi güvenliğinin artık kurumlarla birlikte devlet politikası haline geldiğini de hatırlattı. ASES Bilgi Güvenlik Teknolojileri Genel Müdürü Cengiz Güler de güvenliğin, insanoğlunun var olduğu günden beri gündeminde olan bir olgu ve ihtiyaç olduğuna dikkat çekerken ekledi: “Kurumsal bilgi güvenliği uygulamaları gerekliliğin ötesinde, artık olmazsa olmaz ön şart.”
“Şirketlerin veya kamu kuruluşlarının bilgi güvenliğini kurumsal boyutta ele almamak ve bu bağlamda kurumsal bilgi güvenliği çözümlerini kullanmamak gibi bir lüksleri yok” diyen Türktrust Genel Müdürü Dr. Tolga Tüfekçi, kurumsal zorunluluğu şu sözlerle anlattı: “Konuyu içselleştiremeyen kuruluşların uzun dönemde var olması mümkün olmayacak. Bilgi güvenliğinin gerektiği gibi sağlanamadığı kuruluşlarda, güvenli ticari faaliyetlerden de, güvenli hizmetlerden de söz edilemez.”
Tercih değil, her açıdan bir gereklilik
İnforte Ağ Güvenlik Uzmanı Erdem Kara’ya göre, bilgi güvenliği, sosyal ve ekonomik anlamda teknolojinin hayatla içiçe olmaya başlaması ile birlikte bir tercih olmaktan çıktı. Bilgi güvenliğine duyulan ihtiyaç; yeni eğilimler ve düzenlemeleri de beraberinde getirdi.
Barikat İnternet Güvenliği Genel Müdürü Dr. Okan Yücel de ekledi: “Kurumsal bilgi güvenliği uygulamalarını kullanmak bir gereksinim. Son dönemdeki gelişmeler gösteriyor ki; aksi şekilde düşünen kurum ve kuruluşlar ciddi imaj kaybı yaşadı.” Selex Komünikasyon Sivil Sektör Satış ve Program Yönetimi Başkan Yardımcısı İlter Ferah, bilginin öneminin giderek arttığına dikkat çekerek, bunun doğal bir sonucu olarak da, ‘bilginin güvenliği’nin, şirketlerin gündeminde ilk sıralarda yerini aldığını belirtti. Ferah şu detayları paylaştı:
“Bilginin sanal ortamda depolanması son on yılda büyük artış gösterdi. Dolayısıyla bilgiye erişim hızlandı ve kolaylaştı. Bunlara paralel olarak bilginin taşınması da kolaylaştı. Bu yüzden sanal ortamda tutulan bu bilgilerin yetkisiz kişi ya da kurumların eline geçmesi ciddi bir tehdit. Faaliyet alanı ne olursa olsun, KOBİ veya büyük şirketler ile kamudaki tüm kurumların bilgi güvenliği ile ilgili mekanizmalarını oluşturmaya başlaması bir zorunluluk.”

Hayatımıza giren her yeni teknolojinin, her kolaylığın kendine özgü sorunları da beraberinde getirdiğine dikkat çeken Destek Bilgisayar Genel Müdürü Oğuz Tamer Tunçel, “Önce internet, son yıllarda da mobil cihazlar bilgi güvenliğine bakış açımızı değiştirdi, ya da en azından değiştirmeli“ hatırlatmasını yaptı. Tunçel eklemeden geçmedi: “Mobil cihazlardan şirket uygulamalarımıza erişmemiz ne kadar gerekli ve vazgeçilemez bir özellikse, bunu yaparken bilgi güvenliği için bir politikamız olması ve önlemler almamız da gereklilik. Yani bir çözümümüz mutlaka olmalı, soru bu çözümün ne olacağı.”
İş sürekliliği ve kurumsal itibarın anahtarı
E-Güven Genel Müdürü Can Orhun, bilgi güvenliği konusuna başta bankacılık olmak üzere yüksek güvenlik gerektiren birçok işlemin internet üzerinden gerçekleştirilebilmesi ışığında yaklaştı. Bu nedenle şirketlerin, hizmet verdikleri kişilerin kimliklerini doğru bir şekilde tespit etmelerinin önem taşıdığını söyleyen Orhun’a göre, kurumsal bilgi güvenliği uygulamaları artık tercihten öte, her kurum için bir gereklilik. Itway VAD Türkiye Ürün Müdürü Korman Akman da günümüzde kurumların iş sürekliliğini ve itibarını korumak adına kurumsal bilgi güvenliği uygulamaları kullanmasının gereklilik haline dönüştüğünü belirtti ve “Kurumların, bilgi sistemleri süreçlerini inceleyerek tehditleri ve riskleri belirlemesi ve bu riskleri kabul edilebilir bir seviyeye indirebilmesi için alınacak karşı önlemlerin tespit edilmesi gerek” diye ekledi. HP Türkiye Yazılım Ülke Müdürü Nil Bağdan ise şu yorumu yaptı:
“Kablosuz internet bugün akıllı telefonlar, POS makineleri, tabletler gibi mobil cihazlarla veri merkezlerine erişimi kolaylaştırıyor. Bu da veri merkezlerinin kötü amaçlı yazılımlardan etkilenmesi ve şirketlere siber saldırı düzenlenmesi riskini artırıyor. Şirketlerin bilgi güvenliğini kurumsal bir anlayışla ele alması gerek. Bunun için BT sistemleriyle operasyonel faaliyetlerin bir arada düşünüldüğü, kademelendirilmiş profesyonel çözümlerin geliştirilmesi gerekiyor. Dolayısıyla kurumsal güvenliği ‘Risk Yönetimi, BT Yönetişimi ve Güvenlik Zekası’nın bir arada düşünüldüğü kapsamlı bir çözüm olarak değerlendirmek gerek.”
Trend Micro Akdeniz Bölgesi Ülkeleri Pazarlama Müdürü Sibel Yılmaz tehditlerin odak noktasının taşınabilirliğe ve hedefli saldırılara kaydığına işaret etti. Yılmaz şöyle devam etti:
“Tehditler ve siber suçlu saldırıları daha önce eşine rastlanmamış hacim, çeşit ve hız seviyesine çıktı. Bu değişiklikler, daha akıllı ve hızlı güvenlik önlemine olan ihtiyacı ortaya çıkardı. Yeni tehdit yapısı ve bulut bilişimdeki riskler göz önüne alınarak gerekli teknolojileri kullanan çözümlerle ve çoklu seviye güvenlik önlemleri ile riskler oldukça azaltılabilmekte.”
IBM Security Systems Doğu Avrupa, Rusya ve Türkiye Bölüm Müdürü Hakan Turgut da cihazlar arasındaki bağlantı ışığında konuya yaklaştı. “2015’e gelindiğinde dünyada birbirine bağlı 1 trilyon aygıt olacağı öngörülüyor” diyen Turgut, madalyonun iki yüzünü “Tüm bu istihbarat muhteşem fırsatlar doğurabileceği gibi, kurumların acil olarak ele alması gereken güvenlik zaaflarını da beraberinde getiriyor. Dolayısıyla bu artık bir tercih değil zorunluluk halinde gelmiştir” sözleri ile anlattı.  Turgut, şirketlere şu önerilerde bulundu:
“Düzenli olarak güvenlik değerlendirmeleri gerçekleştirmek, hassas sistemleri ve bilgileri kesimlere ayırmak, son kullanıcıları şifre çalma, belirli bir kişi ya da kuruluşu hedef alan şifre çalma ve genel olarak güvenli bilgi işlem ilkeleri konusunda eğitmek ve çözüm ortaklarının izlediği politikaları incelemek önemli olacak.”
Servodata Güvenlik Yazılımları Uzmanı Sedat Çolak’a göre ise bilgi güvenliğini kurumsal ya da bireysel olarak nitelendirmek güvenlik zaafı oluşturur. Bu nedenle verinin türü ve mahretmiyeti analiz edilmeli ve bu anlamda bir güvenlik prosedürü oluşturulmalı. Çolak ekledi: “İşletmelerin ve kurumların veri güvenliği altyapılarını bir an önce oluşturmaları ve risk analizlerini yaparak tehdit unsurlarını minimum seviyelere çekmeleri gerek.”

“Tehditler daha tehlikeli oluyor”

Biznet Bilişim Genel Müdür Yardımcısı Haluk Aydın’a göre, aslında dün de, bilgi güvenliği uygulamalarını kullanmak bir gereklilikti, bugün ise bu gereklilik mevcut dinamiklerin oluşturduğu gerçek bir sonuç. “Eskiden farklı olarak, günümüzde tehditlerin sayısı, çeşitliliği ve şiddetinde bir artış söz konusu” diyen Aydın, “Bu artış, günümüz tehditlerini daha da tehlikeli hale getiriyor” yorumunu ekledi. Aydın şu detayları paylaştı:
“Artık gündemimizde ülkelerarası siber savaşlar var. Stuxnet solucanının İran nükleer tesislerini etkilemekte başarılı olması ve sürekli yinelenen Anonymous saldırıları gibi güncel tehditler,  mevcut risklerin ciddiyetinin giderek arttığının bir göstergesi. Kendini korumak durumunda hisseden her kurum için bilgi güvenliği uygulamalarının artık vazgeçilmez konuma gelmesi, içinde bulunduğumuz konjonktürün doğal bir sonucu.”

Siber suçun değişen yapısına dikkat

Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, kurumsal bilgi güvenliği uygulamalarının bir gereklilik halini aldığını şu bilgilerle örnekledi: “2010’da küresel olarak 7 milyar dolarlık zarara neden olan siber suç dünyası, 2011’de parasal hacmini 12.5 milyar dolarlık büyüklüğe taşıdı.” Akkoyunlu’ya göre, siber suç, birkaç haklayıcının şaka yapma, intikam alma ya da günü kurtarma yöntemi olmaktan çıkmış durumda. Büyük rakamların döndüğü siber suç uygulamaları, organize gruplar tarafından yapılıyor. İş dünyasının tablet ve akıllı telefonlarla, profesyonel amaçlı mobil internet kullanımını artırması, siber suçlular için yeni saldırı alanları yaratıyor. Büyüyen çevrimiçi alışveriş ve sosyal medyanın artan oranda profesyonel kullanımı, Türkiye’yi hedef haline getiriyor. Akkoyunlu ekledi: “Ulaştırma Bakanlığı verilerine göre her dört ekonomik suçtan biri internet üzerinden işleniyor. Kurumlar açısından farkındalık önemli. Bu nedenle kurumların profesyonel hizmet alarak, yapılarına uygun güvenlik çözümleri kullanmalarını tavsiye ediyoruz.”

“Güvenlikte destek alınmalı”

Helyum Bilişim Genel Müdürü Murat Göçe’nin dikkat çektiği gibi, çok fazla kurum saldırıya uğruyor, prestij kaybediyor, maddi ve manevi hasarlarla karşılaşıyor. Üstelik biz buzdağının üstünü görüyoruz. Çünkü birçok kurum saldırıya uğradığını saklıyor ya da uzun süre farkında olmuyor. “Zincirin en zayıf halkası insan” diyen Göçe, şöyle devam etti:
“Çalışanların eğitilmesi atılması gereken ilk adım. İkinci adım da kurumların kendi bilgi değerleri ve bu bilgileri korumakla yükümlü çalışanlarının özelliklerine göre çıkaracakları kurumsal güvenlik politikası. Bunun ardından gerekli yazılım ve donanımlar konusu incelenmeli ama en önemli konu; kurumların bu işi yapacak teknik kadroları güvenlik konusunda çok bilgili değil ise mutlaka dışarıdan destek almaları gerek. Bu desteği verebilecek çok şirket var ülkemizde.”

Şirketin değeri, sahip olduğu bilgiye bağlı

Symantec Güneydoğu Avrupa ve Türkiye, Bölge Teknoloji Müdürü A. Burak Sadıç, bilgi güvenliğinin kurumlar için önemini, yaptıkları bir anket ışığında, şu sözlerle anlattı:
“2012 yılında, dünya genelinde 36 ülkede, 4 bin 500’den fazla kurumun yöneticileri ile yaptığımız bir anketin sonucunda bu kurumlar için bilginin, kurumun toplam değerinin yüzde 49’una karşılık geldiğini tespit ettik. Bu rakamdan yola çıkarak, bilginin 1,1 trilyon dolar değerinde olduğunu söylemek mümkün. Her kurum bu en değerli varlıklarını korumak için hem fiziksel hem de sanal önlemler almak zorunda ve bu artık bir tercih değil, gereklilik.”