Güvenlik inşasında önce şirketi tanımalı

Bilgiyi korumak için kurumsal bazda sürekliliği olan, ince detayına kadar düşünülmüş adımlar atılması gerektiği ortada. İşte bu gereklilik, sektöre, şirketin ölçeğine, karşı karşıya olunan riskler ve düzenlemelere göre detaylandırılmış güvenlik uygulamalarını öne çıkarıyor. Barikat İnternet Güvenliği Genel Müdürü Dr. Okan Yücel, bu noktada önemli bir ayrıma dikkat çekti: “Şirketler bilgi güvenliği uygulamalarını temin etme işlemini, diğer mal alımları ile karıştırıp, ‘En ucuz ürün, en iyi üründür’ mantığından kurtulmalı ve güvenliğin sadece ürün ile sağlanamayacağının bilincinde olmalı. En iyi güvenlik ürünlerinin, en iyi ürün desteği ve eğitimi ile alınıp, en iyi danışmanlık ile tamamlandığı durumda kurum güvenliğinin gerçek anlamda artabileceği ve yapılan yatırımın boşa gitmeyeceği hesaba katılmalı.”
Symantec Güneydoğu Avrupa ve Türkiye, Bölge Teknoloji Müdürü A. Burak Sadıç’ın dikkat çektiği gibi, bilgi güvenliği politikaları oluşturulurken dikkat edilmesi gereken en önemli unsur, bu politikaların stratejik hedefleriyle örtüşmesi olmalı. Özellikle rekabete karşı avantaj, kurumun ticari çıkarları, kanun ve yönetmeliklere uyumluluk başlıklarının göz ardı edilmemesi gerektiğine işaret eden Sadıç, “Güvenlik politikaları bilginin bulunduğu ortamdan bağımsız şekilde, kurumun iş önceliklerine uygun olarak gizliliği, bütünlüğü ve erişilebilirliği sağlamaya yönelik olmalı. Bilgi güvenliği uygulamaları ise bu güvenlik politikalarına uygun, onları tamamlayıcı ve destekleyici şekilde temin edilmeli” dedi.
İnforte Ağ Güvenlik Uzmanı Erdem Kara’ya göre, FIPS, PCI DSS gibi sektörel düzenlemelerin bilinmesi ve bunlara uyulması esas. Ayrıca gerçekleşeceği aşikar olan Ipv4 Ipv6 geçişi, bulut bilişim gibi teknolojik geçişlere ve düzenlemelere hazır olunması da şart.
Biznet Bilişim Genel Müdür Yardımcısı Haluk Aydın’a göre de her kurumun önceliği farklı. Bu nedenle, her kurumun kendi iş ihtiyaçları doğrultusunda bir risk değerlendirmesi yapması, en kritik varlıkları, bunlara yönelik tehditleri ve bunların muhtemel etkilerini incelemesinin yanı sıra, bu riskleri önceliklendirmesi ve güvenlik önlemlerini yüksek riskli varlıklardan başlayarak uygulaması gerek. Bilgi güvenliği uygulamalarını temin etmek kadar, alınacak önlemlerin sürekli gözden geçirilmesini ve güncellenmesini sağlayacak süreçlerin sürekliliğini sağlayabilmek de önemli.
Kurum bütününde farkındalık, güç demek
Itway VAD Türkiye Ürün Müdürü Korman Akman’ın da dikkat çektiği gibi, bilgi kağıt üzerinde yazılı olabilir, elektronik ortamda saklanabilir veya e-posta ya da çeşitli yollarla internet bulutu üzerinden paylaşılabiliyor. Kurumlar için öncelikli olan ise gizli bilginin tanımlamasını yapabilmek, bu tanımlama yapıldıktan sonra bu bilginin bütünlüğünün korunması ve erişebilirliğinin sağlanması.
E-Güven Genel Müdürü Can Orhun da, şirketler bilgi güvenliğini sağlamak için önlemler alırken, edindikleri bilgi güvenliği çözümünün, güncel bilgi güvenliği sorunlarına karşı etkili olup olmadığına dikkat etmesi gerektiğini hatırlattı. Çünkü Orhun’un da dikkat çektiği gibi, bilgi güvenliğine yönelik yazılım, donanım, prosedür ve standartlar, ortaya çıkan tehditlerin çeşitliliğine ve yoğunluğuna göre sürekli olarak yenilenmekte. Türktrust Genel Müdürü Dr. Tolga Tüfekçi, güvenlik konusunda kurum bütününde farkındalığın önemine dikkat çekti ve ekledi: “Eğitim ve farkındalık, bilgi güvenliğinin ‘kurumsal kültürün’ bir parçası halinde gelmesi önemli. İkinci tavsiyemiz ise, kalite perspektifiyle yürütülecek bir çalışmayla risklerin sıralanması ve ona göre tedbirlerin alınması. Bu bir uzmanlık işi ve şirketler bu alanı böyle görmeli.”
“Çalışanların eğitilmesi, atılması gereken ilk adım” diyen Helyum Bilişim Genel Müdürü Murat Göçe’ye ek olarak, IBM Security Systems Doğu Avrupa, Rusya ve Türkiye Bölüm Müdürü Hakan Turgut ise sektörel gerekliliklere şöyle örnek verdi:
“Temelde finans, telekom sektöründe faaliyet gösteren şirketler ve bazı büyük holdingler bu alanda gelişmiş teknolojileri kullanıyor. Türkiye bölgede özellikle finans ve telekom sektöründe düzenlemelerde en sıkı kurallara sahip ve kuralların ciddi olarak denetlendiği bir ülke. BT’ye önem veren ve internetin yarattığı fırsatları kullanmak isteyen tüm kurum ve kuruluşların her şeyden önce düşünmesi gereken, güvenlik konusunu daha ciddi ele almaları gerektiği.”
Servodata Güvenlik Yazılımları Uzmanı Sedat Çolak’da, veri güvenliğinde hizmet veren hiçbir marka ürün hazır bazı ilkelerle şirkete gelmez. Çünkü ortamdaki verinin büyüklüğünü, mahremiyetini ve taşıdığı riskleri bilemezler. Veri güvenliği ile ilgili bir yatırım yapmadan önce uzun süreli test kullanımına dikkat edilmesi gerektiğini söylüyor ve “Mahremiyeti yüksek olmayan veriler üzerinde senaryolar yazılarak ürünün kabiliyetleri anlaşılmalı” diyor. ASES Bilgi Güvenlik Teknolojileri Genel Müdürü Cengiz Güler de konunun risk analizi bölümüne şu sözlerle vurgu yaptı: “Şirketlerin öncelikle BT varlıkları üzerinde bulunan bilgilerinin risk analizini doğru yapmaları gerek.” Trend Micro Akdeniz Bölgesi Ülkeleri Pazarlama Müdürü Sibel Yılmaz da, mobilite ve bulut riskini hesaplamak gerekliliğini şöyle vurguladı: “Güvenlik politikaları belirlenirken, sadece şirket içinde kullanılan bilgisayarlar, sunucular, uygulamalar değerlendirilmemeli, kurum sistemine mobil cihazı ile erişen, kendi kişisel bilgisayarı ile erişen tüm kullanıcılar bu politikanın içine dahil edilmeli. Kurum içinde bulut bilişim konusunda çalışma yapılacaksa, mutlaka güvenlik seviyelerinin buna göre belirlenmesi ve güvenlik politikalarının bu doğrultuda güncellenmesi gerek.”

Performansı artıran çözümler zamanı

Symantec Güneydoğu Avrupa ve Türkiye, Bölge Teknoloji Müdürü A. Burak Sadıç, bilgi güvenliğinin kurumlar için önemini, yaptıkları bir anket ışığında, şu sözlerle anlattı:
“2012 yılında, dünya genelinde 36 ülkede, 4 bin 500’den fazla kurumun yöneticileri ile yaptığımız bir anketin sonucunda bu kurumlar için bilginin, kurumun toplam değerinin yüzde 49’una karşılık geldiğini tespit ettik. Bu rakamdan yola çıkarak, bilginin 1,1 trilyon dolar değerinde olduğunu söylemek mümkün. Her kurum bu en değerli varlıklarını korumak için hem fiziksel hem de sanal önlemler almak zorunda ve bu artık bir tercih değil, gereklilik.”

Bilinçli adım atmak şart

Destek Bilgisayar Genel Müdürü Oğuz Tamer Tunçel, “Mobil cihazlarımızdan kurumsal uygulamalarımıza erişirken alabileceğimiz en iyi önlem bu cihazlarımız üzerinde kendimize özel bir tünel açıp, iletişimimizi bu tünel üzerinden yapmak, yani VPN kullanmak” dedi. Tunçel şöyle devam etti:
“Bilgi güvenliğinin sağlanması için zararlı yazılım ve ataklara karşı birçok uygulama geliştirilmiş ve geliştirilmeye devam edilmekte. Bunlar proaktif bir şekilde önlem alırken, ihtiyaç duyulan güvenliği sağlamakta. Eğitim, seminer ve konferanslarla bilgi güvenliği konusunda şirketlerin bilinçlendirilmesi ve bilgi güvenliğinin gerekliliğinin ne kadar önemli olduğunun anlatılması gerek. Bilgi güvenliğinin nasıl sağlanacağına bu konuda uzmanlaşmış kişilerin yapacağı incelemeler ve testler sonrasında karar verilmeli.”

Güvenlikte dinamik ‘süreç farkındalığı’

4S Ürün Teknoloji Danışmanı Mehmet Özpolat, bilgi güvenliğinin dinamik bir süreç olduğuna dikkat çekti ve şöyle devam etti:
“Bilgi güvenliği yatırımlarının, analizi yapılan riskler ile doğru orantılı olması, boşa yapılan harcamaların önüne geçer. Yapılan birçok araştırma ciddi güvenlik açıklarının, yapılan çok basit hatalardan kaynaklandığını göstermekte. O nedenle güvenlik uygulamalarını belirlerken çok basitten daha karmaşık yapılara ilerlemek daha doğru bir yöntem olur. Bir husus da belirlenen politikaların sürdürülebilir olduğundan emin olmak.”

Çözüm ortağı ile uyumlu ilerleyiş

“Oluşturulacak güvenlik çözümleri her kurum ya da sektör için farklı olarak şirketin iş akış süreçlerine göre değişiklik gösterecektir” diyen Selex Komünikasyon Sivil Sektör Satış ve Program Yönetimi Başkan Yardımcısı İlter Ferah’a göre, öncelikle sanal ortamdaki bilgi doğru şekilde sınıflandırılmalı ve erişim yetkileri kurumsal yapıya göre doğru şekilde tanımlanmalı. Bilgi güvenliğinin bir süreç olduğu asla unutulmamalı ve bu süreç esnasında kurumu, ihtiyaçlarına göre, doğru yönlendirebilecek bir çözüm ortağı belirlenmeli.

Riskleri ölçebilmek gerek

Turkcell Global Bilgi İç Denetim ve Bilgi Güvenliği Müdürü Temel Tokgöz, öncelikle faaliyet gösterilen ülkenin yasal gereklilikleri, sektörel mevzuatları, tabi olunan regülasyonlar, müşteriler ve diğer taraflarla imzalanan sözleşmelerin dikkate alınması gerektiğini belirtti ve şunları söyledi:
“Daha sonra, kurumun doğası gereği mevcut olan veya süreçlerdeki aksaklık, uyumsuzluk, eğitimsizlik, altyapısal sorunlar, kötü niyet gibi nedenlerle oluşabilecek riskler belirlenmeli. Bu çalışma için herhangi bir risk analizi metodolojisi seçilebilir veya kurum kendi metodunu geliştirebilir. Önemli olan riskleri ölçülebilir ve karşılaştırılabilir şekilde ifade edebilmek ve bunu standart hale getirebilmek.”