Ağ mimarisi her türlü riske hazırlıklı olmalı

Clonera Hizmet Çözümleri Müdürü Doğan Yılmaz

Güvenlik başlığında alınması gereken önlemler, yapılacak yatırımlar, günlük işletim gibi konular şirketlerin bulundukları sektörlere, regülasyonlara, bilginin değerine, yapılarının ne kadar dış dünyaya açık olduğuna ve uygulamalarına göre farklılıklar gösterebiliyor. Yani finans sektörü ile turizm sektörünün bambaşka ihtiyaçları olabiliyor. “Bununla birlikte, temel güvenlik önlemleri düşünüldüğünde ortak bir çizgi olduğunu söyleyebiliriz” saptamasını yapan Clonera Hizmet Çözümleri Müdürü Doğan Yılmaz’a göre, güvenliğe bütünsel bakmak ve amaca göre hareket etmek önemli. Burada kurumsal sistemlerin ve son kullanıcıların bilgisayarları gibi sistemlerin güvenliğini bütünleşik olarak ele almak gerekiyor. “İlk akla gelen bileşenler Layer 7 seviyesinde koruma sağlayacak UTM’ler, antivirüs ve antispam uygulamaları olmalı. Bunların sürekli güncel tutulması, yeni tehditlerin takip edilip güncellemelerin yapılması kritik” örneğini veren Yılmaz, ekledi: “Son dönemde standart hale gelmeye başlayan SIEM uygulamalarının ürettiği bilgiler ve bunlara yönelik aksiyonlar da önemli.”

Hem dışarıdan hem şirket içerisinden gelebilecek güvenlik tehditleri karşısında, sunucu sistemlerinin hem dış dünya erişimlerini hem içerideki kullanıcı erişimlerini belirli ölçütlere göre kısıtlamak, segmente etmek, loglamak gerekiyor. Doğan Yılmaz, kurumsal güvenlik politikalarında öncelikleri şöyle anlattı:

“Mutlaka bir risk değerlendirmesi yapılmalı. İş ihtiyaçları ve sektörel regülasyonlar da göz önünde tutularak mümkün olan en optimum çözümü kurgulamak uzmanlık gerektiriyor. Bunun için bazı şirketler ve sektörlerde bilişim güvenliğine dair departmanlar oluşturulması olmazsa olmaz. Bunlar çoğunlukla mevcut BT departmanlarının altında konumlandırılıyor. Ancak, her iş kolunda şirketlerin böyle bir kaynak yatırımı yapması mümkün görünmüyor. Sunucuların, işletim sistemlerinin, uygulamaların güncel yamalara sahip olması önemli. Belirli prosedürler dahilinde tüm altyapının sürekli gözlenmesi ve güncellenmesi için gereken kaynak ve uzmanlığın sağlanması gerek. Şirketlerin kendi bünyesinde bilgi güvenliği odaklı bir ekip tutması her zaman mümkün olmadığı için, güvenliği “yönetilen hizmet” mantığında dış kaynak hizmet alımı şeklinde konusunda uzman hizmet sağlayıcılardan almak daha gerçekçi ve işe yarar bir yöntem ve maliyet avantajı. BT ekiplerinden beklenti de, doğru iş ortakları aracılığı ile bunların eksiksiz yapıldığını kontrol ederken, kendi kurumlarına rekabet avantajı yaratacak yeni projeler üretmeleri. Risk analizi sonrasında, konusunda uzman ekiplerle birlikte, eldeki bütçeyi de göz önünde tutarak gereken yapının mimari tasarımının yapılması ilk ve en önemli adım. Ancak bu sistemler kur-bırak mantığında çalıştırılamayacağı için sonrasındaki işletim de mutlaka detaylı düşünülmeli.”