Bakış açısında değişim emniyetin de temeli

Güvenlik konusunda gelişen risklere karşı yepyeni güvenlik önlemlerini kurumsal BT’de konumlandırmak iyi güzel, ama geleneksel ölçütlerle bunların faydasını ölçmek yerine proaktif olmak, çözümden ziyade bakış açısını geliştirmek de şart. 
 
Kurumsal güvenlik yapısında gelinen noktayı değerlendiren Palo Alto Networks Başkan Yardımcısı ve EMEA Bölgesi CSO'su Greg Day’e göre, güvenlik profesyoneli eksiği konusunda artan bir farkındalık var. Yine de, aşırı bilgi yüklemesi yüzünden birçok şeyin, ‘olduktan sonra fark edildiği’ gerçeğine dikkat çeken Greg Day, “Tipik bir şirkette ayda 10 binden fazla güvenlik olayı gerçekleşiyor. Buna karşılık şirketler, güvenlik açısından ellerinde ne olduğundan çok, gerçekte nasıl kullandıklarına bakıyor. Bence konu burada yine siber güvenliğin ana prensiplerine geliyor” eleştirisini yaptı.  Ana prensipten kasıt ise ‘engellemek’. Bunun arkasındaki ilk itici güç ise teknik olarak daha verimli bir yapıya geçme ihtiyacı. Greg Day’in burada da gereksiz ve verimsiz iş yükü odaklı eleştirisi net: “Örneğin, çoğu şirket güvenlik değerlendirmelerini uygulamadan önce muhtemelen trafiği sınır noktasında, belki 6-7 kez deşifre ediyor. Bu, evrimsel olması gereken bir alan için çok verimsiz. Aslında bir kere deşifre edilmeli, her şeye parça parça bakmaktansa birlikte aranmalı. Gerek değişen tehditler, gerek dijital değişim ve düzenlemeler yüzünden şirketler bence siber güvenlik mücadelesine olan yaklaşımlarını değerlendirmeye ve yaşadığımız dünya ile gördüğümüz tehditler kadar dijital olmaya itiliyor.” Yani hangi BT yapılarını kullandığınız değil, nasıl bir bakış açısı ve önceliklendirme ile en güncel risklerle savaştığınız bu devirde önemli. İstanbul ziyareti ışığında Türkiye pazarı hakkındaki yorumlarını da paylaşan Greg Day, sorularımızı yanıtladı:

Küreselde olduğu gibi Türk şirketlerinde de maliyet ve yönetim avantajı odaklı sanallaştırma ve bulut bilişim ilgisi artıyor. Çözümlerinize yönelik ilgi ışığında Türkiye pazarını küresel pazarla nasıl kıyaslayabiliriz?
İstanbul ziyaretimde de benzer tartışmalar yaptık. Tartışmanın ilk konusu doğu-batı trafiği. Şirkete giren ve çıkan bilgiler olarak bir ‘kuzey-güney trafiği’ fikri vardı. Şimdi de şirket için hareket eden bilgiler olarak doğu-batı trafiği fikri var. Sunucuların kurulup kapatılabildiği sanallaşan dünyada çok düzlemsel bir yapı kurulduğunu görüyoruz. Bu ‘çok hassas’ bilgilerin ‘hassas olmayan’ bilgiler ile yan yana olabileceği anlamına geliyor. Ama çalışma sırasında bu ortamları kurup kapatırken, ilgili kontrollerin yerleştirildiğinden de emin olmalıyız. O yüzden risk yönetimine odaklanırken, nasıl dijital olarak yenilikçi çalışma ortamı kuracaklarının da dengesini bulmaya çalışıyorlar. Bunun için doğru işbirlikleri arayışındalar. Entegre bir yapı için bizim gibi güvenlik sağlayıcılar ile bu ortamları sunan teknoloji sağlayıcıları arasında yapılan işbirlikleri var.
 
Avrupa Birliği (AB) düzenlemeleri burada nasıl bir yere sahip?
Yeni AB düzenlemeleri arasında olan, tasarım ile güvenlik ve kendinden güvenlik kavramlarını vurgulayan bir kavram. Bu ortamlarda güvenliğin çalışması için uyarlama yapmak zorunda kalmamalıyız; bunlar doğal olarak entegre olmalı. İşletmeler daha karmaşık hale geldikçe mikro-segmentasyonu kolayca yerleştirmek mümkün oluyor. Bu durumda işletme diyebilir ki, “Düşük seviye bilgilerin yanında, kritik bilgiler de olabilir. İşletmemin merkezinde olması gereken tedarik zinciri veya başka ortaklarım olabilir, ama onlara sadece ihtiyacı olan bilgilere erişim verip, diğer bilgilere erişim vermek istemiyorum”. Bulut, Avrupa’nın büyük bir kısmı için ilginç bir ikilem ve gördüğüm kadarıyla Türkiye’de de öyle. Buluta geçmek için bir istek ve hatta birçok yönden baskı var.
 
Baskının kaynağı ne? 
Bulut esneklik ve uygun maliyet ile ilgili. İstanbul’da yaptığımız bazı tartışmalar, yerel şirketlerin buna hazır olup olmadığı, uygulamalarının ve kaynaklarının buluta uyumluluğu ile ilgiliydi. O noktaya varmak için daha çalışmak gerektiğini gördük. Sonra daha geniş bir tartışma konusuna geçtik: “Değişen düzenlemeler ile gizlilik konusunda kaygı yaşamadan verileri nerede depolayabilir ve barındırabiliriz, bu bulut nerede olabilir?” Bulutun yerini ne kadar daraltırsanız, çoğu zaman maliyeti de o kadar artıyor. O yüzden şirketlerin, buluta geçmenin doğal bir adım olması konusunda hazır olup olmadıkları çevresinde denge noktası var. Buluta geçmenin arkasındaki motivasyona dönersek; bulutun yeri, olgunluğu ve bunların getirdiği maliyet ile uyumluluk, gizlilik ve bunların çevresindeki gereklilikler arasındaki dengeyi ele aldığımız zaman, buna gerçekten değip değmediği önemli.
 
Öncelikleriniz ve stratejiniz hakkında bilgi verir misiniz?
Uzun vadede hedefimiz internetin iş yapmak ve tüketiciler ile etkileşim halinde olmak için güvenli olduğu konusunda güven sağlamak, ihlallerin güveni azaltmasını nasıl engelleyebileceğimizi belirlemek. Konu tamamen ‘önlemeye’ odaklanmak ve bunun için yapılabilecek çok fazla şey olduğuna inanıyorum. Bu, dünyayı çok daha iyisini yapabileceğimiz konusunda eğitmemiz gerektiği anlamına geliyor. Avrupa için önümüzde yeni bir düzenleme var ve bu da güvenlik profesyonellerine düşünme fırsatı verecek. Birçok şirketin güvenlik teknolojileri ve uygulamaları, kullandığımız arabalardan eski. Durup “Teknolojiyi kullanma tarzımızdaki temel prensipleri ve buna karşı güvenliği nasıl uygulayacağımızı yeniden değerlendirelim” diyebilmek, hem bugün hem gelecek için uygun olanı tasarlama fırsatı sunuyor. Bizim için öncelik; platformumuzu interneti kullanma şeklimize uygun, tehdit önlemede otomatik ve etkin olacak şekilde genişletmek. Geçmişten öğrenebileceğimiz bir ders varsa, o da sorunları teker teker çözemeyeceğimiz.
 
Bunun sebebi ne?
Çünkü çok fazla insan müdahalesi gerektiren bir şey yaratıyor, bulutun geleceğine ve Salesforce.com, Concur, Workday gibi onaylı SaaS uygulamalarını nasıl etkinleştirmeye başlayabileceğimize odaklanıyoruz. Bulutun geleceğine ve üzerinden IoT’ye bağlanacak daha geniş teknolojilere nasıl bakmaya başlayabiliriz? Bu, platformu modern faaliyet ve teknolojiyi kullanma şeklimize nasıl yaydığımız ile ilgili. Bunun arkasındaki en büyük zorluklardan biri aşırı bilgi yüklemesi. Karşılaştığı zorlukları anlamak isteyen tüm şirketler için temel gereklilik olan AutoFocus teknolojisini bu yıl çıkardık. Türkiye’de saldırı hacminde 10 kat, saldırı çeşitliliğinde üç kat artış gözlemledik. En önemli büyümeyi ise fidye yazılımlarda gördük. Sorunu anlamak, onu çözmeye çalışmanın tek yolu. Faaliyet gösterdiğimiz dünyalara uygun olan doğru istihbarata sahip olmak önemli.

Düzenlemeler, hangi paydaşlarla ne kadar etkili olabilir?
Öncelikle, düzenlemeler, ancak arkasındaki yaptırım kadar güçlüdür. Bu alanda çok yanlış anlaşılma görüyorum. Düzenlemelerin neden var olduğunu anlamamız gerek ve bu benim için uygulamaya çalışacağımız bir taslak üzerinden ilerlemekle ilgili. Çıkacak yeni düzenlemeler ile ilgili olumlu olduğunu düşündüğüm iki şey, öncelikle şirketlerin güvenilir ve sorumluluk sahibi bir yönetim kurulu üyesine olan ihtiyacı anlamaya başlaması. Güvenlik yukarıdan başlar ama işletmedeki tüm bireyleri kapsar. Gördüğümüz diğer şey de teknik açıdan spesifik düzenlemelerden uzaklaşma. Yaşadığımız dünya o kadar dinamik ki, fazla spesifik olan şeyler birkaç gün içinde güncelliğini yitiriyor. Bu durumda daha çok doğru prensiplere odaklanmada bir gelişme var. Bu, yeni Avrupa düzenlemelerine de hitap ediyor. Neredeyse bir öğrenme eğrisi görüyorum. Avrupa düzenlemelerini güncelleştirirken, ABD de düzenlemelerini revize ediyor. İlginç biçimde, AB’den önce başka ülkeler de kendi düzenlemelerini oluşturuyor. Çünkü en iyi uygulamaları standartlaştırmaya çalışıyorlar. Düzenlemelerin nasıl göründüğü ve nasıl kullandığımız ile ilgili görüşlerin bu şekilde değiştiğini görmek olumlu. Bence düzenlemelere uymak zorunda olanların yeni düzenlemelerin belirlenmesinde rol oynayacak şekilde birlikte çalışması, düzenlemelerin uygulanabilir ve kullanılabilir olmasını sağlar.
  
IoT ve M2M gibi gelişen kavramlar bireysel, kurumsal güvenlik algısında ne gibi değişimleri gerekli kılıyor?
Ne yasaklama ne de sınırlama bir seçenek. Öncelikle işletmeler buna izin vermez, ikincisi bunu yapmaya çalışsanız bile kullanıcılar bunu aşmanın yolunu bulmaya çalışır. Bu yine Güvenlikten Sorumlu Yönetici’nin (CSO) görevindeki daha geniş değişime geliyor. Eskiden teknik engelleyici, yaptırımcı olarak görülüyorlardı. Bence şu an değişen şey, CSO’nun şirket faaliyetlerinde ve işleyişinde daha çok yer alması. İş dünyasında riskleri engellemeyiz, riski yönetiriz. Risk aslında bazen iyi bir şeydir, risklerin iyi ödülleri olabilir. Güvenliğin rolünün ‘işletmeye riski nitelendirmek konusunda yardım etmek’ olduğu daha fazla görülüyor. Bu teknik riskten çok, organizasyon için ticari sonuçları ile ilgili. Böylelikle neyin kabul edilebilir olduğu ve kabul edilebilir risk noktasına gelmek için ne yapılacağı ile ilgili ortak anlaşmaya varılabilir.
IoT ve M2M konularına dönersek, hala gözlemlediğim ve her zaman zorluk olacak şey dijital dönüşümün yenilik ve yeni pazarlama yöntemleri ile ilgili olması. Çoğu zaman güvenlik, sonradan akla gelen bir konu. Şirketlerin tasarım ve kendiliğinden güvenlik konusunda hala iyileşmeleri gerek. Geçmişteki hatalar ve derslerden öğrenmek önemli. Fakat bunu yaparken, pazara giden yolu ve süreyi de uzatmamak gerek.

Yüzde 100 güvenli bir sistemden bahsedebilir miyiz?
Sistemler genelde insanlar tarafından kullanılır ve insanlar hata yapar. Dahası, sistemler genellikle insanlar tarafından tasarlanır ve insanlar hata yapar. O yüzden insan içermeyen bir sistem kurabileceğimizi düşünebilirsek ‘kusursuz olma’ olasılığından bahsedebiliriz. Fakat o zaman da en başında bunu oluşturan şeyin kusursuz olup olmadığını tartışırım.
Birçok şirketin yüzde 99 güvenli olmaktan uzak olduğunu tartışabilirim. Bir işletme için bu bizi kabul edilebilir güvenlik seviyesine, hedefin ne olması gerektiğine ve nasıl ölçülebileceğine getiriyor. Çoğu organizasyonda sorduğum ilk temel sorulardan biri başarı ölçülerinin ne olduğu. Hala sayılar etrafında kurulu metrikler duyuyorum: Durdurulan tehdit sayısı, güvenliği aşan metrik sayısı veya gözlemlenen farklı tehdit sayısı. Bunların çok büyük bir kısmı şansa bağlı. Asla erişilemeyecek, yüzde 100 başarıdan bahsetmeden önce ne kadar yaklaşmak istediğinize ve bu yolculukta niteliğinize bakmak önemli. Burada ana metriklerden biri zaman olmalı. Çünkü şirketler mümkün olduğunca fazla tehdidi önlemeye çalışmalı. Bu durumda, ne kadar sürede bulunduğu, etki göstermeden önce mi bulunduğu ve engellenip engellenemediği, sonrasında bulunduysa ne kadar sürdüğü ve bunun kabul edilebilir bir süre olup olmadığı, kabul edilebilir bir sürede tepki verilip verilemediği gibi sorular sorulmalı.
Bu konuda proaktif olunmaya başlanabilir. Bu, daha da fazla işletmenin dönüşümünü sağlamak ve risklerini yönetmek, ama bunu işletme için kabul edilebilir zamanda yapmak konusundaki dengeyi bulmakla ilgili.