Bilgi güvenliği stratejiniz hazır mı?
Uzmanlara göre tamamen korunmasız bir bilgisayarın internete bağlanmasının ardından saldırıya uğrama süresi 17 dakika! İnternet bankacılığı ya da çevrimiçi alışveriş siteleri de kullanılıyorsa, daha da dikkatli olunması gerek. Diğer yandan kurumsal kullanıcılar için yapılacaklar listesi biraz daha kısıtlı ama en ufak bir dikkatsizlikte karşılaşılacak zarar bireysel kullanıcılarla mukayese edilemez boyutta. Kurumsal kullanıcıların daha farklı güvenlik açıklarıyla baş etmeleri ve bu konuda kendilerini bilinçlendirmeleri daha da önemlisi kurumun çalışanlarını bilinçlendirmesi gerekiyor. Sosyal mühendislik son dönemin tehditleri arasında yer alıyor. TÜBİTAK UEKAE Bilişim Sistemleri Güvenliği Bölümü yaklaşık 1,5 yıldır kamu kurumlarına sosyal mühendislik saldırıları gerçekleştiriyor. Bu kapsamda 48 kullanıcı ile yapılan telefon görüşmesinin ardından ve 30’una ait şifre de elde edilmiş. Ancak bir kişinin bile şifresi ele geçirildiğinde pek çok bilgiye ulaşılabilmesi mümkün oluyor. İşte bu noktada kurumların doğru bilgi güvenliği stratejisi geliştirmeleri, bileşenleri ve uygulamaları önem kazanıyor.
Bilgi güvenliği stratejisinde üç temel nokta önemli
Symantec Bölge Teknoloji Müdürü Burak Sağdıç da kurumların bilgi güvenliği stratejilerini geliştirirken üç noktayı temel almaları gerektiğine dikkat çekti. Bunlardan ilkinin tüm bu stratejilerin risk temelli olarak oluşturulması ve tanımlanmış kurumsal bilgi güvenliği politikalarının takip edilmesi olduğunu belirten Sağdıç diğer unsurları da şöyle açıkladı:
“Basel II, HIPAA, Cobit ve SOX gibi uluslararası düzenleme ve çerçevelerin dışında TSE 27001, BDDK standartları ve TK5651 gibi ülkemize özel ve özelleştirilmiş çeşitli düzenleme ve standartlar da mevcut durumda. Kurumların hem kendi bulundukları sektöre göre gerekli yasal uyumlulukları sağlaması için hem de kurumsal riskleri yönetebilmesi için kabul edilmiş bazı yönetişim prensiplerini uygulaması çok önemli. İkinci olarak tüm kurum bilgi güvenliği yapılanmasının ve bunu sağlamaya yardımcı olacak bilgi teknolojileri altyapısının bilgiye odaklı olarak baştan şekillendirilmesi hayati önem taşıyor. Son olarak da bilgiye odaklanırken bu bilginin üzerinde barındığı ve paylaşıldığı bilgi teknolojileri ve iletişim altyapısının da güvenli ve düzgün olarak yönetilmesi asla önemini yitirmeyecek. Evet belki de şu an üzerinde barınan ve dolaşan bilgi o altyapıdan daha değerli ama bilginin paylaşılabilmesi ve saklanabilmesi için altyapının da kesintisiz ve kurumun operasyonel beklentilerini karşılayacak bir performansta çalışmaya devam etmesi gerekiyor.”
İnfonet Teknoloji ve İş Geliştirme Direktörü Kayıhan Altınöz de, bilgi güvenliği konusunda regülasyon getirilmemiş birçok alan olduğuna dikkat çekerek bu eksikliğin zaman içinde tamamlanacağını belirtti. Önemli olan regülasyonların bilinçli ve eksikleri tamamlayıcı şekilde gerçekleştirilmesi olduğunu ifade eden Altınöz, “Yeni düzenlemeler geldikçe uyum süreçlerinde her zaman sancılar yaşanabilir ancak uzun vadede düzenlemelerin olumlu etkileri herkes tarafından görülecektir” diye konuştu.
Bilgi güvenliği için vizyoner politika şart
Labris Teknoloji İş Geliştirme Müdürü Sinem Tan’a göre bilgi güvenliği için özel politikalar geliştirilmesi gerekiyor. Bu politikanın gerekliliğine inanarak bu doğrultuda insan kaynağı, teknoloji ve maliyet gibi 3 temel unsur göz önüne alınarak hareket edilmesi gerektiğini belirten Tan’ın değerlendirmeleri şöyle: “Kurumu meydana getiren tüm hücrelere bu politikanın gerekliliği ve şartları anlatılmalı.Anlatırken, yaşanmış gerçek güvenlik tehditlerinden ve yarattığı sıkıntılardan yararlanılabilir. Diğer temel unsur da, teknoloji-maliyet dengesidir. Kurumun, güvenlik politikalarını en tanınır teknolojiyle değil, gereksinimlerine en uygun teknolojiyle temellendirmesi gerekir. Bu noktada, sorumlu kalifiye personele büyük görev düşmektedir. Kurumun günlük sistem yönetim ihtiyaçlarını çare ararken, yeni oluşan güvenlik risklerini de takip etmesi, günden güne artan ve çeşitlenen bu risklerin doğurduğu tehditlere hazırlıklı olması gerekmektedir. Politika oluşturmak bir süreç işidir. Hele kurumun can damarları olan ağların güvenliği söz konusuysa, bu sürecin aceleye getirilmeden, iyi düşünülerek fakat zaman kaybetmeden yönetilmesi en uygunudur. Bu süreçte, farklı güvenilir kaynaklardan bilgi ve tecrübe aktarımı sağlanması zaman kaybına yol açan irili ufaklı hataları en aza indirgeyerek, süreci hızlandırır.”
Kurumsal güvenlik politikası, kurum yapısı ve güvenliğe bakışını doğru yansıtmalı
ABH Genel Müdürü Tayyar Bacak’a göre bilgi güvenliği stratejilerinde kurumsal güvenlik stratejileri oluşturulurken dikkat edilmesi gereken noktalar var. En önemli husus ise yazılan politikanın kurumun yapısını ve güvenliğe bakışını doğru yansıtması. Bu nedenle güvenlik politikalarının hazır şablonlardan faydalanılarak yapılması yerine her kurumun kendi özelinde yazılması gerektiğini vurgulayan Bacak, “Üst yönetimin güvenlik konusundaki desteğini vurgulayan, yasalar ve sektörel regülasyonlara atıfta bulunan, çalışanların, partnerlerin, müşterilerin kısacası tüm paydaşların sorumluluklarının ana hatlarıyla belirlendiği bir politikayı kurum temsilcileriyle birlikte oluşturmak ve her paydaşı bu politikadan haberdar etmek doğru yaklaşım olacaktır. Ayrıca politikayı hazırlarken her çalışanın belleğine kazınacak sadelik ve kısalıkta bir anlamda kurumun güvenlik konusundaki anayasası olması gerektiği unutulmamalı, çalışanlar tarafından özümsenmesi sağlanmalı, düzenli gözden geçirme toplantılarıyla ihtiyaçları karşılayıp karşılamadığı kontrol edilmelidir” şeklinde konuştu.
Bilgi güvenliği artık bir yönetim sorunu
Koç.net Hizmetler Müdürü Abdülkadir Üçüncü’ye göre hala bilgi güvenliği sadece bilgi teknolojisi departmanının çözmesi gereken bir sorun olarak değerlendiriliyor ve aslında bunun bir yönetim sorunu olduğu göz ardı ediliyor. Bilgi güvenliğinin sağlanması için şirketlerin mutlaka taşıdıkları riskleri bilmesi gerektiğini belirten Üçüncü, şöyle konuştu. “Bu riskleri nasıl yöneteceklerini belirlemeliler. Bilgi güvenliği bir süreç olarak ele alınması ve yönetilmesi gereken önemli bir konu. Bunun en önemli adımı da öncelikle kurum içi bilincin oluşturulması. Şirketlerde, üst yönetimden en alt kademe personele kadar bilgi güvenliğinin bir gereklilik olduğu özümsenmeli ve bu konuda gerekli farkındalık yaratılmalı. Son kullanıcılar için bilgi güvenliği farkındalığının, katılımının ve politikalara uyumunun sağlanması kritik başarı faktörleri arasında yer alıyor. Güvenlik, operasyonel verimlilik dengesi de dikkat edilmesi gereken bir diğer konu. Bir binanın fiziksel güvenlik seviyesini ne kadar artırırsanız erişimini de o kadar zorlaştırırsınız. Bu kural, elektronik sistemlerdeki veri erişimi için de geçerlidir. Doğru strateji, kurumun güvenlik ihtiyaçlarını belirleyerek yeterli güvenlik çerçevesini oluşturmaktır. Bu ihtiyacın doğru tanımlanabilmesi için de sistematik bir risk yönetim yaklaşımının benimsenmesi ve uygulanması gerekir.”
