Bilgi güvenliğinde eğilim, bütünsel yaklaşım ve çözüm yönünde

Güvenlik dünyası da bilişimdeki her alan gibi, sürekli değişim gösteriyor. Donanım teknolojileri, artan güvenlik ihtiyacı ve yerel mevzuat değişikliklerinin de tetiklediği bu değişimde, bilgi güvenliğinde kurumsal ve bireysel beklentiler de yeni eğilimleri belirliyor. Kurumların özellikle kimlik yönetimi, misafir kullanıcıların yetkilendirilmesi, kayıt yönetimi ve arşivleme, raporlama gibi özellikler kurumların beklentilerinin ana başlıklarını oluştururken, bireyler de siber dünyadaki varlığımız olan ‘bilgilerimizin en üst düzeyde korunmasını isterken, ‘bilgiye erişim’ noktasında, gereksiz kısıtlamalarla karşılaşmak istemiyor.

Bütünleşik güvenlik sistemleri öne çıkıyor
Koç.net Hizmetler Müdürü Abdülkadir Üçüncü’ye göre, bütünleşik güvenlik sistemleri, son dönemin tercih edilen çözüm başlığını oluşturuyor. Gerek kurumsal ağlar, gerekse de evdeki bilgisayarları internet kaynaklı tehditlerden korumak amacıyla antivirüs, güvenlik duvarı, atak önleme yazılımı, web filtreleme gibi farklı güvenlik çözümlerinin birlikte kullanılması gerektiğini belirten Üçüncü, “Bütünleşik güvenlik, farklı ağ güvenlik fonksiyonlarının yönetimini kolaylaştırmak ve maliyetini azaltmak amacıyla tek bir cihaz üzerinde birleştirilmesi eğilimidir ve güvenlik duvarı cihazları çevresinde gelişmiştir. Bu noktada kurumlar ve bireyler; lisans, yama takibi, yedeklilik, konfigürasyon yönetimi gibi konuların her birini farklı çözümler üzerinden yönetmek yerine, tek bir ürünle tüm ihtiyaçlarını cevap alabilecek çözümleri tercih ediyor. Bu nedenle bütünleşik güvenlik çözümleri hem kurumsal hem de bireysel internet kullanıcıları için kaçınılmaz bir ihtiyaç olarak karşımıza çıkıyor” şeklinde konuştu.

Güvenliğe bir süreç olarak bakılmalı
Güvenlik kavramına bir üründen ziyade süreç olarak bakılması gerektiğini vurgulayan Oytek Güvenlik Çözüm Danışmanı Seval Demir de günümüzde güvenliğin sadece ürün olarak algılanmasının mümkün olmadığını dile getirdi. Bu sürecin pek çok bileşeni olduğunu ifade eden Demir, “Güvenlik duvarı, virüsten korunma, saldırı önleme sistemleri, web güvenliği, mail güvenliği, veri güvenliği, yazılım güvenliği vb. pek çok güvenlik ürünü sayabiliriz. Yukarıda saydığımız güvenlik ürünleri bir bütünün parçaları gibidir ve birbirinden bağımsız düşünemeyiz. Artık bütünleşik güvenlik kavramı yavaş yavaş da olsa yerleşmeye başladı. Kurumsal şirketler müşteri memnuniyeti, güvenilirlik gibi pek çok nedenden dolayı bütünleşik güvenliğe önem veriyorlar, bütçelerini tüm bu bileşenlere göre yapıyorlar ve bunu finanse edecek güçleri var. Ancak KOBİ ölçeğindeki şirketler için bu o kadar kolay değil. Güvenliğe önem vermelerine rağmen bütçelerinde buna kaynak ayıramıyorlar. Firewall ve antivirus yazılımları temelde aldıkları güvenlik ürünleri. Birçok güvenlik firmasıbu ihtiyacı karşılamak üzere,tüm tehditleri tek bir cihazda engelleyebilen bütünleşik güvenlik sistemleri ürünlerine yönelmiştir. Böylelikle, güvenlik merkezi olarak sağlanmış oluyorve lisans maliyetleri de şirketlerin bütçeleri için uygun hale gelmiş oluyor” diye konuştu.

Farklı güvenlik çözümlerinin tek bir noktadan yönetmek kriter haline geliyor
ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göre hem kurumsal hem de bireysel kullanıcılar tarafında artan güvenlik ihtiyacı, pek çok farklı ve çeşitli güvenlik ürününün bir arada kullanılmasını gerektiriyor. Bu artışla birlikte kullanılan ürünlerin yönetimi ve sürdürülmesi oldukça zorlaştığına dikkat çeken Akkoyunlu, şu değerlendirmelerde bulundu: “Bu noktada kurumlar tek bir üreticiden farklı çözümler de kullansalar bunların tamamını tek bir noktadan yönetmek, kurumsal kullanıcılar için ürün seçiminde temel kriter olmaya başlamış durumda. Ayrıca kurumsal tarafta UTM, güvenlik duvarı, IDP, antivirüs ve antispam gibi pek çok fonksiyonu bir arada sunan yönetimi kolay, yüksek yetenekli ürünler de, tek fonksiyonlu ürünlere karşı tercih edilmeye devam ediliyor. Bireysel taraftaki beklenti ise güvenlik ürününün kendi işini bütünleşik bir şekilde eksiksiz yaparak maksimum güvenliği sunarken, kullanıcıyla hem ürün konfigürasyonu hem de çalışması esnasında minimum etkileşim sağlaması ve sisteme ciddi bir yük getirmemesi. Bu beklentiyi karşılayan ürünler, pazarda oldukça rağbet görüyor ve pek çok üretici de ürünlerini bu yapıya uyarlamak için yeniden yapılandırma içerisine girmiş durumda.”

Kritik bilgilerin kontrolsüz dışarıya çıkmasını engelleyen sistemler önem kazanıyor
Bimsa Bilgi Güvenliği Uzmanı İbrahim Özkaya’ya göre bilgi güvenliğinde önem kazanan konulardan biri de şirketlerin kritik bilgilerinin kontrolsüz dışarıya çıkmasını engelleyen veri kayıplarını önleme sistemleri konusu. Veri kaybı önleme (Data Loss Prevention – DLP) geliştirilmesinin bilgi güvenliği açısından önemli bir konu olduğunu belirten Özkaya şöyle konuştu: “ 5651 sayılı yasa gereği erişim sağlayıcıların internet erişimlerini kaydetmek gerekmekte. Birçok şirket için bu yasal zorunluluktan öte hayati bir ihtiyaç. Yasalar göz önüne alınarak belirlenecek stratejilerin, mevzuat kapsamında tüm işletme genelinde uygulanması gerekiyor. Kritik bilgilerin kontrolsüz dışarıya çıkmasını engelleyen veri kayıplarını önleme sistemleri de önceden tanımlanmış kaynakları koruma altına alıyor. Tanımlanan kurum politikasına bağlı olarak korunan kaynaklar üzerinde yapılan tüm işlemler kaydediliyor ve tanımlanmış politikalar kapsamında, bilginin dışarı çıkmasına izin vermiyor. İnternet günümüzde vazgeçemediğimiz bir unsur haline geldi. Dolayısıyla işletmelerin kayıtlarını daha etkin bir şekilde izlemeleri gerekiyor.”

Bilgi güvenliğine bir bütün olarak bakılmalı
KoçSistem Teknik Satış Yöneticisi İlknur Gürdal’a göre de bilgi güvenliğinden söz edildiğinde ana kriter, bütünsel bir yaklaşım gösterilmesi. Bilgi güvenliğine bir bütün olarak bakılarak en dış katmandan (Firewall, IPS, NAC, gibi), sunucuya ve veriye ulaşana kadar giden katmanlarda (Host IPS, veri şifreleme, gibi) gereken güvenlik önlemleri alınması gerektiğini belirten Gürdal’ın değerlendirmeleri şöyle: “Bilgi güvenliğine yönelik son dönemde yaşanan en önemli gelişmeler, bilgi güvenliğinin sadece nokta ürünlerin (antivirüs, firewall gibi) kapsamından çıkararak daha bütünleşik ve stratejik bir yaklaşım ile verilerin, veri ağlarının şifrelenmesi, mobil cihazların veri güvenliği, ses altyapılarının güvenliği, 802.1x, NAC/NAP gibi son kullanıcıların şirket ağlarına girişlerinin kontrol altına alınması ve kullanıcıların şirket ağlarına dahil olduktan sonra da belirli politikalara göre çalışıp çalışmadıklarının denetimlerin yapılmasını gerektirmektedir.”