Bilginizin farkına varın

Bilgi güvenliğinde en güncel risklere karşı güncel korunma önlemleri ile savaşmak şart. Aksi halde kırılganlık, risk demek.

Bilgi en büyük kurumsal sermayelerden biri. PricewaterhouseCoopers (PwC) Türkiye Risk, Süreç ve Teknoloji Lideri Oktay Aktolun’a göre, Türkiye genelinde kurumsal şirketler baz alındığında, güvenlik ile ilgili bakış açısını etkileyen çok faktör var. Bu faktörler de genellikle şirketin sahip olduğu yapı ve kültürle doğru orantılı. Bilgi güvenliğinin aslında ‘iş yapma kültürünün bir parçası’ olduğunu hatırlatan Aktolun, bu kavramı iş yapma süreçleri ile bütünleşik kılmak gerektiği kanısında. Ayrıca yapılan işe ait bütün girdi ve çıktıları oluşturan bilginin, güvenliğin temelini oluşturan ‘gizlilik’, ‘erişilebilirlik’ ve ‘bütünlük’ özelliklerinin iyi tanımlanmış olması da şart.
Ülke bazında güvenlik odaklı hassasiyet; kültürel yapıyla doğrudan ilişkili. “Tabii burada ekonomik faktörler ve ülkenin gelişmişlik seviyesi de devreye giriyor” hatırlatmasını yapan Aktolun, Türkiye’deki farkındalığı şöyle anlattı:
“Gelişmişlik arttıkça hassasiyetin arttığını söylemek yanlış olmaz. Türkiye’ye baktığımızda son dönemdeki gelişmeler oldukça umut vaat ediyor. Siber Güvenlik Kurulu kuruldu ve bizim de aktif olarak içinde bulunduğumuz Siber Güvenlik İnisiyatifi, bu kurula sunulacak önerileri hazırlıyor. Kamudaki yaklaşım artık devlet tarafından atılan adımlarla daha olumlu seviyeye doğru yol alıyor. Özel sektörün tutucu algısı ise kırılma eğilimi gösteriyor.”
İnsan kaynağına yatırım yapmak gerek
Bir şirketin bir alana yatırım yapması için, Aktolun’un da dikkat çektiği gibi, o yatırımın işe ve şirkete sağlayacağı faydaların net olarak bilinmesi gerekiyor. Eğer şirket iş yapma kültürü olarak bilgi güvenliğinin sağlayacağı faydalardan haberdar değilse, o zaman bilgi güvenliği yatırımları doğru strateji ile yapılamıyor. Aktolun’un bir gözlemi de bilginin önemi konusunda değerlendirme yapma gerekliliği. Çünkü bir şirket ancak sahip olduğu bilgilerin kritik olduğunun farkına vardığı anda bilgi güvenliği yatırımları hız kazanıyor. Aksi takdirde gereken önem gösterilmiyor.
Aktolun’un verdiği bilgiye göre, kurumlarda bilgi güvenliği üç ana başlık altında inceleniyor: Teknoloji, insan ve süreç. Bilgi güvenliği ile ilgili çeşitlilik de işte tam bu aşamada ortaya çıkıyor. Çünkü Aktolun’un da belirttiği gibi, bilgiyi korumak için sadece teknoloji yatırımlarının yeterli olmayacağını ve bilgi güvenliğinin insan ve süreçten oluşan iki ayağının daha olduğunu bilmek şart. Bu açıdan bakıldığında, günümüzde teknoloji altyapı yatırımı yaparken oldukça cömert davranan bazı şirketler, kurumun ihtiyaçları için satın aldıkları ürünleri olması gerektiği gibi yönetecek insan kaynağına yatırımda yetersiz kalabiliyor. Bu da gerçek verimin önünü kesen bir faktör.

Bugünün tehditlerine karşı dünün stratejileri ile savaşmayın

PwC’nin ‘Bilgi Güvenliğinin Küresel Durumu 2014’ (The Global State of Information Security 2014) araştırması birçok önemli sonucu ortaya koyuyor.
• Şirketler, güvenlik başlığında önemli adımlar attılar. Ama en güncel tehditler karşısında demode kalan güvenlik önlemlerini kullanıyorlar.
• Şirketlerde güvenlikten sorumlu olan isimler süreç ve stratejilere önem veriyor, bu konuda kurumsal bütçeler de artıyor.
• Bu yılki araştırma, tespit edilen güvenlik saldırılarının arttığını gösteriyor. Bunun bir sebebi kurumsal güvenlik açıkları. Bir tarafta da bulut bilişim, mobilite ve ‘kendi cihazını getir’ (BYOD) eğilimi bu saldırılarda pay sahibi.
• Birçok yönetici, güvenlik bilgilerini başkaları ile paylaşmaya çekiniyor. Bu da hedefli, dinamik saldırılara karşı güçlü bir savunma aracına sahip olmalarını önlüyor.
• Şirketlerin gelişmiş bir yaklaşımla ilerlemesi, ilk olarak da en değerli varlıklarını tanımlayarak, bunlara yönelik korumayı öncelik olarak belirlemesi gerek.
• Güvenlik temelli sıkıntılar ‘kritik iş riski’ olarak ele alınmalı. Bunları her zaman önlemek mümkün olmasa da, kabul edilebilir oranda yönetilebilirler.