Dünya şirketleri ilerliyor, Türkiye yakın takipte

Artık her ölçekte şirketin bilgi güvenliği ile ilgili, sektörüne ve ölçeğine uygun bir çalışma yapması şart, bu gereklilik açıkça ortada. Peki acaba Türk şirketleri konuya nasıl yaklaşıyor ve dünya şirketleri nasıl bir BT yatırım politikası izliyor? 4S Ürün Teknoloji Danışmanı Mehmet Özpolat’a göre, bilgi güvenliği uygulamaları için yapılan harcamalar dünya ortalamasına göre hızla artıyor. “Şirketlerin bilgi güvenliği sertifikasyon işlemlerinin devlet tarafından zorunlu tutulması bu sonuçta önemli bir etken” hatırlatmasını yapan Özpolat, uluslararası şirketlerin bu başlıktaki tutumunu ise “Özellikle teknoloji, telekom ve otomotiv şirketleri bu alanda daha çok uluslararası standartları benimsemiş durumda. Bu anlamda ISO 27001 dünyada ve Türkiye’de en çok hedeflenen bilgi güvenliğine ilişkin standart olarak kabul görüyor. Öte yandan işten çıkarılan personelin şirket kaynaklarına vereceği muhtemel zararlar önemli bir risk olarak görülüyor” sözleri ile değerlendirdi.
Biznet Bilişim Genel Müdür Yardımcısı Haluk Aydın’a göre ise güvenlik konusu Türk şirketlerinde geleneksel olarak reaktif bir şekilde ele alınıyor. Aydın, bunun, yapılan toplam BT yatırımının içindeki güvenlik ürün ve hizmetlerinin payına bakılarak da anlaşılabileceğine dikkat çekti. Bunun bir istisnası olarak finans, telekom gibi bazı sektörlerin düzenleme baskısı ile güvenlik yatırımları için daha fazla bütçe ayırdığını hatırlatan Aydın ekledi: “Ancak medyaya yansıyan olumsuz olayların da etkisi ile, bilgi güvenliği daha önemsenir hale geldi. Şirketler, artan tehdit çeşitliliğine paralel olarak karmaşıklaşan ve yönetimi zorlaşan bilgi güvenliği sistemlerini hizmet olarak satın almayı tercih ediyor. Bilgi güvenliği ile ilgili danışmanlık hizmetleri ihtiyacında da artan bir talep var.”

IBM Security Systems Doğu Avrupa, Rusya ve Türkiye Bölüm Müdürü Hakan Turgut da sektörel farkındalığa ve gerekliliklere şu sözlerle dikkat çekti:
“Temelde finans, telekom sektöründe faaliyet gösteren şirketlerin ve bazı büyük holdinglerin bu alanda oldukça gelişmiş teknolojileri kullandıklarını, temel itici gücün yaptıkları işin gereklilikleri ve regülasyonlar olduğunu söyleyebiliriz. Bilgi teknolojilerine önem veren ve internetin yarattığı fırsatları kullanmak isteyen tüm kurum ve kuruluşların güvenlik konusunu daha ciddi ele almaları gerek. Sıkıntılardan biri de yeterli insan kaynağının olmaması veya olanların da maliyetinin yüksek olması.”
Itway VAD Türkiye Ürün Müdürü Korman Akman’a göre, artan riskler, yeni uyumluluk  süreçlerinin getirdiği zorunluluklar büyük kurumları bilgi güvenliği konusunda harekete geçirse de, KOBİ’ler bilgi güvenliği üzerinde bir koruma sağlıyorsa genelde sadece dış tehditler göz önüne alınıyor ve sadece dışarıdan gelecek ataklara karşı koruma sağlama yoluna gidiliyor. Oysa Akman’ın dikkat çektiği gibi, iç ağdaki tehditler de en az dışarıdan gelen tehditler kadar tehlikeli. Akman, “Kağıt üzerinde güvenli bir güvenlik altyapısı kurmak kolay, ancak risk analizi yaparak bilgi sistemlerinin yanı sıra kurum çalışanlarının katılımı da gerek” derken, bu kapsamda kurumsal bilgi güvenliği politikası belirlenerek çeşitli eğitimlerle desteklenmesi gerektiğini hatırlattı. “Karşılaştığımız genel yapı maalesef çok iç açıcı değil” diyerek sözlerine başlayan Helyum Bilişim Genel Müdürü Murat Göçe’nin eleştirisi şöyle:
“Şirketler güvenlik konuları ile ilgili görevleri, geçmişte kurumların bilgisayar teknik desteğini vermiş kişilere ya da yazılımda başarılı çalışanlarına teslim ediyor.

Halbuki BT dünyasında da sistem mühendisliği, ağ mühendisliği, yazılım geliştirici, sistem analisti ve güvenlik uzmanı gibi birçok branş var. Şirketler ya bu konuda uzman barındırmalı ya da danışmanlık hizmeti almalı. Bu tedbirleri almayan şirketlerde yaşanan sıkıntılar fazla.”Selex Komünikasyon Sivil Sektör Satış ve Program Yönetimi Başkan Yardımcısı İlter Ferah da Türkiye’de bilgi güvenliğine gerekli önemin verilmediği kanısında. Bilgi odaklı risklere dikkat çeken Ferah, “Dışarıya sızacak bilgiler, şirketlerin güçlerini azaltacaktır. Oluşması yıllar süren bilgi birikiminin rakiplerin eline geçmesi ve müşteri bilgileri ya da ticari sırların açığa çıkması şirket algısının zarar görmesine neden olacaktır” dedi.
ASES Bilgi Güvenlik Teknolojileri Genel Müdürü Cengiz Güler, bilgi güvenliği farkındalığındaki eksikliğe dikkat çekerken, “Büyük şirketler yatırım yapıyorlar ama dogru analizlerden yoksun yapılıyor. Birçok şirkette yeterli uzman yok. Dışardan danışmanlık alma kültürü yeterince yerleşmemiş” diye ekledi. Güler’e göre, doğru risk analizleri yapılmadığı için yatırım bedelleri yüksek oluyor. İnsana yatırım az olduğu için de yeterli uzman bulunmuyor. Güler, “Genelde bir olaya maruz kaldıktan sonra acele ile yanlış, abartılı veya eksik yatırımlar yapılıyor” eleştirisini de ekledi.
Tercih değil¸ yönetim  sistemi
Türk şirketlerinin bilgi güvenliği konusundaki eksikleri, bu konuda danışmanlık almaktaki isteksizlikleri, genelde olumsuz bir haberle veya başlarına gelen bir sıkıntıyla bu konuda harekete geçmeleri tüm yetkililerin ortak kanısı. Peki ya dünya şirketleri neler yapıyor? Özellikle batıdaki şirketlerin daha organize olduğuna işaret eden Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, önemli bir gerçeğe dikkat çekti: “Boyutu ne olursa olsun, para kaybı yaşanabilecek konuları minimize etmeye çalışıyorlar. Dolayısıyla güvenlik konusu genellikle öncelikli ve kurum içinde buna yönelik politikalar belirlenir, uygulanır.” Yurtdışında konuya bir yönetim sistemi mantığında yaklaşıldığını hatırlatan Turkcell Global Bilgi İç Denetim ve Bilgi Güvenliği Müdürü Temel Tokgöz, izlenen adımları şöyle anlattı:
“Öncelikle bilginin korunması için gerekli ortamın sağlanmasına çalışıyorlar. Bu ortamın sağlanması, kurum çapında bilgi güvenliği politika ve prosedürlerinin oluşturulması, süreçlerin belirlenmesi, kontrollerin atanması, bunlarla ilgili kurum çapında farkındalığın ve kurum kültürünün oluşturulması, sistemin izlenerek aksaklıklarının giderilmesi ve sürekli iyileştirilmesi şeklinde gerçekleştirilmekte. Bu amaçla model olarak alınabilecek çeşitli standartlar ve yönetim modelleri geliştirildi. Bunlardan en çok bilineni ve bilgi güvenliği konusunda itibar göreni ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı.”
Destek Bilgisayar Genel Müdürü Oğuz Tamer Tunçel, uluslararası şirketlerde bilgi güvenliği için ciddi anlamda bütçe ve zaman ayrıldığına işaret etti. Bu kapsamda bilgi güvenliğine yönelik uygulamaların kullanılmasının yanında, belli dönemlerde penetrasyon testleri ile ağda oluşabilecek güvenlik açıkları tespit ediliyor ve proaktif bir biçimde önlemler alınıyor. Türkiye’nin yerli ve uluslararası şirketler yoluyla bulut bilişimde rekabet gücü kazandığı günümüzde, artan veri trafiğine bağlı olarak, şirketlerin en kısa sürede etkili bir siber güvenlik stratejisi geliştirmesi gerektiğine işaret eden HP Türkiye Yazılım Ülke Müdürü Nil Bağdan’a göre, çokuluslu şirketler BT yönetimini ve BT performansını bir arada ele alıyor. Bu çatı altında da risk yönetimi, güvenlik zekâsı ve tehdit araştırmasına dayalı kurumsal güvenlik çözümleri geliştiriyor. Güvenlik zekâsı ve tehdit araştırmasında ise bilgi güvenliği, yazılım uygulamaları güvenliği ve işletim güvenliği birlikte değerlendiriliyor. Trend Micro Akdeniz Bölgesi Ülkeleri Pazarlama Müdürü Sibel Yılmaz da uluslararası şirketlerin tercihi olan ‘melez’ çözümlere dikkat çekti. Uluslararası şirketlerin bilgi güvenliğinde sadece bir çözüme odaklı kalmayıp, çoklu seviye koruma sağlamak üzere melez yapı ile güvenliği sağladığına dikkat çeken Yılmaz, “Mevcut güvenlik altyapılarını iyi kurduklarından emin olduktan sonra dahi bağımsız danışmanlık şirketlerinden danışmanlık alarak zafiyet testi, tehdit analiz raporu gibi raporlamalar ile mevcut çözümlerini her an sorgulamaktalar” diye ekledi. E-Güven Genel Müdürü Can Orhun da sayısal dönemde bilgi güvenliğini sağlamak için gereklilik olan e-imzanın ve e-imzayla bütünleşik güvenlik uygulamalarının uluslararası şirketlerde yaygın olarak kullanıldığını söyledi.

“Kurum kültürüyle içselleştirmek gerek”

Barikat İnternet Güvenliği Genel Müdürü Dr. Okan Yücel’e göre, Türk şirketlerinin bilgi güvenliği konusuna verdiği önem artmakla beraber, hala yeterli düzeyde değil. Ta ki bir güvenlik ihlali olup da kurum itibarı ve ticari sürekliliği tehdit edilene dek, bilgi güvenliği sağlamakla ilgili ürün ve hizmetler çoğu zaman yöneticiler tarafından gereksiz olarak değerlendiriliyor. Bu noktada Yücel, “Güvenliğin bir süreç olduğu, sağlanabilmesi için kurum kültürüyle içselleştirilmesi gereği unutulmamalı” hatırlatmasını yaptı.

“Ulusal bir politika gerek”

Türktrust Genel Müdürü Dr. Tolga Tüfekçi, son dönemde Bilgi Güvenliği Derneği’nin siber güvenlik alanında farkındalığın artması için çaba harcadığını belirtti. Konunun Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından sahiplenilmesinin, ilk “Siber Güvenlik Strateji Belgesi Taslağı”nın hazırlanmış olmasının önemli olduğunu söyleyen Tüfekçi, şu bilgileri verdi:
“Siber güvenlik, çok boyutlu bir konu. Tek tek bireylerin veya şirketlerin ele alıp sonuçlandırması çok güç. Ulusal bir politika çerçevesinde herkes bulunduğu yerden yapması gerekeni yapmalı. Dünyaya baktığınızda, özellikle gelişmiş ülkelerde olan da bu.”

Büyük ölçekli şirketlerde farklı bakış

İnforte Ağ Güvenlik Uzmanı Erdem Kara, KOBİ’ler için bilgi güvenliği ürünlerinin temini ve bilgi güvenliği politikalarının uygulanmasının, yüksek maliyet kalemleri arasında göründüğünü belirtti. Ancak kamu ve büyük ölçekli işletmelerde durum farklı. “Eğilimlerin ve düzenlemelerin uygulanmasında bu konu başı çekiyor” diyen Kara, “Ülkelerin bilgi güvenliği politikalarında değişiklikler gözlemlenebiliyor. Uluslararası şirketlerde, sektörel standartların yanı sıra FIPS ve 5651 veya PCI DSS ve 5651 gibi yerel regülasyonların da uygulanması gerekiyor” bilgisini verdi.

Kurum bütününde koordinasyon gerek

İnfonet Bilgi Teknolojileri Kıdemli Bilgi Güvenliği Uzmanı Çağdaş Ulucan’a göre, günümüzde kamu ve özel kurumları tehdit eden en önemli olgu şirket içindeki tehditler ve kurum dışından gelen DDoS gibi servis dışı bırakma saldırıları. Ulucan, “Türkiye’de son yıllarda bilgi güvenliği, denetim ve uyumluluk konusunda uluslararası standartların uygulanması konusunda artan bir yoğunlukla devam eden çalışmalara, yayınlanan yerel mevzuat ile de destek veriliyor” eklemesini yaptı. Ulucan, hatırlattı: “Uygulamaların kuruma özel kişiselleştirilmesi dışında, doğru şekilde düzenlenmesi de çok önemli.” Ulucan şöyle devam etti:
“Bilgi sistemlerinde risk yönetimi, denetim ve uyumluluk ihtiyacının arttığı bir gerçek. Bu eğilimin önümüzdeki günlerde farklı sektörlerde de gündeme gelmesi kaçınılmaz. Bilgi güvenliği uygulamalarının temininde en sık görülen sıkıntılardan biri, birden fazla standarda veya mevzuata uyum gereksinimi söz konusu olduğunda, çalışmaların farklı çalışma grupları tarafından birbirinden bağlantısız şekilde yürütülmesi. Bu nedenle, BT kapsamında uyumluluk çalışmalarının, bir program yönetimi yaklaşımıyla, üst seviye planlaması ve projelendirilmesi, çalışmaların ilgili birimler arası koordinasyonla yürütülmesi önerilmekte.”

“Yatırımın temeli analiz”

“Türkiye’de veri güvenliğine ilgi neredeyse yok denecek kadar az” eleştirisini yapan Servodata Güvenlik Yazılımları Uzmanı Sedat Çolak, dünya şirketlerinin bakışını ise şöyle anlattı:
“Türkiye’de hizmet veren ve uluslararası platformda yer kazanmış büyük şirketler için veri güvenliği ilk sıralarda. Ticari maksatlı bu oluşumların ekonomik durumları, şirket içi prosedürleri, mali bazı değerler, kullanıcı bilgileri, işletmeye ait detayları alelade dışarıya çıkarmaları trajikomik bir hamle olur. Bu tür tedirginlikler yaşayan büyük işletmeler, verilerini iyi analiz ederek, öncelikle onların güvenliklerini sağlarlar”