Farkındalığı oluşturduğunuz zaman kazanırsınız
“Siber dünyanın ilk dönemlerinde saldırgan olarak hatırlanan, saçları dağınık ergenlik dönemindeki asosyal ama bilgisayar dahisi dediğimiz gençler, yerlerini son derece eğitimli ve organize, ulusal ve uluslararası düzeyde çalışan saldırı gruplarına bıraktı. Bunları siber suçlular, hactivistler, hacker grupları, egemen devletler ve suç örgütleri olarak tanımlayabiliriz. Saldırganlardaki evrimleşme, saldırıların da evrimleşmesine ve yeni risklerin öne çıkmasına neden oldu. Siber saldırılarla kişisel verilerimiz, fikri mülkiyet haklarımız, ticarı sırlarımız ve hatta ulusal güvenliğimiz artık risk altında. Organize saldırılarla, saldırganlar tarafından sistemdeki kontrol eksiklikleri tespit edilerek veriler ele geçirilebilmekte veya kullanılamaz hale getirilmekte.
ISACA’nın en son dünya çapında gerçekleştirilen bilgi teknolojisi yönetimi, denetçileri ve güvenlik yöneticileri anketi; yüzde 80’in üzerinde şirketin “bilgi güvenliği risklerinin bilinmediği ya da sadece kısmen değerlendirildiğini” ve bu “bilgi teknolojisi risklerinin bilinmemesi ve farkındalık eksikliği” nedeniyle risklerin doğru yönetilemediklerine inandıklarını göstermiştir.
Konuya sadece ISACA Istanbul Chapter Genel Sekreteri olarak değil, Türkiye’nin lider alternatif telekom operatörü İşNet’in İç Denetim Grup Müdürü (CAE) olarak da baktığımız zaman, daha netlik kazanıyor. Saldırganlar sizin hizmet verdiğiniz bankaları, askeri birimleri, akaryakıt, giyim, gıda ve teknoloji firmalarını biliyor. En yoğun zamanlarınızı, mesai günlerinizi, hangi saatlerde uyuduğunuzdan ve yemek yediğinize kadar izliyor. En zayıf olduğunuzu düşündükleri anda saldırıyor. İşNet bu konuda başarılı ise tek nedeni güvenlikçilerinin kurumu daha iyi tanıması ve çözüm ortakları ile beraber saldırganların bir adım önünde yer alması. Bu farkındalığı oluşturduğunuz zaman kazanırsınız.
Eskiden kurumlarda çok fazla önemsenmeyen, hatta sihirli bir iki program kullanılarak her şeyin önleneceği düşünülen siber güvenlik kavramı, öne çıkan yeni risklerle, kurumların da farkındalığını arttırmıştır. Kurumlarda bu kapsamda siber güvenlik süreçleri ve ekipleri oluşturulmaya başlandı. Türkiye’de de genel olarak bu ilk seviye yakalanmış durumda. Söz konusu seviye çok önemli bir adım olmakla beraber yeterli değil. Günümüzde saldırganlar kurumları yakından takip etmekte, kurumlara özgü sürekli yeni ataklar geliştirmekte. Bu nedenle siber güvenlik uzmanlarının bulundukları ortama ilişkin yüksek farkındalığa sahip olmaları gerek. Bu farkındalığın temelinde; anahtar iş ve BT faktörlerinin bilgi güvenliği üzerindeki etkilerini anlamak yatar. Bu tip farkındalığı geliştirmek zaman alır, çünkü farkındalık bir organizasyon içinde genellikle deneyim yoluyla gelişir. Türkiye’de de siber saldırılara maruz kalan kurumların ortak yönü bu farkındalık seviyesine ulaşmamış olmaları.
Kurumsal güvenlik; politikanın, trendin ve bilginin analiz edilmesini içerir. Problem çözme ve ortaya çıkarma becerilerini kullanarak karşı tarafın ne şekilde düşüneceğini ya da davranacağını daha iyi anlamak için çaba göstermeyi gerektirir. İşlerinin doğasında olan karmaşıklık nedeniyle kurumsal güvenlik konusu, geniş bir teknik BT becerisine sahip olmanın yanı sıra ileri seviyede analitik kabiliyete sahip olmayı da gerektirir. Bu nedenle kurumsal güvenlik, bir uygulayıcı ya da üst yönetimin bir parçası olabilir. Genel olarak değerlendirdiğimiz zaman, kurumsal güvenliğin sadece BT biriminin sorumluluğu olmayacağı çok açık. Güvenlik daha geniş bir yelpazeyi içermekte. Bu nedenle icraya bağlı “güvenlik” başlığı altında doğrudan ya da dolaylı yapılanma daha etkili ve verimli olarak faaliyetlerini sürdürebilir.
Gelişen siber riskler karşısında, en güvenli yapıyı oluşturmak için risk bazlı ve uyum bazlı yaklaşımların kombinasyonu kullanılmalı. Güvenli yapıların tesis edilebilmesi için güvenlik mimarisi prensiplerinin şirketlerde çok iyi bir şekilde uygulanması, ağ sistem ve veri güvenliğinin sağlanması çok önemli. Siber risklere karşı doğru ve zamanında müdahale edilmesini teminen olay yönetim, iş sürekliliği ve felaketten kurtarma süreçlerinin tesis edilmesi gerekli. Bununla beraber, öğrenilmiş derslerin kayıt altına alınması ve gelişen teknolojilerin takip edilmesi de temel kurallar arasında.
Bilgi güvenliği politikaları; siber güvenliğin ve yönetişimin temel unsuru. Şirket misyon, vizyon ve hedefleri ile örtüşecek şekilde hazırlanmış bir bilgi güvenliği politikası ve bağlı prosedürleri bulunması gerek. Değişen güvenlik ihtiyaçları ve şirket hedeflerine göre ilgili prosedürlerin gerektiğinde güncellenmesi zaruri. Boyutlarına bakılmaksızın tüm şirketler için bilgi güvenliği politikası, açıkça tanımlanmış bir kapsama ihtiyaç duyar. Diğer olası güvenlik politikaları veya prosedürleri ise erişim kontrolü, personel bilgisi ve güvenlik vakalarını da içerebilir. Büyük işletmelerde ise bilgi güvenliğini bütünüyle ele almak için politikaları konuya göre alt bölümlere ayırmak yaygın bir uygulama. COBIT 5 Bilgi Güvenliği göz önüne alındığı zaman, politika kümesi risk yönetimi, uyum, iş sürekliliği ve felaketten kurtarma, varlık yönetimi, tedarikçi yönetimi, davranış kuralları ve iletişim gibi bölümleri barındırabilir.
Çalışanlar, farkındalık eğitimleri, farkındalık sınavları, yemleme testleri, duyuru e-postaları gibi unsurlar ile sürekli olarak bilinçlendirme çalışmalarına dahil edilmeli. Farkındalık eğitimleri sadece yeni işe başlayan kişilerle sınırlı kalmayıp, sınavlar ve yemleme testleri gibi unsurların sonuçlarına göre farkındalığının arttırılmasına gerek duyulan tüm kişiler için tekrarlanmalı. Örnek vermek gerekirse, İşNet’te genel müdüründen çaycısına kadar herkes, defalarca farkındalık sınav ve testlerine tabi tutulmakta ve takibinde, eksiklikler kapatılmaya çalışılmakta. Unutmayın, güvenlik konusunda ne kadar yatırım yaparsanız yapın, en az bilinçlendirdiğiniz çalışanınız kadar güçlüsünüz.”