Güvenliğe bakış – 1

Bir şirkette güvenlik uzmanı olarak çalışan arkadaşlarımız mutlaka müşterilerine bu soruyu sormuşlardır; “Güvenlik dendiğinde aklınıza gelen nedir?” Şimdilerde pek sık değilse de, eskiden aldığımız cevap çoğunlukla aynı olurdu. “Antivirüs ve firewall” şimdilerde aldığımız cevaplar her geçen gün daha karmaşık olmaya başladı. Ben bu yazımı 4 başlık altında ve 4 makale olacak şekilde tanımlamayı deneyeceğim. Uçsuz bucaksız bir güvenlik dünyasını daha kolay tanımlamanın da pek mümkün olduğunu sanmıyorum.
Güvenlik bir bütün olarak düşünülürse; üründen bağımsız olarak 4 adımda tarif edilebilir. Bunlar ;
1- Erişim Kontrolü ( Access Control )
2- Güvenli Mobilite ( Secure Mobility )
3- Zaafiyet Yönetimi ( Vulnerability Management )
4- Gelişmiş Tehdit Koruması ( Advanced Threat Protection )
Güvenliğin sağlanması için olmazsa olmaz en önemli çözüm, kaçınılmaz bir şekilde erişim kontrolüdür. Gittiğim şirketlerde görüdüğüm ise ancak yüzde 20’si bunu yapmaktadır. Access Control dendiğinde ilk akla gelen NAC çözümleridir. NAC çözümleri çok başarılı bir erişim kontrolü sağlıyor olsa da yinede yetersizdir. Bununla birlikte uzak bağlantılar, parola denetimleri, VPN çözümleri, ağ bağlantı kontrolleri, OS erişim kontrolleri, kullanıcı kimlik tanımlamaları, misafir ağ erişimleri, Data erişimleri, web erişimleri hatta şimdilerde uygulaması saçma gibi görünse de temiz masa politikasının da bu çözümün birer parçası olduğu asla unutulmamalıdır.
Her şirketin en önemli verisi bilgidir. Bilgiye erişimin de kontrol altında olması ve çalışanların kişisel verilerinin korunmasında ve bunlara erişimlerin de denetlenmesi gerekmektedir. Son zamanlarda Veri Sızıntısı Önleme (DLP) sistemlerinin yaygınlaşmaya başlaması da bilgiye erişimin denetimin yapılması adına karşımıza çıkan iyi çözümlerden biridir. DLP gibi uygulamalar bizlere bilginin öneminin farkına varmamızı sağladı. Sadece ürün kullanmanın değil, bilgiyi sınıflandırıp erişim yetkilendirmesi yapılmasının da ne derece önemli olduğunu bizlere anlattı.
Erişim Kontrolü konumuzun ilki ve daha konuşacak çok şeyimiz var. Her toplantı da mutlaka söylediğim bir şeyi burada da söylemek istiyorum. Sizi ürün korumaz, farkındalık korur. Erişim kontrolünde bir çok çözüm mevcut kullandığınız ürünlerin içerisinde mutlaka vardır. Bu çözümlerin hangisine ihtiyacınız olup olmadığını belirlemek ise oldukça basit. Riskinizi ortaya çıkarırsanız, hangi çözümleri veya hangi denetimleri yapacağınızı da öğrenmiş olursunuz.