Güvenlik kaygısı nasıl aşılır?

Bulut bilişimin yanı sıra mobiliteyle birlikte bilgi ve doküman yönetiminde güvenlik kaygısı daha da ön plana çıkıyor. Kullanılan uygulamalarda sadece yetkili kişinin belgeye erişimini sağlamaya ve belgeleri kriptolamaya dikkat etmek gerekiyor.

Günümüzde giderek artan mobilite kavramı yanında güvenlik kaygısını da beraberinde getiriyor. Güvenlik konusu, kurum bilgi sistemlerinin hemen her alanında dikkate alınıyor.
Kurumların tüm bilgilerinin mobil ortama açılması yerine uzak çalışanların ihtiyaç duyduğu belli belgelere zaman aşımına uğrayan ve şifreli bağlantılar aracılığı ile erişim sağlaması ortak çözümlerden biri. Sadece kullanılan erişim platformlarında güvenliği sağlamak da yeterli değil, kullanılan tüm çok fonksiyonlu yazıcılar da korunmalı çünkü onlar da haklanıp devre dışı bırakılabiliyor.
“Bilgi doküman yönetim sistemlerinde de web tabanlı teknolojiler ERP, CRM gibi kurum içi sistemler ile hatta dış sistemler ile bütünleşmenin gerçekleştirilmesi mümkün olmuştur” diyen Aksis Genel Müdürü Burak Müjdeci, bilgi ve doküman yönetimi çözümü, kuruma ait güvenlik altyapı ve teknik mimarisini destekleyebilecek yetkinlikte bir platform olması gerektiğini vurguladı.
Brother Türkiye Kurumsal satış Müdürü Güçlü Akpınar’a göre, bilgi ve doküman yönetimi çözümlerinde sisteme giren bilgi işletme için korunması gereken stratejik bir unsur.
Akpınar en önemli sorunun ‘Veriden yola çıkılarak oluşturulan bilginin paylaşımı, yetki seviyelerinin netleştirilmesi bu yetki seviyelerine göre bilginin korunması sorunu özellikle bulut ortamında ne şekilde sağlanabilir?’ olduğunu belirtti ve ekledi: “Buluta aktarılan bilginin şifrelenmesi, şifre anahtarlarının iyi yönetilmesi, son derece planlı bir erişim kontrolünün uygulanması bu sayede verinin bulut ortamında güvenliğinin sağlanması gerekmektedir.”
IBM Türk Kurumsal İçerik Yönetimi Satış Uzmanı Gökçe Baysal, mobilite tarafında yaşanan saldırılara dikkat çekti: “Mobil cihazlar kötü amaçlı yazılımcıları için cazip bir hedef haline geldi. 2012’de sadece 470 milyon Android cihazı pazara sürülürken, Android üzerine geliştirilmiş kötü amaçlı yazılım sayısında da ciddi bir artış oldu. Saldırıların önemli bir kısmı mobil uygulamaları ve popüler profil veritabanlarını hedef aldı. Mobil verilerin güvenliğinin sağlanmasına yönelik geleneksel yaklaşımlar ise geçerliliğini yitiriyor. ‘Kendi cihazını getir’ politikalarını yeniden gözden geçirilmeli ve cihaz erişim güvenliği politikaları ile ilgili riskler belirlenmeli.”
İnnova Kamu Çözümleri Yöneticisi Ebru Yazıcı, “Belge ve doküman yönetimi sistemlerinde güvenlik çok kritik bir öneme sahip” dedi ve ekledi: “Artık veriye sadece kurum içinden değil, her an her yerden erişilebiliyor olması, bu erişimin takibi ve güvenliğinin sağlanması açısından da değerlendirilmek zorunda. Belge ve doküman yönetimi çözümlerinin hem farklı platformlardan (mobil gibi) erişilebilen kullanıcı dostu arayüzlere sahip olması, sürüm takibi yapılabilmesi ve yedekleme çözümlerini sunması; hem de rol tabanlı yetki yönetim altyapılarına destek vermesi gerekiyor.”
Şifreleme desteği olmalı
Kod-A İş Geliştirme, Satış ve Pazarlama Direktörü Ayşegül Öztürk ise bilgi ve doküman yönetimi çözümlerinde güvenliği sağlamak için yapılması gerekenleri paylaştı: “Bilgi ve doküman yönetimi çözümlerinde de uygulamaların çok katmanlı olması, şifreleme desteğinin olması güvenlik unsurlarını içermesi açısından önem teşkil etmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ne sahip olan Kod-A bu alanda da araştırma geliştirme faaliyetlerine devam etmektedir.”

Hem kullanıcıya hem de hizmet sağlayıcıya görev düşüyor
e-defter.com Genel Müdürü Sean Yu’ya göre, güvenlik konusunda, hem kullanıcı hem de hizmet sağlayıcı tarafına sorumluluk düşüyor.
Yu, dikkat edilmesi gerekenleri şöyle sıraladı: “Hizmet sağlayıcı tarafında dikkat edilecek en temel şeylerden bir tanesi, verilerin saklandığı fiziksel koşulların sektör standartlarında kabul edilen en üst standartları karşılaması. Diğeri ise, teknolojik altyapısını güvenlik standartlarına uygun şekilde tasarlamış ve belirli aralıklarla gerekli güncellemeleri yapıyor olmasıdır. Tüm bu sürecin bir güvenlik politikası dâhilinde yürütülmesi gerekir.”
Yu’ya göre kullanıcıya düşen görevler ise şöyle: Kullanıcıya düşen görev ise uygulamaya erişim sağlamak için kullanılan güvenlik bilgilerinin kullanıcı tarafından özenle korunmasıdır. Nasıl bilgisayarımızın giriş şifresine sahip çıkıyorsak, bu tip uygulamalara erişim için kullandığımız kullanıcı bilgi ve şifrelerine de aynı özenle sahip çıkmalıyız. Benzer şekilde bilgisayarımızın içindeki bilgileri, olası teknik sorunlara karşı yedeklediğimiz gibi, işletmeler için hayati önem taşıyan bilgilerin mutlaka yedeklenmesi gerekir. İşletmelerin, yedeklemenin aldıkları hizmete dâhil olup olmadığını sorgulamaları yerinde olur.”
Sadece ilgili kişilerin belgeye ulaşması sağlanmalı
Easy Software Türkiye Genel Müdürü Süreyya Ecevit de güvenliği sağlamak için yapılması gerekenlerle ilgili detaylar paylaştı:
“Bilgi ve doküman yönetiminde en önemli konu belge bazında yetkilendirme yapılması ve sadece ilgili kişilerin ihtiyacı olan dokümanlara erişiminin sağlanmasıdır. Risklerin çoğu kurum içinden gerçekleştirdiği için BT ekiplerinin bile dokümanlara erişememesi ve topluca bir yerden başka bir yere transfer edilememesi gerekir. Özellikle son zamanlarda belgelerin kriptolanması, kullanıcı yetkilerinin elektronik imza ve biyometrik sistemler üzerinden tanımlanması ön plana çıkmaktadır.”
Kets Bilgisayar İş Geliştirme Yöneticisi Yasin İlhan da, “Dokümanların yönetildiği ve arşivlendiği uygulamaların mobil ortamlardan erişime açılmasının ciddi bir kolaylık sağladığı ve hızlı sonuç almak gibi getirileri olduğu tartışılmaz. Ancak bu tür erişim noktaları büyük riskleri de beraberinde getirmektedir” dedi ve çözüm olarak şunu belirtti: “Bu konuda orta bir çözüm olarak kurumların tüm bilgilerinin mobil ortama açılması yerine uzak çalışanların ihtiyaç duyduğu belli belgelere zaman aşımına uğrayan ve şifreli linkler aracılığı ile erişim sağlaması güvenlik sorununu bir kademe ileriye taşımış olacaktır.”

Güvenlik için kurumlar ortak çalışmalı

Lidya Grup Genel Müdür Danışmanı Rıza Başoğlu, kurumların ortak çalışması gerektiğini şu sözlerle vurguladı: “Kurumsal ve bireysel kullanıcıların bilgi sistemlerine güvenebilmesi ise o ülkenin ulusal ve stratejik bilgi güvenliği ile yakından ilgili hale gelmektedir. Bunun için devletin, üniversitelerin ve kurumların ortak çalışması gerekiyor. İlk adımı devletin bilgi güvenliği ile ilgili kanun ve yönetmelikleri hızla çıkartması oluşturuyor. Denetim mekanizmaları ve sorumlulukların açıkça belirlenmesi gerekiyor. İkinci adım ise yapılanma süreci olarak tanımlanabilir. Tüm birimler arası koordinasyon, bilgi paylaşım standartlarının belirlenmesi ve tüm kurumlarda kullanılacak  yazılım ve donanımın teknik yeterliliklerini içine alan standartların uygulamaya konulması. Bu konuya müdahale edecek ekiplerin oluşturulması ve toplumla paylaşılması. Üçüncü adım; ilgili birimlerin eğitimleri ve bilinç geliştirme çalışmaları. Son olarak da uluslararası aktif işbirlikleri küresel çözümler olup, küçük ölçekte doküman hizmeti alan kuruluşların, küçük maliyet farkları uğruna sürekliliği ve kadrosal gücü olmayan yapılar ile çalışmamaları. Teknolojiyi temsil eden yapıların gerek donanım açısından gerekse hizmet açısından gelişim ve çalışma standartlarının küresel düzeyde olmasına dikkat etmeleri gerekmektedir.”

Tüm cihazlar korunmalı

“Her yenilik sağladığı kolaylık yanında muhakkak güvenlik açıklarını da beraberinde getiriyor” diyen Mitasan Teknik Destek Müdürü Nezih Muti, bu nedenle hem güvenlik tedbirlerinin alınması hem de mobilitenin daha çok günlük verimi arttırıcı operasyonel hizmetlerde kullanılması gerektiğini belirtti ve ekledi: “Güvenlik denince sadece bilgisayar, tablet ya da akıllı cihazlar akla gelmemeli. Baskı ve tarama işlerinde kullanılan çok fonksiyonlu yazıcılarda da gerekli önlemler alınmalıdır.”