Güvenlik, magazin değerinin üstündedir

Ölçsan Siber Güvenlik Uzmanı Akın Sağbilge

Siber tehditler, bilgi güvenliğinde yeni saldırı metotları ve özelleştirilmiş saldırılar arttıkça bunları durdurmaya yönelik önlemlerin de aynı oranda farklılaşması gerek. Saldırıları algılayabilmek için hem olası bilinen tüm saldırı metotlarını inceleyecek yöntemlere sahip olmanız hem de sistemi sürekli sizin adınıza takip edebilecek akıllı izleme yöntemlerini barındıran ürünler kullanmak zorundasınız. Bunu gerçekleştirmek, ancak çoklu saldırı algılama metodu barındıran ürünler ile mümkün. Saldırıları algılamak ve durdurmak için sadece saldırı olduğu anda algılama bakış açısından bakmayıp, gelebilecek olası saldırıları olmadan tespit etmeye yönelik siber istihbarat servislerini kullanmanız gerek. Siber istihbarat hizmetleri, yeni güvenlik yaklaşımının en önemli parçası olacak. Hedef; saldırıları planlama aşamasında yakalama ve durdurma planlarını devreye almak şeklinde olmalı.

Maalesef bilgi güvenliğinde kurumsal farkındalığımız çok düşük seviyelerde. Bunun en güzel örneğini bilgi güvenliği politikası oluşturmuş şirket sayılarının düşüklüğünde  rahatlıkla görebilmekteyiz. Yasal zorunluluklar dışında güvenlik politikalarını belirleyen şirket sayısı, dünya ortalamasını düşündüğümüzde çok alt seviyede. Bu bilincin artması ve şirketlerin bilgi odaklı güvenlik bakış açısına sahip olması ile kurumsal farkındalık artacak.

Küresel bazda saldırılar ister istemez ‘benzer saldırı bizde olsa neler olurdu?’ sorusunu sektörel bazda da olsa masaya getirerek düşünmemizi sağlamakta. Ama bu anlayış, genele yayılmış bir durumda değil. Asıl sıkıntı burada. Belirli sektörler haricinde bu algı, magazin değerinin üzerine çıkmamakta. Bundan kaynaklı olarak, ihtiyaç hissetmesi ve yatırım yapması durumu söz konusu değil. Türkiye'de maalesef firmalar genelde yatırımı, başına gelen bir sıkıntı sonrasında gerçekleştirmekte. Planlı programlı yatırımı, sadece  ekonomik anlamda belirli seviyeleri yakalamış kurumsal yaklaşım gösteren şirketler gerçekleştirebilmekte. Toplam şirket sayısı içinde bu oran çok düşük seviyede kaldığından küresel sorunların bizi etkilemesi düşük seviyede kalmakta.

Siber güvenlik alanında en önemli eksiklik; bilgi güvenli politikalarının net bir şekilde tanımlanmaması. Hangi bilgiyi hangi seviyede koruyacağımızı belirlemeden önlemleri almaya çalışmak, siber tehditleri durdurmaya yönelik adımların boşa gitmesi durumunu karşınıza çıkarabilir. İkinci olarak; siber tehditleri durdurmaya yönelik yapılan adımların yeterli düzeyde olmaması, kurumun ihtiyacı, yapısı ve personel değeri göz önünde bulundurularak ürün alım planlamasının yapılmamasından kaynaklı sıkıntılar yaşanmakta. Bu sıkıntılar maalesef ülkenin teknoloji çöplüğüne dönme olasılığını artırmakta. Firmalara önerimiz; popülist yaklaşımlara kanmadan yapılacak yatırımları planlamalı, güvenlik yatırımlarını oluşturacakları güvenlik politikalarına uygun teknolojik ürünlere  gerçekleştirerek siber tehditleri durdurmaya çalışmalılar. Bunları yaşamamak ve yaşatmamak anlamında bizler, öncelikle şirketlerin hangi durumda olduğu, eldeki teknolojik ürünlerin yeterli seviyede kullanılıp kullanılmadığının tespit edilmesi, kurumun yapısına uygun güvenlik politikalarının belirlenmesi ve buna uygun teknolojik yatırımların oluşturulmasını sağlayacak danışmanlık hizmetlerinin alınmasını önermekte ve bu hizmetleri sunmaktayız.

Güvenlik politikasını oluşturmada en önemli adım, şirketin bilgi varlıklarının tespiti ve bu varlıkların risk seviyesinin belirlenmesi. Bu aşama doğru bir tanımla gerçekleştirildiğinde, şirketler kendilerine en uygun politikaları rahatlıkla belirleyebilir. Politikalar içinde yer alan yönetmelikler ve yönergeler daha teknik detayda bilgiler içerdiğinden, kurumun ihtiyacı ve sıkıntıları aşmaya yönelik daha kısa zaman aralıklarında yenilenebilmekte. Bu durum, kurumun yapısına bağlı ve ona göre belirlenmeli.