GÜVENLİK MEYDAN MUHAREBESİ

Güvenliğin önemi gelecek yıllarda da artarak süreceği görülüyor. Tehditler çeşitlenerek artmaya devam edecek. Bu noktada kurum ve kuruluşların hazırlıklı olması ve bu anlamda kendilerini geliştirmesi gerekiyor.
Gartner’ın geleceğe yönelik öngörülerine göre güvenlik konusu bir tarafta suçluların ve hackerların diğer tarafta ise kuruluşların ve hükümetlerin yer aldığı bir nevi meydan muharebesine dönüşecek. Bu bağlamda geleceğe yönelik güvenlik senaryoları; güvenlikte nirvanaya ulaşma ve tam tersi kaos olmak üzere iki zıt noktada karakterize ediliyor.
Gartner bu noktada kurum ve kuruluşlara, bünyelerinde güvenlik uzmanlığını ve teknolojilerini geliştirmelerini öneriyor. Çünkü tehditler bitmiyor; aksine büyüyor.  Bu anlamda şirketler kendilerini savunmanın yanı sıra yedekleme sistemlerini de gözardı etmemeli. Öngörüler; siber suç sektöründeki gelişmelere bağlı olarak, daha sofistike ve hedef odaklı atakların gerçekleşeceği yönünde. Siber suç endüstrisi olgunlaştıkça, şirketler tarafında da yeni güvenlik servislerinin üretilmesiyle savunma yöntemleri gelişecek.
Dünyada yaşanan gelişmelerin Türkiye pazarında da yansımalarının görüleceği net bir gerçek. Yerel pazarda kurum ve kuruluşların bu bilinci kavradığı görülüyor. Bu bilinç kuruluşların gelecek dönem planlamalarını büyük ölçüde etkiliyor. Yatırım planları da bu paralelde şekilleniyor.
Risk yönetiminde hatalar pahalıya mal oluyor
Gartner uzmanlarına göre kurumların güvenlik bütçelerini gerekliliğini ispatlamak her zaman için zor olan bir süreçti. Küresel ekonomik kriz bu süreci daha da zorlaştırdı. Kuruluşlardaki karar vericilerin güvenliğin değerini ve iş hedeflerine etkilerini anlamakta zorlandığı zaman, o organizasyonlarda bilgi güvenliği için harcanan çabalar bir noktada boşa çıkıyor. Göreceli olarak olgun bilgi güvenliği programları geliştiren şirketler, tipik olarak diğer organizasyonlara oranla açık güvenlik masraflarında daha az harcamalar yapıyor.
Risk kontrolü için BT organizasyonları ve BT güvenliği belirli iş ihtiyaçlarını karşılayabilmeli. Riskleri ve risk kontrolüni açık hale getiren güvenlik servis seviye anlaşmaları, bu hedefi yakalamak için pratik mekanizmalar olarak nitelendiriliyor. Bu noktada şirketlere iş süreçleri ihtiyaçlarıyla BT güvenlik ve risk yönetimi süreçlerini paralel yürütmeleri tavsiye ediliyor.
Güvenlik harcamalarını dengelemek ve makul hale getirmenin anahtarı; güvenlik ve risk kontrolü süreçlerinin ana iş hedeflerine yanıt vermesinden geçiyor. Ayrıca iş süreçleri tarafında riskin sahiplenilmesi gerekiyor. Güvenlik profesyonelleri, risk yönetiminde yönetimsel ve yatırımsal anlamda belirli hataları yaparsa, bu kritik hedeflere ulaşmakta  zorlanıyor.

Ekonomik konjonktürle mücadele
Gartner’ın analistlerine göre küresel krizin etkileri sürdükçe, kurumsal BT güvenliği profesyonelleri karmaşık ve hatta paradoksal durumla karşı karşıya. Şirketlerde finans ve çalışan kaynağının kısıtlı olduğu bir dönemden geçiliyor. Bu paralelde profesyonellerin her geçen gün büyüyen ve daha zorlu hale gelen risk ortamını bu kaynaklarla yönetmesi zorunluluğu ortaya çıkıyor. Bu durum BT yöneticilerini ve güvenlik profesyonellerini zorlu bir sürece sokuyor. Güvenlik uzmanları, gelişen düzenleyici unsurlara ve diğer yasal gerekliliklere uyum göstermek zorunda. Çoğu kurumsal BT harcamaları güncel ekonomik tabloya göre uyarlanıyor. Bu durumdan, diğer BT alanlarına göre daha az etkilenmesine karşın, bilgi güvenliği ve risk yönetimi harcamaları da payını alıyor.
Araştırmalar kuşkusuz gelecek yılın belirsizliklerle şekillendiğini gösteriyor. Bu paralelde çoğu kuruluşlar ve içsel organizasyonlar, en azından planlamalarını zamanlamaya göre yeniden şekillendirmeye, kısa dönemli hedeflerine odaklanmaya ve uzun vadeli planlarını askıya almaya zorlanıyorlar. Gartner’a göre buna karşın pek çok BT uzmanının BT risk bütçelerinin 2008 sonu ve 2009’un ilk çeyreğinde düşüş göstermediğini belirtiyor. Bunun iki sebebi olduğunu belirten uzmanlar, bu maddeleri; kurumların BT risklerinin arttığını görmeleri ve hükümetlerin ve düzenleyici kurumların yönetişim konusundaki baskıları olarak sıralıyor. Buna karşın, BT güvenlik ve risk uzmanlarının bütçelerinin tehdit altında olmadığı yanılgısına düşmemesi gerekiyor. Çünkü aslında söz konusu ekonomik kaygan zeminde tehdit altındalar.
CIO’lar ve BT uzmanları, her dönem güvenlik bütçelerini yapılandırma konusuyla uğraşmak zorunda kaldılar. Bu bir sürpriz değil. Çünkü çoğu kuruluşun bilgi güvenliği planlama süreci ciddi şekilde sıkıntılı. BT güvenliği ve risk yönetimi süreçleri ile iş süreçlerinin önceliklerinin bağdaştırılmamış durumda. Diğer yandan çoğunlukla iş tarafının BT risk sorumluluğunu alması sağlanamıyor. Bu noktada kurumsal politikaların nasıl şekillendiği de önemli bir unsur. Dolayısıyla doğru güvenlik ve risk yönetimi politikalarının belirlenmesi gerekiyor.

BT riski sahiplenmemeli
BT riskleri bilgi güvenliği birimlerinin ana var oluş sebebi. Buna karşın bu durum, BT biriminin, riski sahiplenmesi anlamına gelmiyor. Bu konunun sahiplenilmesi gereken uygun bölüm, bütçeleriyle BT’yi destekleyen iş departmanları. Diğer yandan güvenlik servislerini sağlamak ağırlıklı olarak BT birimlerinin sorumluluğunda.