Güvenlik politikası sürekli gözden geçirilmeli

CSC Türkiye Genel Müdürü Alev Alp Esen

Siber güvenliğe yönelik çalışmalarında farklı bir bakış açısına ihtiyaç duyan ve riski azaltmak isteyen kurumlara öncelikle tehdit modellemesi geliştirmelerini öneriyoruz. Kurumun verilerinin ve BT sistemlerinin ne tip saldırganlar tarafından hedef alındığını bilmek kritik. Bu şekilde, kurumsal BT sistemleri ve veriler içinde hangi varlıkların, kimin, niçin hedefi olacağına yönelik modeller geliştirilebilir; zayıf kısımlar güçlendirilebilir. Ek olarak, kurumlar kendi ihtiyaçları doğrultusunda kendi siber güvenlik uzmanlarını yetiştirmeye de yönelebilirler. Güvenlik durumundaki değişimlerin ya da performans göstergelerinin ölçümlenmesine yönelik güvenlik metriklerinin dikkate alınması, güvenliğe ve iş hedeflerine yönelik stratejilerin etkin bir biçimde bir araya getirilmesi, tehditlere hazırlıklı olunması ve kısa sürede tepki verilmesi de olmazsa olmazlar arasında yer alıyor.

Siber güvenlik son dönemde kurumların ilk sırada gelen teknoloji yatırımı konumunda. Tehditlerin artmasının ve saldırıların çeşitlenmesinin, kurumların bu alandaki yatırımlarına hız vermelerinde önemli rol oynadığı düşüncesindeyiz. Elbette bir kurumun siber güvenlik konusunda olumsuz deneyim yaşamış olması, kurum yöneticilerinin konuyu çok daha ciddiye almalarına neden olabiliyor. Biz güvenliğe yönelik gerçekleştirdiğimiz çalışmalarda, gerçekleşmiş ya da gerçekleşmesi muhtemel münferit olaylar yerine, öncelikle altyapının güçlendirilmesine ve kullanıcıların bilinçlendirilmesine odaklanıyoruz.

Etkin bir siber güvenlik politikası için dikkate alınması gereken altı unsur var. İlki, siber güvenliği iş süreçlerinin bir parçası haline getirerek bunu kurum için bir standart kılmak. Diğer bir unsur ise mevcut siber güvenlik konumunun dikkatli bir şekilde değerlendirilmesi. Veri ihlallerinin yüzde 17’sinin sosyal mühendislikten geldiği göz önünde bulundurulduğunda, bir şirketin siber güvenlik açısından neye sahip olduğuna tam anlamıyla hakim olması kritik önemde. Üçüncü parti yönetilebilir servis kullanımını sağlamak; hızlı bir kurtarmanın işi sürdürmenin anahtarı olduğunu unutmadan hazırlıklı olarak, olası aksaklık ve felaketlere karşı plan yapmak da önemli. Sistem üzerinde hangi kullanıcının hangi işlemler için yetki sahibi olduğunu düzenli kontrol etmek ve veri kaybı ya da saldırılara karşı hazırlıklı olmak da diğer unsurlar. Saldırıların zaman içinde çeşitlendiği ve boyut değiştirdiği düşünüldüğünde, güvenlik politikasının da uzmanların uygun göreceği aralıklarla gözden geçirilmesi faydalı olacaktır.