İşi ve özeli birbirinden ayırın!

Gelişen risk dünyasında Siztek’in stratejisi net: İş ve özel hayatın dijital dünyalarını birbirinden olabildiğince izole edebilecek çözümleri sunmak.

Günümüzde teknoloji; hem iş hem de sosyal hayatın içine girmiş durumda. Bu açılardan bakıldığında sistemlere ve verilere yönelik tehditlerin çeşitliliği de artıyor. Buradaki temel sorun ise, kişisel kullanımımızda olan dijital dünyayı, kurumsal verilerin bulunduğu dijital dünya ile ayıramıyor olmamız. Birçok kurumda, cep telefonları, tabletler ve taşınabilir bilgisayarlar gerek iş dünyamızda gerekse özel yaşamımızda kullanılmakta, ama çoğunlukla aynı cihaz ile iki dünyaya da bağlanmaya çalışıyoruz. “Özellikle kişisel dünyamızda kullandığımız uygulamaların, erişim sağladığımız web sitelerinin ve içerik sağlayıcıların aslında kurumsal dünya için güvenli olmadığını görüyoruz” detayına işaret eden Siztek Kurucu Ortağı Elzer Hara’nın belirttiği gibi, kişisel dünyamıza hitap eden bu uygulamalar veya siteler, kimlik hırsızlığı veya veri hırsızlığı yapanlar için de bulunmaz fırsat sunacak kader güvenlik açığına sahip. Son dönemde gündeme gelen ve veri şifrelemek sureti ile fidye isteyen haklayıcılar hepimizin malumu ve Elzer Hara’nın da işaret ettiği gibi, bunlara çözüm üretmekte zorlanılıyor. “Bu tür ataklar veya zararlılara mücadele etmek ve kurumsal dünyamızı bunlardan korumaya çalışmak iki dünyayı birbirinden izole etmeden son derece zor görünüyor” tespitini yapan Elzer Hara, bu tehditlerin iş sürekliliğine etkilerini ise şöyle anlattı:

Eski çözümler yetersiz kalıyor

“Özellikle verileri şifreleyen veya kullanılmaz hale getiren türdeki zararlılar, kişisel kullanımımızdaki cihazlara bulaştığında, hedef olarak bu cihazın veya bu kimliğe sahip kişinin kurumsal ağını veya hesabını ele geçirmeyi seçiyorlar. Buradaki motivasyon sadece parasal değil, bazen veri hırsızlığı veya kişisel intikam veya politik görüş de olabildiği için kurumu artık çalışamaz veya hizmet veremez hale getiriyor. İş sürekliliğini devam ettirmek için, bugüne kadar yapılan standart felaket kurtarma ve iş sürekliliği tasarımları ve prosedürleri etkisiz kalıyor. Kurumların stratejilerini gözden geçirirken, sadece zarar gördüğünde ne yapacağını planlamak üzerine değil, asgari zarar görmek için neler yapabileceğini irdelemek de gerek. Yani iş yapış şekillerini ve alışkanlıklarını da unutarak, tüm kurumsal süreçleri elden geçirmek, kullanıcı bilgi güvenliği politikalarını bu yeni sürece uyumlu hale getirmek, kullanıcı, müşteri ve tedarikçi ağı içerisindeki her bireye, sürekli farkındalığı arttırıcı söylemler ile bilgilendirme yapmak, hatta periyodik eğitimler düzenleyerek buradaki bilgi düzeyini arttırmak da önemli.”

Bulut da çözüm olmayabiliyor

Kurum ve şirketler, iş sürekliliğini ve verilerini korumak amacıyla teknolojilere yatırım yapmakta. Elzer Hara’nın da dikkat çektiği gibi, bulut kullanımı konusunda dünyada oldukça fazla alternatif oluşmuş durumda ve firmaların birçoğu da felaket durumlarında iş sürekliliğini sağlamak için bulut çözümlerini tercih etmekte. “Ancak, dijital felaket olarak tanımlayabileceğimiz sızıntı durumlarında, maalesef bu bulut sistemlerine de erişilerek verilerin yok edildiği veya kullanılmaz hale getirildiğine şahit olduk” uyarısını yapan Elzer Hara, bu deneyim ışığında şu tavsiyede bulundu:

“Veri güvenliği açısından ikincil veri yedeklerinin veya kopyalarının eski usulde erişimi olmayan ortamlarda saklanmasına yönelik yatırımlarla BT altyapılarının desteklemesini öneriyoruz. Bunun için çevrimdışı veri yedekleme veya kriptolayarak veri yedekleme ve saklama teknolojileri önerilebilir. Maalesef bazı kurumlar için sadece verinin temiz ve güvenli bir kopyasına sahip olmak yeterli değil. Zira bu veri anlık olmamakla beraber, yeniden kullanılabilir şekle dönüştürülmesi de zaman isteyen bir süreç. Bu yüzden, dijital felaket anında işine iç kesinti yaşamadan devam etmek isteyen firmalara farklı yapılar önermek gerekiyor. Bu yapıların temelini de sanallaştırma ve güvenlik çözümleri oluşturuyor.”

“Ürün değil süreç ve çözüm odaklıyız”

Kişilerin kullandığı cihazlara yasaklayıcı çözümler entegre etmek kullanışlı ve yönetilebilir olmaktan uzak ve bazı yasal mevzuatlara da uygun değil. Hatta yeni çıkmış ‘Sıfır Gün’ olarak adlandırılabilecek ataklar ve zararlılarla mücadele ederek yüzde 100 güvenlik sağlamak de pek mümkün olmuyor. “Bu yüzden, bizim Siztek yaklaşımımız; kişiye ya da cihaza engel koymak, yasaklamak getirtmek dışında, iki dünyayı birbirinden olabildiğince izole edebilecek çözümleri sunmak” olarak genel çerçeveyi çizen Elzer Hara, detayları şöyle anlattı:

“Bu çözümleri de örneğin Microsoft un Activer Directory Servisi gibi çeşitli kimlik yönetimi sistemleri, güvenli bağlantı sağlayan 2 faktör şifreleme teknolojileri, Citrix, VMware ve Microsoft gibi üreticilerin çözüm paketleri gibi sanallaştırma ve sanal çalışma alanı hizmeti sağlayan çözümler ve son olarak da Microsoft Sistem Center, Netwrix, Quest, Manageengine gibi üreticilerin çözümleri, yani izleme yapabilen teknolojiler kullanarak oluşturuyoruz. Bu izolasyonu sağlarken, kurum içindeki sistemlere de gerek Sıfır Gün gerekse olası diğer saldırılardan korunmak için birçok çözümü de entegrasyona dahil ediyoruz. Buradaki ana tema; uç noktayı güvenliği sağlama çabası yerine, uç nokta olarak hizmet verebilecek güvenli ve izole bir merkezi yapı oluşturarak, kurumu ve en önemlisi kurumsal veriyi koruma altına almak. Bizim fark yaratmamızı sağlayan faktör; ürün değil süreç ve çözüm odaklı olmamız. Bizim ekibimizde görevli tüm arkadaşlar, müşteri ziyaretlerinde herhangi bir ürün anlatımı yapmadan önce mutlaka ordaki süreç ve BT altyapısının resmini çekerek ihtiyaç analizi yapar ve müşteriye ilgili alandaki eksiklikleri konusunda rapor sunar. Bu eksiklikleri nasıl tamamlayabileceği konusunda bir yol haritası sunuyor, Siztek’in entegrasyon ve destek hizmetleri ile beraber uygun ürünleri paketleyerek çözümler oluşturuyoruz. Bilgi ve veri güvenliği, son çıkan KVKK yasası ile beraber tüm işletmelerde bir takım süreç değişiklikleri, yatırım ve eğitimi gereksinimlerini ortaya çıkarmakta. Bizim yaklaşımımız, kurumlara bu alanda yapabilecekleri konusunda bilgi ve tecrübemize dayanarak danışmanlık sağlamak. Kurumsal veri ve kişisel veri arasındaki ilişkiyi en asgari düzeyde tutma gereksinimi konusundaki tüm girişimlerimiz, müşterilerimiz tarafından memnuniyetle karşılanmakta.”