Kurumlar güvenlik politikaları geliştirmeli
İnternetin ve mobil iletişim araçlarının yaygınlaşmasıyla beraber veriler de çok hızla yer değiştirmeye başladı. Tabii bu sürece paralel olarak üretilen veri oranındaki artışı da unutmamak gerekiyor. Sonuçta, ortaya çok hassas ve korunması gereken yığınla veri çıkıyor. Üstelik de bugün artık hangi verinin diğerinden daha önemli ya da önemsiz olduğu tartışması da değerini kaybediyor gibi. Hiç şüphe yok ki sistemlerin güvenliği bütünsel bir yaklaşımdan geçiyor. Aynı zamanda ihtiyaçları tanımlamak ve neye gereksinim duyduğunuzun farkında olmak da çok önemli. Güvenlik bir bütünü kapsar ve ilgili tüm yazılımları, donanımları, prosedürleri, sistemleri, organizasyonu ve nihayetinde insanları bir bütün olarak düşünmeyi gerektirir. Belli bir alanda güvenliğin sağlanması, belli kural ve standartların uygulanması bir sistemin bütünü için yeterli olmaz. Eğer internet üzerindeki iletişim bahse konu sistemin bir parçası haline gelmişse, genel geçer güvenlik kuralları ve standartları yeterli güvenliği sağlamayacaktır. Bilişim sistemlerinde güvenliğin sağlanması için mevcut standartların kullanılması da önemli. Hiçbir kural ve standart kurumların kendilerini iç ve dış tehditlere karşı yüzde yüz güvenli kılmaz. Günümüzde genel geçer güvenlik kuralları ve standartları ile alınması esas olan güvenlik önlemleri arasında bir anlayış farklılığı göze çarpmaktadır.
Kurumların ağ güvenliği kadar veri güvenliği ile ilgili de bir kurumsal politika geliştirmeleri gereklidir. Yapılan çalışmalarda genellikle en temel önlemlerin bile alınmadığı ya da birçok önlem alınmasına rağmen gözden kaçan temel bir zayıflıkla alınan tüm önlemlerin boşa gittiği görülebiliyor. Organizasyon içerisinde bir standarttan bahsetmek mümkünse kesinlikle kişiye bağlı olmayan bir sistemden söz ediyoruz demektir ve böyle bir iş yerinde temel güvenliğin sağlanmış olacağını söyleyebiliriz.
Son dönemde bilgi güvenliğine yönelik tehditlerin büyük kısmı web ortamına kayıyor. Web tehditlerine karşı koruma sağlanması hayli zor ve karmaşık bir konu. Bu tehditlerden etkilenme riskini önemli ölçüde azaltacak araçların ve davranış şekillerinin benimsenmesi ve en yeni tehditlere karşı çok katmanlı, kapsamlı tekniklerden meydana gelen yeni güvenlik çözümleri kullanılması gerekiyor. Maalesef e-posta yoluyla yapılan ataklar büyük tehdit oluşturuyor. Olta saldırıları ile kullanıcılar aldatılarak ve kişisel bilgileri kopyalanarak, kendilerinden habersiz kullanılıyor.
Bilgi güvenliğinin süreç olarak yönetilmesi, kurum çalışanlarında farkındalık yaratılması, risk yönetimi ve iş süreklilik planlaması gibi aktivitelerin de uygulanması gerekmekte. Uluslararası bilgi güvenliği standartlarına uygun bir yönetim sistemi kurularak ve sürekli iyileştirme felsefesi benimsenerek kurumlar için en üst seviyede koruma sağlanabiliyor. Henüz Türkiye’de çok yeni olan bilgi güvenliği yönetim sistemi standardı, dünyanın birçok ülkesinde şart koşuluyor.
Birçok kurum dış saldırılara karşı gerekli tüm önlemleri almaktadır. Dış tehditlere karşı alınabilecek olan önlemler iç tehditlere karşı alınabilecek olan önlemlerden daha kolaydır. Kurumlar veri güvenliğini sağlayabilmek için dış tehditlere daha fazla odaklandığından dolayı iç tehditlere karşı gerekli önlemleri almamaktadırlar. İç tehditlere karşı gerekli önemlerin alınması ve bu tehditlerin de periyodik denetimlerle kontrol altına alınması gerekmektedir.
Güvenlik gereksinimi aslında güvenlik politikasının kendisidir. Bir güvenlik politikanız yoksa ne seviyede bir güvenliğe ihtiyacınız olduğunu bilemezsiniz. Güvenlik politikası da kurumun iş ihtiyaçları ve potansiyel risk analizi ile ortaya çıkar. Bu politika, güvenlik teknolojileri kullanımı ve operasyon planı ile desteklenir.
Günümüzde teknoloji yatırımları ve yönetimi son derece önem kazanmıştır. Bazı ülkeler tavsiye niteliği taşımakla birlikte ülkelerindeki tüm kurumlara hitap eden teknoloji yönetim çerçeveleri öneriyor. Tecpro Genel Müdürü İbrahim İlhan, şunları kaydetti:
“Bu çalışmaların amacı teknolojinin kurumların strateji ve hedeflerine hizmet etmesi, bunları gerçekleştirirken tüm sürecin bir bütün olarak ele alınmasını sağlamalı. Ülkemizde bu yönde atılan adımlar olsa da bana göre tam bir bütünlük sağlandığını söylemek çok güç. Haberleşme teknolojileri alanında yapılan yatırımlardan sonra, kamu kurumlarındaki teknoloji yatırımları anlam kazanmıştır. İşlemlerin hız kazanması, bilginin paylaşımı ve personel verimliliği gibi kamu yararına birçok fayda ortaya çıkınca bu alandaki yatırımların doğruluğu kanıtlanmış oldu. Teknoloji alanında kamunun daha fazla etkin rol alması gerektiğini düşünüyorum. Özellikle personel eğitimlerinin artırılması yapılan yatırımın efektif kullanılması için çok önemlidir.
Öncelikle hızlı bir şekilde haberleşme altyapımızın her anlamda diğer dünya ülkeleri standartlarına çıkartılması gerekir. Kurumlar ilk başta teknoloji kullanımına yönelik personel yaklaşımını olumluya çevirmeliler. Eğitim alanında BT yatırımlarına son derece önem verilmesi gerektiğini düşünüyorum. Ülkemiz nüfus potansiyelini ilerde üretime taşıyabilmek için yetişmiş insan gücüne ihtiyaç duyacaktır. Kalifiye bir gençlik yetiştirmek için dünyanın kullandığı eğitim teknolojilerini, eğitim sistemimize kazandıracak yatırımların acil yapılması gerektiğini düşünüyorum. Teknoloji sınıflarını çok hızlı bir şekilde uygulamaya sokmalıyız. Eğitim alanında teknolojiyle yetişen genç nesillerin ileride bizim üretim gücümüze büyük katkısı olacaktır. Çünkü günümüzde en büyük açığımız teknolojiyi kullanabilen yetişmiş iş gücüdür. Kurumların BT yatırımlarında en önem vermesi gereken konuların başında, bu alandaki güncel gelişmeleri mevcut sisteme bütünleştirilmelidir. Yazılımlar başta olmak üzere tüm yeniliklerin sıkı bir şekilde takip edilmesi şarttır. Aslında kurumun hangi alanda vatandaşa hizmet etmek için var olduğuna bakması gerekir. Sonrasında en efektif yolun ne tip bir BT yatırımından geçtiğinin planlanması kolay. Yeter ki önce sağlam bir altyapı kurulumu yapılsın. Kurumlarda gördüğümüz en büyük aksaklık yetersiz bir altyapıdan çok büyük beklentilere girilmesidir. Güvenlik ve savunma alanındaki kurumların bu alanda yaptıkları planlama ve uygulamalar diğer kurumlar tarafından da örnek alınmalıdır.”