Kurumsal politikanız tutarlı ve kapsamlı olsun

İşletmeler; bilgi güvenliği politikası oluştururken genellikle daha önceden oluşturulmuş politikaları benimsemeyi veya kullanmayı tercih edebiliyor. Bu da işletmeleri yanlış yatırıma veya uygulanamaz politikalar ile zaman ve veri kaybına götürebilir. WatchGuard Türkiye ve Yunanistan Satış Mühendisi Alper Onarangil’e göre, işletmeler, doğru bir güvenlik politikası oluşturabilmek için kendilerine şu soruları sormalı: Politikanın kapsamı nedir? Kuruluşun tüm verileri, sistemleri, programları, ağları ve kullanıcıları politikada açıkça ele alınmalı. Politika, işletmenin iş hedefleri ile uyumlu mu? İşletmenin her seviyesindeki karar vericilerin politika oluşturulurken katılımcı olması ve mutabık kalması önemli ve bu, mevcut iş hedeflerine zarar vermeyen bir güvenlik politikası oluşturulmasını da sağlar. Oluşturulan politikanın düzenleyici bir rolü olacak mı, yoksa sadece öneri niteliği olan bir rehber olarak mı tasarlanacak? Eğer düzenleyici bir politika olacak ise, uyulanmaması durumunda yaptırımları olacak mı? Tüm kullanıcılar tarafından erişilebilir ve anlaşılabilir mi? 

Bilgi güvenliği politikası, kurumsal güvenliği geliştirmek için güçlü bir araç olabilir, ancak Alper Onarangil’in dikkat çektiği gibi, bunun bütün güvenlik risklerini ortadan kaldırmayacağını da unutmamak gerek. “Politikanızın anlamlı bir etkisi olması için bunun doğru uygulanması gerekir ve işletmenin gelişmesi, dijitalleşme ve çağın gereksinimleri göz önünde bulundurulup düzenli bir şekilde güncellenmelidir” hatırlatmasını yapan Alper Onarangil’e göre, büyük ölçekli şirketler, siber güvenlik mühendisleri veya uzmanları için gerekli bütçeyi sağlayabilirken, KOBİ’ler ise bu alanda bir uzmanı istihdam edecek bütçeye sahip olamayabiliyor, üçüncü parti firmalardan danışmanlık veya dış kaynak kullanımı ile çözüm üretebiliyorlar.

Küresel bazda olduğu gibi Türkiye özelinde de bilgi, artık ekonomik bir değer olarak değerlendiriliyor. Şirketler ve hatta ulusal bazda USOM gibi yapılar, siber saldırılara karşı farkındalığın artırılması için çalışmalar yapıyor. Alper Onarangil’in belirttiği gibi, riskler ve savunma tekniklerinde yapay zeka ve makine öğrenmesi, güvenlik sektöründe gittikçe yaygın hale geliyor. “Savunma tekniği olduğu gibi, zararlı yazılımlar tarafında da polymorphic (çok biçimli) zararlı yazılımlar ile karşımıza çıkmaya başlıyor” örneğini veren Alper Onarangil’e göre, makine öğrenimi, dosyaların analiz ve sınıflandırma sürecinde ortaya çıkan zararlı yazılım tehditlerini, güvenlik analistlerinin tespit etmesine yardımcı olur. Bununla birlikte, şifre güvenliği de ön plana çıkıyor. Daha önceden büyük ölçekli şirketlerde kullanılan çok faktörlü şifre doğrulama yöntemleri, KOBİ’ler için de önemli bir gereksinim olmakta” diyen Alper Onarangil, hedeflerini ise şöyle anlattı:

“2018 yılı için, alışılagelmiş güvenlik tedbirlerinin ve servislerinin yanında yapay zeka ve makine öğrenimi ile çalışan güvenlik servislerimizi (Intelligent AV) kullanıcılarımız ile buluşturacağız. Özellikle oltalama atakları karşısında hem bu atakları DNS bazında engelleyen hem de bu ataklara yanlışlıkla maruz kalan kullanıcılar için küçük bir eğitim sunan DNSWatch servisimizi kullanıcılara sunacağız. Şifre güvenliği konusunda da kullanıcılarımıza hem kolay kurulum imkanı hem daha az yatırım maliyeti ile sahip olabilecekleri bulut tabanlı çok faktörlü kimlik doğruluma hizmeti AuthPoint ile destek olmayı planlıyoruz.”