Paylaşım kurum için hem fırsat hem de risk
Paylaşım sözcüğü sosyal platformların çoğalması ve insanın sayısal hayatında önem kazanmasıyla birlikte daha sık duyulur oldu. Sosyal ağlarda ‘bilerek’ paylaştığımız ve zararsız gördüğümüz bilgilerin uzun vadede ‘bilmeden’ pek çok zarara sebebiyet verebileceği aşikâr. Bir kurumun çalışanları ise yalnızca özel hayatı veya iş hayatıyla ilgili herhangi bir bilgiyi internet üzerinde paylaşırken iki kere düşünmek zorunda.
Lostar Teknik Ekip Lideri Erdem Mengeş sosyal ağlar, Web 2.0 ve 3.0 ile gelen yenilikler ile bireylerin internet üzerinden paylaştıkları kişisel ve kurumsal bilgi miktarında patlama yaşandığını, kurumsal açıdan bakıldığında bu paylaşımın artmasının reklam anlamında olumlu, bilgi güvenliği açısından olumsuz çok farklı sonuçları bulunduğunu söyledi. Lostar’a göre bilgi güvenliğini kurumsal kültürünün ve iş sürecinin doğal bir öğesi haline getirebilen kuruluşlar, artan bilgi paylaşımından önemli faydalar elde edebiliyor.
“Kurumlar sosyal tehditlerin farkında”
CA Technologies Çözüm Müdürü Mahir Ünal, bugün kurumların, iç tehditlerin dış tehditlere oranla daha yüksek olduğunun, bulut teknolojileri ve coğrafyadan bağımsız dağıtık sistemlerden BT hizmeti almaya yönelik diğer yapılar hayatımıza girdikçe iç ve dış tehdit ayrımının ortadan kalkmaya başlayacağının bilincinde olduğunu söyledi ve
ekledi:
“Sosyal ağların yakın geleceğe yeni bir toplum modeli sunma potansiyeli, günümüzde kurumları yakın gelecek için ticari sonuçlar açısından yeni bir risk/getiri paradigması geliştirmeye de zorluyor. Bu paradigma bugüne kadarkilerden çok daha fazla sayıda iç içe geçmiş parametrelere sahip. Başka bir deyişle çok daha sofistike olmak zorunda.”
Kurumlar için korunması gereken en önemli bilginin müşteri bilgisi olduğuna vurgu yapan Avea Güvenlik ve Güvenceleme Risk Müdürü Kıvılcım Hindistan şunları söyledi:
“Bireyler bilgileri sızdığında maddi zarar görebilirler ama müşterilerinin bilgilerini çaldıran birçok şirketin batma noktasına geldiğine şahit olduk.”
Kurumun, kimliğinin ve itibarının internetteki yansımasını kurallara bağlaması ve düzenli olarak takip etmesi gerektiğini söyleyen Kıvılcım, çok sıkı tedbirler alınması gerektiğini şu sözlerle vurguladı:
“Mesela çalışanlar şirket e-posta hesapları ile sosyal paylaşım sitelerine kesinlikle üye olmamalı. Hatta şirket ismi vererek, sanki şirketin sözcüsü tarafından yapılmış gibi algılanabilecek açıklamalar yapmamalı.”
“Kurum erişimi ve bilgi akışını yönetmek zorunda”
CA Technologies Çözüm Müdürü Mahir Ünal, kurumsal yönetim açısından sosyal ağlara kurum içinden erişim konusunun, artık ‘yönetemiyorsan kapat gitsin’ mantığıyla başa çıkılamayacak kadar karmaşık hale geldiğini vurguluyor. Ünal, “Bir yandan güvenlik sorunsalı, öte yandan olası ticari fırsatlar, kurumlar için sosyal ağları tıpkı bulut teknolojileri gibi hem çekici hem de korkutucu bir zemin haline getiriyor” dedi.
Tüm kurumların öncelikle doğru tasarlanmış etkin bir kimlik yönetim sistemine sahip olmasının ve bu sistemin içindeki tüm akışın yönetim süreçleri içinde doğrudan yer almasının şart olduğunu, bunun da modern kimlik doğrulama çözümleriyle desteklenmesi gerektiğini söyleyen Ünal sözlerini şöyle noktaladı: “Kurumların hem sunucu hem de istemci seviyesinde sistem, bilgi ve uygulamalara erişim kontrolünü yapısal bütünlük içerisinde sağlayacak erişim yetki kontrolü ve loglama sistemlerini kurup devreye almaları ve bunların ürettiği raporları yönetim süreçleri içine eklemeleri elzem.”
Güvenlik politikası gözden geçirilmeli
BT ekiplerinin bazen güvenlik süreçlerinin dışında kalabildiğinin ya da iş süreçlerinin kısıtlanmasına neden olabildiğinin altını çizen Checkpoint Türkiye Teknik Danışmanı Serhat Candan, “Çalışanlar bilgiye daha çok erişmek istiyor. Örneğin pazarlama departmanı rakip şirketin Facebook sayfasına, İK departmanı çalışan adayın linkedin sayfasına ulaşmak isteyebiliyor. Eğer güvenlik süreçleri bu ihtiyacı karşılayamıyorsa, bu sefer çalışanlar alternatif yolları tercih ediyor. Bu da güvenlik açısından zafiyet yaşanmasına neden olabiliyor. Bu durumu ortadan kaldırmak için, genel güvenlik politikasının özellikle sosyal ağları da içene alabilecek şekilde yeniden gözden geçirilmesi gerekiyor” dedi.
