Riskler, güvenliğe bakış açısını geliştirecek
Deloitte’un yayınladığı Teknoloji, Medya ve Telekomünikasyon (TMT) şirketleri Küresel Güvenlik çalışmasına göre, 2011 yılına kıyasla şirketler bilgi güvenliği alanındaki faaliyetleri, bütçeleri, yönetimi ve raporlaması konusunda daha durağanlar. Ancak bilgi teknolojileri güvenliğine yönelik tehditler artıyor ve güvenlik vakalarının etkisi daha ciddi hale geliyor. Araştırmaya katılanların yarısından fazlası da, güvenlik harcamalarının düştüğünü veya beklentilerin altında kaldığını belirtiyor.
Deloitte Risk Hizmetleri Direktörü Roel Van Rijswijk, bu son araştırmanın sonuçlarının birçok açıdan ilginç olduğunu belirtti. Tüm olumsuz haberlere rağmen, aslında şirketlerin TMT konusuna büyük önem verdiğini belirten Rijswijk, “Ama tehditler, onların bu ilgisinden daha hızlı gelişiyor ve büyüyor” dedi. Rijswijk şöyle devam etti:
“Bundan 3 yıl önce yaptığımız bir araştırma da bu konuda şirketlerin ayakta kalmaya çabaladığını göstermişti. Tüm araştırmalarımız, bu konuda yatırımların arttığını gösteriyor. Ama bu arada tehdit sayısı da artıyor, gelişiyor, daha sofistike hale geliyor. Bilgi güvenliği ile ilgilenecek doğru insanları seçebilmek giderek zorlaşıyor. Medyanın bilgi güvenliği konusuna ilgisi büyük. Çünkü hiper bağlantılı bir dünyadayız. Herkes mobil, herkes internete, herkesin bilgiye bağımlılığı var. Bu süreçte toplumlar, bilgi güvenliği konusunda daha kırılgan hale geliyor. Bu nedenle sadece medyanın değil, devlet yönetimlerinin de bu konuya ilgisi yoğun. Yaptığımız bir başka araştırma da gösteriyor ki, bu tarz risklere karşı tolerans azaldı.”
“Proaktif olmak şart”
Rijswijk’e göre, şirketler güvenlik konusunda yasaklayıcı bir tutum izleyip, çalışanlarına sosyal medya sitelerini, kendi tabletlerini kullanmayı yasaklayabiliyor. Ama Rijswijk’e göre bunlar etkili değil ve çalışanlar bu engelleri aşmayı çok iyi biliyor. Asıl önemli olanın, çalışanları engellemek yerine onlara izin vermek, ama onların en güvenli yollardan sistemi kullandığından emin olmak olduğunu vurgulayan Rijswijk, şunları söyledi:
“Sonuçta zayıflıkların hepsi teknik değil. En başarılı haklamalar, bilgi güvenliği açıkları insan hatasından kaynaklanır. Haklayıcılarla ilgili bir yanlış bilgi de, onların sadece BT uzmanı olduğudur. Oysa işin içinde, onları farklı kılan sosyal mühendislik becerileri vardır. Şirketler ve çalışanları kendilerini bu tarz saldırılara karşı korumalı, ama günün birinde haklanacaklarını da bilerek bunu yapmalı. Burada asıl önemli olan; risk yönetimi. Örneğin Sony’nin yaşadıklarına bakınca, bunların olmasını istemediler, ama olduktan sonra da olayı ele alış biçimleri kötüydü. Zamanında bilgi verip, kamuoyu paylaşımı yapmak gerekli.”
“Verinin kendisini koruma zamanı”
Rijswijk’e göre, yasaklama yapmadan, kurum kültüründe değişimle güvenlik yapısını oluşturmak gerek. Şirket çalışanlarında kişisel ve kurumsal güvenlik, riskler konusunda farkındalık yaratmanın önemine işaret eden Rijswijk, “Bunun ilk adımı liderlik. Çünkü bilgi güvenliği, sadece BT yöneticisinin sorumluluğu değil” eklemesini yaptı. Tüm çalışanlarda risk bilincini ve şirket kültüründe değişimi gereklilik olarak tanımlayan Rijswijk, bulut bilişimin güvenliğe etkileri konusunda ise şu yorumu yaptı:
“Eskiden güvenliği lokasyon olarak ele alır, güvenlik prosedürlerini yerine getirirdik. Ama bulutta verinin nerede olduğunu bilmiyorsunuz. Bulut daha tehlikeli veya riskli demiyoruz, ama bu teknoloji, güvenlik paradigmasının değişmesi gerektiğini ortaya koyuyor. Artık önemli olan; verinin kendisini korumak. Bilgi buluttaysa her yerde olabilir. Biz de, verinin bulutta nerede olduğunu net biçimde gösteren bir teknoloji geliştirdik. Son araştırmamız gösteriyor ki, bulut geleceğe şekil verecek teknolojilerden biri ve bu yüzden, güvenliğe bakış tarzımızı değiştirmeliyiz.”
2012 yılı risklerine bakış…
Roel Van Rijswijk’e göre, 2012 yılı daha da hareketli geçecek. Rijswijk, şunları söyledi: “Medyanın, halkın, kamu yönetimlerinin ve düzenleyicilerin ilgisi, gizlilik ve bilgi güvenliğine bakış yoğunluğu artacak. Bu yıl çok sayıda güvenlik odaklı olayla karşılaşacağız. Ama bu konuya gösterilen ilgi de artacak ve bu, şirketlerin güvenliğe bakış açılarını etkileyecek. CEO’lar da bu konulara daha çok dikkat edecek. Hiçbir CEO, şirketini bu yolla gazetelere haber yapmak, kurumsal prestije zarar vermek istemez. LulzSec, Anonymous gibi gruplar politik mesaj da veriyor. Ama bunun, temel haklama amacını değiştirdiğini söylemek zor. Çünkü bir haklayıcıya, bunu neden yaptığını sorduğunuzda yanıtı, ‘Çünkü yapılabilirdi’ olur ve tek istedikleri, ‘istediklerini yapabilmek’tir. En zor konu aslında bireysel güvenliği sağlamak. Çünkü insanlar, hile olduğu açık e-postalara kanabiliyor. Bir şirketin çalışanlarını güvenlik riskleri konusunda bilgilendirebilirsiniz, ama bireyleri bilgilendirmek bu kadar kolay değil. Kullanıcıyı korumak, bu servisleri sunan şirketlerin kurumsal sorumluluğu.”