Sadece ürünlere yatırım yapmak, güvenliği sağlamaya yetmiyor

Ağ ve bilgi güvenliğini tek bir çözüm/ürün değil, bilinçli yönetilmesi gereken bir süreç olarak gören Komtera Ürün ve İş Geliştirme Yöneticisi Cankat Domaniç, bunun temel sebebi olarak ise tehditlerin ve saldırıların sürekli değişmesini ve gelişmesini gösterdi. Domaniç, “Kullanıcılar için sadece ürünlere yatırım yapmak güvenliği sağlamaya yetmez. Ürünlere ilave olarak eğitimli, bilgili, teknolojiyi takip eden, yeniliklere açık sistem yöneticilerinin varlığı da temel bir gereklilik. Her katmanda koruma sağlamaya yönelik olarak alınmış ürünler, uygun şekilde kurulumları yapılmadığında, konfigüre edilmediğinde ve yönetimi yapılmadığında gerçekte sizi çok da fazla koruyamaz. Ancak maalesef bu durumda olan birçok kurum ve kuruluş ile karşılaşmaktayız. Yanlış konfigürasyon ve hatalı yönetimler sonucu yaşanan sıkıntıların kaynakları da maalesef kullanılan ürünlerin başarısızlığı olarak algılanmaktadır. Burada sistem yöneticilerine tavsiye edeceğimiz mutlaka alımını yaptıkları ürünlerin eğitimlerini almaları ve konfigürasyonunu temel ihtiyaçları ve riskleri belirleyerek yapmalarıdır. Bu sayede yaşanılacak birçok sıkıntının da önüne geçilmiş olur” dedi.
Prolink Güvenlik Takım Lideri Cenk Hasırlıoğlu’na göre internet üzerinden dünyanın dört bir tarafından erişilebilir hale gelmiş kurumlar için tehlikeler söz konusu iken, bazı ağ yöneticileri bu tehlikelerden habersiz. Ağ yöneticilerinin bir kısmı, internet ortamında veri çalmanın ne kadar kolay olduğunu bilmemekte ve aslında gerçek tehlikeyi oluşturan da bu.
Ağ yöneticilerinin kullandıkları güvenlik ürünlerinin tüm özelliklerinden yararlanabildiklerini söylemek mümkün değil. Birçok kurum, ürünün eğitimlerine ya da desteklerine kaynak ayırmak istemediğinden kulaktan dolma bilgiler ile yapılandırılmış güvenlik ürünleri yarardan fazla zarara yol açmakta. Burada kurumlara düşen öncelikle insana yatırım yaparak, gerekli eğitimleri ağ yöneticilerine aldırmaları.
Özellikle KOBİ’lerin güvenlik yatırımlarını sürdürdüğünü gözlemlediklerini anlatan Trend Micro Akdeniz Ülkeleri Müdürü Ercan Aydın, KOBİ’lerin siber suçun farkında olduklarını ve işletmelerini koruduklarını ifade etti. KOBİ pazarındaki en büyük eğilim olarak maliyet kontrolünü gösteren Aydın, şu şekilde konuştu: “KOBİ’ler, doğal olarak, güvenlik hizmetlerinin maliyetini düşürmenin yollarını arıyorlar. Bu nedenle, barındırılan hizmetlerde önemli artış görüyoruz. Bireysel kullanıcıların ise akıllarından hiç çıkarmamaları gereken gerçek şu. Herhangi bir bilgisayar, bir ağa bağlanıp başkaları ile iletişime geçtiği anda risk alıyor demektir. Bilgi güvenliği, bilgisayarınızın internet hesabına ve dosyalarına dışarıdan bir kullanıcının erişiminin önlenmesi ile ilgilidir. Dolayısıyla, her koşulda güvenlik önlemi almak elzemdir.”
Proya İstanbul Bölge Müdürü Cenk Mola ise güvenlik ürünlerinin amaçları gereği bilginin mahremiyetini, erişilebilirliğini ve bütünlüğünü sağladığını anımsatırken, bu amaçla sağladıkları teknik denetim yapısının ancak doğru yapılandırma ve yönetim ile başarıya ulaşabileceğini vurguladı. Mola, “Ürünlerden azamı fayda sağlamak için, sağladıkları güvencelerin doğru olarak anlaşılması,  gereksinimlere uygun olarak yapılandırılmaları, dinamik özellikleri gereği yeni tehditlere karşı sürekli güncellenmeleri ve kullanıcıların ilgili yapılandırma ve yönetim yetkinliklerini edinmesi gereklidir” şeklinde konuştu.
“Herşey müşterinin gerçek ihtiyacıyla ilgili” diyen F5 Networks Satış Müdürü Mutlu Güngören, kurumlar altyapılarında majör maliyetler getiren değişiklikler yapmadan ve büyük yönetimsel işyükü getirmeden uygulamalarına nasıl erişebileceklerini araştırmaya devam edeceklerini ifade etti. Güngören’e göre, BT departmanları bunun için web trafiğinin güvenli hale getirilmesi konusunu düşünürken aslında önceliği bağlantıların ayakta kalması ve iş süreçlerinin çalışmaya devam etmesine verecekler. Güngören, “Kullanıcılar çevirmeli ağdan mı yoksa genişbant ağdan mı erişiyorlar? NAC (ağ erişim kontrolü) kullanarak mı erişiyorlar? Erişilen uygulamanın amacı nedir? Araştırmaların sürekli olarak verdiği aynı sonuç şudur ki kullanıcılar ve çalışanlar ağ bağlantılarının sürekliliğini ağın güvenliği endişelerinin her zaman üzerinde tutmaya devam edecekler” diyor.
ITway Genel Müdürü Reha Akbaş’a göre de, ürün almak tek başına yeterli değil, önemli olan ihtiyacımızı doğru belirleyip ona uygun ürünü almak ve ürünü ihtiyacımız çerçevesinde kurulumunu/uyarlamasını yapmak işin en temeli. Ürün seçerken sadece ürüne değil onu kimden aldığınız da çok önemlidir. Ürünler gerçekten broşürlerde belirtilen özeliklere sahip mi, yerel olarak destek olanakları nelerdir gibi aslında çok temel konuları göz önünde bulundurmak gerekli. Akbaş, “Bugün bir ihtiyacımızı karşılayacak olan ama yakın gelecekte ortaya çıkacak ihtiyaçları karşılamaktan uzak olacak ürünler sonradan zor anlar yaşanmasına neden olmaktadırlar. Mesele ürünlerin tüm özeliklerinden yararlanmaktan ziyade o ürünleri kullanacak
kurumun bugünku ihtiyacını doğru bir şekilde karşılayıp ileride ortaya çıkması muhtemel ihtiyaçlar için de ölçeklenmesidir. Yatırımın uzun süre hizmet edebilecek olması bizce çok önemli kriter olmalı. Kurumların yatırımlarında genelde bilinçli davranmaya çalıştıklarını gözlemliyoruz ancak bizim gibi ürün sağlayanların da kendilerini kurumların yerine koyarak hareket etmeleri bir diğer önemli konu” dedi.
Güvenlik ürünlerinin fonksiyonları ve kapsama alanı arttıkça bunların kurum içerisinde uygulamaya alınması da karmaşık bir proje haline gelebilmekte. İşin niteliği, bir ürünün kurulumu olmaktan çıkıp kapsamlı bir proje yönetimine dönüşmekte. Inventum Sorumlu Ortağı Aslı Doğrusöz, ürünün kullanımından fayda sağlayacak birimlerin ihtiyaçlarının doğru analiz edilmesinin, buna göre süreçlerin uyarlanmasının, ürünün uygun şekilde konumlandırılması, kurulması ve uygulamaya alınmasının önem taşıdığı görüşünde. Ürünler, kurumun süreçleri ve diğer uygulamalarıyla bütünleştiği oranda fayda sağlamakta.

“Reklam olarak düşünülen güvenlik yatırımları ciddi sorunlar çıkarabiliyor”

Kaspersky Lab Türkiye Genel Müdürü Murat Göçe’ye göre, gerek ürünlerin reklamı yani makyajı, gerekse de sadece maliyeti düşünerek yapılan güvenlik yatırımları,  neden oldukları sorunlar ile kurumların başına ciddi sorunlar çıkarmakta, maliyeti çok daha fazla olmakta. Örneğin antivirüs koruması adına, UTM cihazı kullanarak, hem antivirüs, hem güvenlik duvarı hem içerik filtreleme hem de spam koruması beklemek büyük hata. Göçe, “Bu tür bir cihaz küçük ölçekli şirkette kullanılabilse bile uç nokta ve sunucu güvenliği ihmal edilirse, bu güvenlik yukarıda da belirttiğimiz formüldeki gibi hiçbir şey ifade etmez. Yani hiçbir güvenlik yok demek pek de abartı olmaz.  Bir devlet kurumunun bilgiişlem yöneticisinin, sıkça virüs kaçıran bir programı bilerek tercih etmesinin nedenini, sistemlerin hızlı çalışması yani antivirüs programının sistemleri yormamasını söylediğinde içinde bulunduğumuz sorunun büyüklüğünü göstermektedir. Bunu söyleyen eğitimli ve deneyimli kabul ettiğimiz bir yönetici arkadaşımız olduğunu bilmek bizleri daha da korkutmaktadır” dedi.

“Kurumlar uzmanlığı iç ya da dış kaynaklardan faydalanarak sağlamalı”

Infonet Genel Müdürü Taner Özdeş, tüm BT sektörüne paralel şekilde bilgi güvenliği ürünlerinin de satın alım maliyetlerinin çok üzerinde devreye alma ve uygulama maliyetleri getirdiğini dile getirdi. Özdeş’e göre, bu gerçeğin dikkate alınmaması konusu birçok sistem eksik ya da yanlış şekilde işlemekte, ya da ürettiği sonuçlar değerlendirilmemekte. Ayrıca bütünleşme ve süreç tanımları ile ilgili eksikler de söz konusu olunca bu sistemlerin pratikte kullanılmadığı söylenebilir. Kurumlar ürünlerin gerektirdiği uzmanlığı iç ya da dışkaynaklardan faydalanarak sağlamayı baştan hedeflemeli.