Savunma araçlarınızı sürekli yenilemeniz gerektiğini bilin

Veri güvenliği yatırımları bir lüks değil. Aksine, acil ve öncelikli bir ihtiyaç olduğu için bu yatırımın kurumlar nezdinde ilk sıralarda yer alması şart. Sektörde uzman olan kurumlardan destek alınması da doğru bir yaklaşım. Elbette kurum bünyesinde sorumlu kişiler bulunmalı, ancak Platin Bilişim Satış Direktörü Pınar Bamyacı’nın da dikkat çektiği gibi, ekipler, ek kaynaklarla desteklenmeli ve dış kaynak da en doğru ve etkin tercih. Türkiye’de son aylarda siber güvenlik danışmanlarına yönelik ilginin arttığı bilgisini veren Pınar Bamyacı’ya göre, özellikle regülasyonlar ve artan siber saldırılarla kamu kurumları başta olmak üzere birçok şirket bu alana yatırım yapıyor, danışman şirketlerden destek alıyor. Bamyacı, “Ağırlıklı olarak kamu, havacılık, finans enerji, otomotiv ve perakende gibi birçok sektörde projeler yapıyoruz” bilgisini verdi. Yeni nesil güvenlik tehditleri, siber savunmada yeni yaklaşımları zorunlu kılıyor. Kurumlar, da tehdidin gelmesini beklemek yerine, tehditleri tespit edecek daha proaktif bir yaklaşım sergileyen siber savunma yöntemlerini benimser ve ürünlerini kullanırlarsa Pınar Bamyacı’nın da dikkat çektiği gibi, yeterince önlem almış olabilirler. “Geldiğimiz noktada 5. nesil siber saldırılar, çok vektörlü, hızlı hareket eden ve mega ölçeğe sahip bir yapıya erişti. Bu nedenle 5. nesil saldırılara karşı ekstra önlemler almak gerek” uyarısını yapan Pınar Bamyacı, acı gerçekleri şöyle sıraladı:

“Türkiye’de maalesef güvenlik yöneticilerinin yüzde 90’ı organizasyonlarının bu modern saldırılara karşı koyabilecek altyapıya sahip olmadığını ve güvenlik sistemlerinin eski olduğunu belirtiyor. Çoğu kamu veya özel sektör kurumu yeterli korumaya sahip değil; hastanelerin, belediyelerin ve global şirketlerin çoğu yüksek risk altında. Bu nedenle kurumların 5. nesil mega saldırılarla başa çıkabilecek donanım ve yazılım çözümlerine acil yatırım yapması gerek. Öte yandan, perakende sektöründeki birçok mağazanın mobil uygulamasının kötü amaçlı yazılım içerdiğini biliyoruz. Bulut tehditleri, kripto madenciliği saldırıları ve IoT cihazı açıkları yükselişte. Son aylarda fidye yazılımlarında da artış gözlemliyor, bu saldırıların artmasını, daha karmaşık ve gelişmiş hale gelmelerini bekliyoruz. Sağlam güvenlik çözümlerinin kullanılması ve bu çözümlerin saldırıların tehlikeleri konusunda farkındalığı artırmak amacıyla verilen düzenli güvenlik eğitimleriyle desteklenmesi önemli. Blockchain, IoT’yi güvene almak için etkin bir yol. Bu yıl meydana gelen siber saldırılar, yeni yöntem olarak dosya kullanılmayan, ancak sistemlerin güvenlik açıklarının kullanıldığı saldırıların artışını gösteriyor. Bir değişim de fidye isteyen kötü amaçlı yazılımlarda ve Ransomware fidye yazılım saldırılarında azalma kaydedilirken, kurbanların bilgisayarlarını kripto para madenciliği için kullanan siber ataklarda artış.”

Bu noktada her ölçekten, her sektörden kurum güvenliği servis olarak değil, bir şirket politikası ve iş modeli olarak görmeli, “security by design” felsefesi üzerine veri güvenliğini ele almalı. Kurumların iyi bir strateji ve vizyon planına sahip olması da kritik. Günümüzde içerden ve dışarıdan birçok farklı siber tehditle karşı karşıya olan kurumların efektif BT güvenliği, personel eğitimi ve uygulanabilir güvenlik politikalarını bir araya getiren bütünsel bir siber güvenlik yaklaşımına ihtiyacı var. “Siber güvenlik politikalarını inşa ederken, etkili bir siber güvenlik yapısı için kullanılacak çözümü risk faktörüne bağlı belirlemek gerek” hatırlatmasını da yapan Pınar Bamyacı, bu vurgusunu şöyle detaylandırdı:

“Risk faktörüne bağlı olarak birçok ürün kullanılabilir. Dikkat edilmesi gereken ise segmantasyonlu bir güvenlik yapısının oluşturulması ve ürünlerle düzgün kurgulanmış iyi bir defans derinliği sağlanması. Güvenlik zekası, olay yönetim sistemleri (Incident Reponse Systems) etrafında uygun simülasyonlarla kurgulanmış yapılar daha etkili. Güvenliğin üç elementi; insan, süreç ve teknoloji etkileşimi de kritik. Uygun teknolojileri yetkin bir insan ve süreç ile buluşturmadığınız sürece, güvenlik teknolojileri de tek başına çözüm sağlayamıyor.”