Veri güvenliği için bütünsel yaklaşım şart

Güvenlik stratejilerinin oluşumu ve bu noktada gösterilmesi gereken hassasiyetler konusunda yüksek bir bilinç seviyesinin homojen olarak dağılmadığını görüyoruz. Bunun yanı sıra risk ve süreç tabanlı güvenlik yaklaşımlarının henüz kabul görmemiş olması dikkat edilmesi gereken en önemli noktalardan biri olarak adlandırılabilir. Bilgi güvenliği stratejisinin, kurumsal stratejinin bir parçası haline getirilememesi ya da en azından strateji ile uyumlu bir bilgi güvenliği stratejisinin oluşturulması yönünde çalışmalar yapılmaması, sıklıkla karşılaşılan ve üzerinde çalışılması gereken stratejik planlama eksiklikleri olarak kendisini gösteriyor.

Güvenlik politikaları, insan unsuru, iş süreçleri, donanım ve yazılımlar ve yetkilendirme çok boyutlu bir yaklaşım göz önünde bulundurularak hazırlanmalı. Bilgi güvenliği stratejisinin en önemli yanı olan politika hazırlanırken bu bileşenleri oluşturan paydaşlarla yeterli iletişimin sağlanamaması, kurumsal stratejilerin yeterince anlaşılamaması, kurumsal öncelik ve risk algısı ile yeterince değerlendirilememesi, kurumsal strateji ile uyumlu olmayan politikaların hazırlanmasına fırsat tanıyor.

Politikada belirtilen teknolojik ve sürece ilişkin önlemlerin bilgilendirme ve bilinçlendirme eğitimleri ile desteklenmeden zorlayıcı yöntemlerle hayata geçirilmesi ya da kurumun ihtiyacı olmadığı halde, benzer biçimde kurumun stratejik vizyon ve hedefleri ile örtüşmemesine rağmen teknik olarak doğru olduğu düşünülen çözümlerin hayata geçirilmek üzere dayatılması başarısız uygulamalarla karşı karşıya kalınmasına neden oluyor. Bilgi güvenliği bölüm ve süreçleri, kuruma değer katan bir birim, bir bileşen olmaktan uzaklaşıp, kurum ve çalışanlar için maddi ve manevi bir yüke dönüşüyor.

Kullanıcılar bilinçlendirilmeli

Bireysel kullanıcıların bilinçlendirilmesi mücadelenin en önemli aşamalarından birisi. Bilgisayar okur-yazarlığı kavramının benimsenmesi ve desteklenmesi yararlı olacak. Bundan daha önemlisi ise kurumlar arası iletişim ve işbirliğinin tesis edilmesi. Her kurumun bünyesinde yer alan ve çalışma alanları bilgi güvenliği olan birimler, aralarında güçlü bir iletişim ağı kurmalı. Ülke genelinde ya da yerel ölçekte çalışan servis sağlayıcıları, uluslararası kabul görmüş iyi uygulamaları hayata geçirmeli.

Bütün bu çalışmaları koordine edebilecek, iletişimi güçlendirebilecek, bir yandan da bir bilgi merkezi gibi çalışırken siber saldırıları belirleyebilecek, gözlenen, belirlenen bu atakları ülke genelinde duyurarak topyekûn önlemlerin uygulanmasını koordine edecek, yardımcı olacak bir merkezin varlığı çok yararlı olacak. Diğer yandan da kurumlar, stratejik planlama ve risk değerlendirmeleri çerçevesinde belirledikleri politika ve önlemleri hayata geçirerek uygulamalarını takip etmeli, aynı zamanda bireysel kullanıcılar da hali hazırda var olan ve tavsiye edilen güvenlik çözüm ve önlemlerini kullanmak ve takip etmek konusunda hassasiyetlerini devam ettirmeli.

Bilgi güvenliği, tek bir ürün ile ya da tek noktaya yerleştirilecek bir çözüm ile ne yazık ki sağlanamamaktadır. Bilgi güvenliği yaklaşımı, kurumsal sürçlerin doğal bir parçası haline geldiğinde en etkin ve verimli biçimde çalışır durumda olacak.

Bu noktadan hareketle, ürüne indirgenmiş teknolojik çözüm yaklaşımının yetersiz olduğu ortada. Öncelikle insan kaynağı, sonrasında süreçler bilgi güvenliği stratejisinde yer almalı, bu strateji, teknolojik bileşenlerle desteklenerek güçlendirilmeli. Bu sayede bütünleşik bir güvenlik çözümü ve yaklaşımından bahsetmek mümkün hale gelebiliyor.

Proline Teknik Müdürü Osman Veysel Erdağ