Yasal zorunlulukların kaçınılmaz etkisi hakim

Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp

Kurumsal bilgi güvenliği politikaları oluşturulurken, öncelik bilgi güvenliğinin temel bileşenleri olmalı, oluşturulacak politikalarda bilginin gizliliği, bütünlüğü ve erişilebilirliği ilkeleri esas alınmalı. İlk adım ise kuruma ait bilgi kaynaklarının belirlenmesi, sınıflandırılması ve sınıflandırılan bilgi kaynaklarına ait iç ve dış tehdit unsurlarının ortaya çıkarılması ve zafiyetlerin belirlenmesi olmalı. Bu aşamalar sonrasında, risk değerlemeleri yapılarak olası bir veri kaybının veya zafiyetin işe etkisi mikro düzeyde analiz edilmeli. “İşe etkinin sonucu yaşanacak duraklama ve kayıp ne oranda kabul edilebilir veya edilemez belirlenmeli ve alınacak önlemler bu kapsamda değerlendirmeli” uyarısını yapan Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp’in belirttiği üzere, yapılan tüm bu değerleme ve analizler sonrasında alınacak önlemler de kurumsal güvenlik politikasının kapsamı içinde olmalı.

Mevcut durum, yaşanan olay veya potansiyel risk sürekli olarak takip edilmeli ve tedbirler geliştirilmeli. Bu açıdan bakıldığında, Ziya Gökalp’e göre, güvenlik danışmanlığı almak hem riskleri analiz etme hem denetim ve iyileştirme adına olmazsa olmaz. Nitekim kurumların kullandığı lokal veya dağıtık yapıya sahip farklı sistemler ve uygulamalar farklı zafiyetler içeriyor olabilir. Bunları farklı standartlar ve yöntemlerle analizi ise bu konuda ehil kişiler veya ekiplerce yapılmalı. Ziya Gökalp, eklemeden geçmedi: “Genel olarak ülkemizde kurumsallaşmış firmaların bazıları zafiyetleri analiz etme, önlem ve denetim geliştirebilme adına güvenlik danışmanlığı almaya sıcak bakmakta ve bu anlamda bütçe oluşturmakta. Lokomotif sektör ise finans, ancak bunun temel sebebi mevcut bankacılık regülasyonları ve standartlar. Fakat, Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte orta ölçekli firmalar da rotalarını danışmanlık alma yoluna çevirmeye başladılar.”

Küresel kurumsal farkındalık gösteriyor ki; uçtan uca güvenliğin sağlanması için zafiyetlerin taranması, risklerin ve tehdit unsurlarının belirlenmesi, bilgi kaynaklarının sınıflandırılarak bilgiye ilgili kişilerin doğru zamanda ve doğru ölçülerde kontrollü erişiminin sağlanması ve veri bütünlüğünün esas alınması şart. Ziya Gökalp, Türkiye özelinde şu yorumu yaptı:

“Türkiye’de bu farkındalık bazı sektörlerdeki firmalar tarafında mevcut, ama genele henüz yayılamadı. Menfi tecrübeler, veri kaybı ve iş duraklaması yaşayan firmalar, tecrübelerini farkındalığa çevirmek üzere adımlar atmakta. Fakat olması gereken, menfi tecrübeler öncesi bu farkındalığa sahip olup, proaktif yöntemleri uygulamaya almak. Bu konuda endüstriyi besleyecek olan yer, eğitim kurumları ve akademiler olabilir. Örneğin; bilgi güvenliği bilinci Türkiye’de eğitim sisteminin parçası haline getirilebilir. Bir diğer yöntem ise Kişisel Verilerin Korunması Kanunu (KVKK) gibi kanunlar ile farkındalık ve yaptırımlar uygulamak. Risk nerede olursa olsun temelde baz alınması gereken; bilginin gizliliği, bütünlüğü ve erişilebilirliği konusunda farkındalık ve tedbir almak. IoT ve mobil cihazların gelişimi ışığında, bu yönde yeni risklerin artacağı kanaatindeyim. Savunma tekniklerinin ve teknolojilerinin kullanımı ise yakın gelecekte kurumsal olduğu kadar bireysel bir gerçek halini alacak. Bilgi güvenliği pazarında 2018 yılında 2017’ye göre sektörel olarak yüzde 15 büyüme öngörüyoruz. Bunun nedenleri ise yeni zafiyetler ve KVKK gibi yeni regülasyonlar. Bulut bilişimdeki güvenlik için yapılacak yeni yatırımlar da söz konusu. Kurumsal stratejimiz ise yeni zafiyetlere ve risk unsurlarına ilişkin geliştirilen yeni teknolojileri tespit etmek, mevcut sistemler ile entegre hale getirmek, farklı açılardan test ve analiz etmek ve pazara sunmak.”