Yazılım güvenliğinde Ar-Ge çalışmalarına daha çok önem verilmeli

ISCTurkey 2013/Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı 20-21 Eylül tarihinde ODTÜ Kültür ve Kongre Merkezi’nde Bilgi Güvenliği Derneği tarafından; Gazi Üniversitesi, ODTÜ, BTK işbirliğiyle, altıncısı düzenlendi.

Konferansın sonuç bildirgesi, ISCTurkey 2013 Düzenleme Kurulu tarafından yayımlandı. Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı; düzenlendiği ilk yıldan beri Türkiye’nin bu alanlardaki bilimsel ve sektörel çalışmalarının paylaşıldığı, üniversite-kamu-endüstri işbirliğinin geliştirildiği, kamunun bilgilendirildiği, eğitildiği bir platform konumunda.
700’e yakın kişinin kayıt yaptırdığı etkinliğe, kamu, üniversite, özel sektörden ulusal ve uluslararası düzeyde 500’ün üzerinde kişi katıldı. Kabul edilen bildiriler ve posterler; bulut bilişim güvenliği, siber güvenlik ve savunma stratejileri, yazılım güvenliği, steganografi, kriptografi, kriptoanaliz, protokol güvenliği, bilgi güvenliğini sağlama yöntemleri, gibi çalışmaları kapsıyor.

Planda STK’lar ve sektör temsilcileri de olmalı
2012-2014 Strateji Eylem Planı’nın da tartışıldığı konferansta, ülkemizdeki mevcut strateji belgesinin de doğal olarak güncellenmesi gerektiği ve bu güncellemede şu hususların dikkate alınarak revize edilmesinin yerinde olacağı değerlendirildi:
. Siber Güvenlik Strateji Belgesinin ve Eylem Planı’nın hayata geçirilmesinin ülkemiz için çok yerinde bir adım olduğu
. Mevcut eylem planlarının başarıyla hayata geçirilmeye çalışıldığı,
. Dünya eylem planları incelendiğinde her eylem planının belirli araklıklarla güncellendiği ve günün şartlarına göre revize edildiği
. Mevcut ülke eylem planı değerlendirildiğinde, bu planın siber tehditler dikkate alınarak hazırlandığı, yeni eylem planın da tehditlerin yanında fırsatlara da yer verilmesi gerektiği
. Ülkemizde bu alanın sağlıklı olarak gelişmesi için kurum-üniversite-sektörün işbirliği yapması ve bunun sürdürülür olabilmesi için ekosistem modellerinin geliştirilmesi hususlarına ağırlık verilmesi
. Yeni planda uluslararası işbirliğine daha çok ağırlık verilmesi gerektiği / Kritik kurumların bilgi güvenliği standartlarına özellikle ISO 27001 ve ISO 27032 standartlarına uygun yapılar oluşturması konusunda yaptırımlar uygulanmasının gerekli olduğu
. Siber güvenliğin ve savunmanın sağlanması için proaktif bir yaklaşımın belirlenmesi
. Yeni hazırlanacak belgede sivil toplum kuruluşları ile sektör temsilcilerinin de kurullarda yer almaları.
Konferansta konuşulan diğer hususlar, bildirgede şu şekilde belirtildi:
. Kamu bilgi işlem çalışanları ile kritik altyapılarda çalışan tüm personelin bilgi güvenliği sertifikasına sahip olması gerekliliktir.
. Bulut bilişim konusunda kurumlardaki çalışmaların artırılmalıdır.
. Ülkemizde bulut bilişim güvenliği konusunda bilimsel çalışmalar beklenen düzeyde değildir.
. Ülkemizde kurumsal bilgi güvenliği farkındalığı artmıştır fakat bunun daha da geliştirilmesi gereklidir.
. Sertifikasyona ve belgelendirmeye ağırlık verilmelidir.
. Yazılım geliştirilirken; kuruma özgü bir metodun geliştirilmesi gereklidir.
. Kurumlara ve ülkeye özgün milli çözümler geliştirilmelidir.
. Uygulama geliştiriciler ve kullanıcılar dışında, yöneticiler de yeni teknolojileri takip etmeli, desteklemeli, yazılım geliştirme güvenliğinin önemini kavrayarak konuya hassasiyet göstermelidir.
. Ülkemizde yazılım güvenliği konusunda Ar-Ge çalışmalarına daha çok önem verilmesi gereklidir.
. Ülkemizde siber saldırı ve savunma amaçlı yazılımların geliştirilmesine önem verilmelidir.
. Siber güvenlik ve yazılım güvenliği konusunda akademik çalışmaların desteklenmesi, üniversitelerdeki eğitim programlarının ve müfredatlarının iyileştirilmesi eğitim kampları, uygulama laboratuvarları gibi çalışmaların yaygınlaştırılması faydalı olacaktır.
. Kurumların kendi yapılarını ve kritiklik seviyelerini dikkate alarak, kendilerine özgü siber güvenlik politikalarının geliştirmeleri gerekmektedir.
. Bireyleri ve toplumu siber güvenlik saldırılarının muhtemel olumsuzluklarından korumak için, mevzuat, standart, eğitim ve denetleme unsurlarının tümünü içerecek kapsamlı bir altyapının ilgili taraflarının katkı ve katılımıyla oluşturulması gereklidir.
. Siber güvenliğin sağlanması ve vatandaşlarının her türlü veri ve bilgilerinin korunmasının yasal güvence altına alınabilmesi için hukuk bütünlüğü içinde ilgili yasa ve yönetmelikleri içeren mevzuatın, siber alandaki günümüz ihtiyaçlarını kapsayacak biçimde hazırlanması gereklidir.
. Kişisel verilerin güvenliği kanun tasarısı tekrar gözden geçirilerek bir an önce kanunlaştırılmalıdır.
Konferansta elde edilen tüm çıktılara www.iscturkey.org adresinden erişilebilir.