Yönetim kararı ile strateji geliştirilmeli

Bilgi güvenliğinin sağlanması ve stratejilerinin geliştirilmesinin öncelikle bir yönetim kararına bağlı olduğunu belirten Oytek Güvenlik Çözüm Danışmanı Seval Demir, uygulamaların yönetim tarafından sahiplenilmesiyle kapsamının belli olması gerektiğini belirtti. Uygulanacak politikaların güncel ve işleyişi aksatmayacak bir şekilde düzenlenmesi büyük önem taşıdığını ifade eden Demir, şöyle konuştu: “Bu kapsamda kimlik doğrulama ve onaylama, internet kullanım, ağ erişim, uzaktan erişim politikalarından bahsedebiliriz. Politikalara uyulmaması durumunda da güvenlik ihlallerini ele alma prosedürleri olmalıdır.
Şirket için önemli bilgilerin nerede tutulacağı ve kimler tarafından erişileceği tanımlı olmalıdır. Ayrıca tüm sistemin izlenerek bilginin kontrol edilmeyen yerlerde tutulması yada yetkisiz kişiler tarafından şirket dışına çıkarılması engellenmelidir. Ayrıca, insan faktörünün bilgi güvenliğindeki en zayıf halka olduğu unutulmamalıdır. Güvenlik yazılımları daha çok teknik konulara odaklandıklarından kullanıcıların yaptıkları güvenlik ihlallerini gözden kaçırırlar. İnsan odaklı riskler hiçbir zaman tam olarak yok edilemese de iyi planlanmış bir bilinçlendirme çalışması ile riskin kabul edilebilir bir seviyeye indirilmesi sağlanabilir. Bu nedenle, kullanıcıların üzerlerine düşen sorumlulukları anlamaları çok önemlidir. Güvenlik politikalarının uygulanması sırasında kullanıcılardan gelecek pek çok direnç ile karşılaşılacaktır, buna hazır olunması gerekiyor. Bu nedenle, özellikle bu konularda yönetimin onayının alınması ve uygulayıcıların yaptırım gücünün olması gerekmekte.”

Kurumlar planlamalarını yaparken güvenlik süreçlerini göz önünde bulundurmalı
ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göre de bilgi güvenliği, özellikle kurumsal ölçekte şirketlerin ana stratejik planlaması içinde yer alması gereken bir konu olarak görülmeli. Kurumlar genel planlarını yaparken ve politikalarını belirlerken güvenlik süreçlerini de mutlaka göz önünde bulundurması gerektiğini belirten Akkoyunlu, “Bu noktada pek çok alanda zorlayıcı resmi düzenlemeler olmakla birlikte, konuya düzenleme boyutundan bakılmamalı, düzenlemenin gerektirmediği veya kapsamadığı güvenlik konuları da düşünülüp buna göre hareket edilmeli” diye konuştu.
HP TippingPoint Grup Kurumsal İş Çözümleri Mimarı Altuğ Yavaş da bilgi korunurken ana noktanın stratejik bir yaklaşım ve vizyona sahip olmayı başarıya ulaşma şartı olarak görüyor. Bilgi güvenliğini sağlamak isteyen bir kurumun öncelikle bu konunun en üst yönetim kademesinde dile getirilmesini sağlamadıkça bilgi güvenliği için yeterli kaynak ayıramayacağını belirten Yavaş da, “Nasıl ki bir kurumun kârlılığı ve hedeflerine ulaşmada ne kadar başarılı olduğu sürekli sorgulanıyorsa bilgi güvenliği de en üst düzeyde değerlendirilmelidir. Üstelik bu konuda elimizde tüm dünyada kabul gören ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı var. Kural odaklı bir standart olduğu için kurumlar bunu bilgi güvenliği konusunda kat ettikleri yolu belgelemekte de kullanabilir. Bu standardın farklı sektörlerdeki yeni uygulamalara yönelik ekleri sürekli yayınlanıyor ve ISO 27001 standardı düzenli olarak güncelleniyor” şeklinde konuştu.

Güvenlik için öncelikle bilinçlendirme önemli

Vıpre Türkiye Genel Koordinatörü Faruk Kekevi’ye göre bilgi güvenliğinde bilinçlendirme çalışmaları önemli rol üstleniyor. Bilgiyi ele geçirmenin en kolay ve en ucuz yönteminin günümüzde casus programlar olduğunu belirten Kekevi, “Bilgi korsanları bu yönteme yönelmişlerdir. Eski virüs üstatları, casus programcı olmuşlardır. Almanya devletinin, casus program üreten bir kurumu yasa ile kurduğunu görmekteyiz. Casus programlar, virüsler gibi değildir, kullanıcı farkına varmaz, gerçek anticasus programlarının kullanılması gerekiyor. Piyasada anticasus motoru içerdiğini söyleyen birçok güvenlik programında, anticasus özelliğinin olmadığını görmekteyiz. Veya son nesil teknolojiler ile üretilen casus programları tanımayan eskimiş teknolojileri kullanan güvenlik programlarının halen pazarda yer aldığını görüyoruz. Satıcı ile kullanıcı karşı-karşıya kalıyor. Bilinçsiz kullanıcıyı, bilinçlendirmek gerekiyor. Sivil toplum kuruluşları, üniversiteler, kamu kuruluşlarının halkı bilinçlendirmek için projeler üretmeleri gerekiyor. Diğer ülkeler halkı bilinçlendirme çalışmasını yıllardır yapıyorlar, bizim ülkemizde sadece internet abonelik teşviki için çalışma yapıldı, güvenlik konusunda herhangi bir şey söylemekten kaçınıldı. Bu doğru değil” diye konuştu.

Bilgi güvenliğinin sağlanmasındaki en zayıf halka insan

Helyum Pazarlama Müdürü Neslihan Aksun’un verdiği bilgiye doğru bilgi güvenliği denetim raporları, makaleler veya konferans sunularında da ifade edildiği ve BT güvenliği uzmanlarınca da kabul edildiği üzere, bilgi güvenliğinin sağlanmasındaki en zayıf halka insan. Bu sebeplerden ötürü kurumların varlığı olarak insan üzerinde daha büyük bir dikkatle durulması gerektiğini belirten Aksun, şöyle konuştu: “Her seviyedeki kurum, çalışanın bilgi güvenliği konusundaki sorumluluklarını kavramasını sağlayacak bir bilinçlendirme sürecini oluşturmalı. İnternet ve mobil iletişimin yaygınlaşması, veri üretimini giderek artırmaktadır. Bu verilerin koruması için bütünsel bir yaklaşım gerekmektedir. Tam anlamıyla güvenlik, konuyla ilgili donanım, yazılım, prosedürler, sistemler, organizasyon ve insanları bütün olarak ele alabilmekle gerçekleşebilir. Kurumlar, dış tehditlere karşı bilgi sistemlerinin de desteği ve uzmanlığıyla gerekli önlemleri alabiliyor. Ancak iç tehditlerin de göz ardı edilmemesi gerekiyor. Tehlikenin içeriden de gelmesi işleri daha da karıştırıyor. Bu nedenle bilgi güvenliği bütünsel olarak düşünülmeli ve içeriden gelebilecek tehlikeler konusunda da alınması gerekli bütün önlemler, çalışanlara benimsetilmeli.”

Kurumlarda bilgi güvenliği bölümleri kurulmalı

Kaspersky Türkiye Genel Müdürü Murat Göçe’ye göre de, bilgi güvenliğinden söz edildiğinde politikaların ötesinde eğitim öne çıkıyor. Her ne güvenlik çözümü alınırsa alınsın, her ne politika uygulanırsa uygulansın kullanıcı bilinçlenmeden yapılacak çözümlerin anlam taşımayacağını belirten Göçe, “Kurum içi eğitimler, bireysel kurslar ve uzman tavsiyelerinin yanında okulların ilk sınıflarından itibaren devlet destekli bilgilendirme çalışmaları verilmesi oldukça anlamlıdır.Özellikle kurumlarda Bilgi güvenliği bölümleri kurulmalı, bu bölümlerde sadece bu konuda uzman kişiler çalıştırılmalıdır. BT güvenliği bilgisayar teknolojilerinden farklı ve uzmanlık gereken bir iştir. Bu tür kadro barındıramayacak şirketler, bu konudaki uzman BT şirketlerinden yardım almalıdır” değerlendirmesinde bulundu.