Bilişim Dünyası 28 EKİM 2012 / 12:26

Güçlü şifre kılıçtan keskindir...

RSA Europe 2012, bu yıl da 9-11 Ekim tarihleri arasında düzenlenen etkinlikte sektör temsilcilerini biraraya getirdi.

RSA Europe 2012, bu yıl da Hilton Londra Metropole Hotel’de 9-11 Ekim tarihleri arasında düzenlenen bir etkinlikte sektör temsilcilerini biraraya getirdi. ‘The Great Cipher Mightier Than Sword’ (Güçlü şifre, kılıçtan keskindir) sloganı ile düzenlenen etkinlikte bu yıl bilgi güvenliğinden ‘kendi cihazını getir’ politikalarına, şirket kültüründe değişimin yönetiminden sürekli gelişen risklere kadar birçok konuya dikkat çekildi. EMC’nin güvenlik birimi olan RSA’in düzenlediği etkinliğin açılış konuşmalarında, günümüz saldırılarından korunmak ve yarını da güvene alabilmek için teknoloji geliştirmenin önemine vurgu yapılırken, zekâ tabanlı BT’nin önemi de belirtildi. Ayrıca konu ‘güvenlik’ olduğu zaman, bunun genel BT biriminden ayrı olması gerektiğine değinen Coviello, “Bu kulağa kolay gibi geliyor, ama hiç değil” diyerek, şu gerekçeleri sıraladı: “Temel sorun bütçeler. Bütçeler doğru konumlandırılmadığı için korunmak için de yeterli olmuyor. Anlayışı değiştirmek gerek. Aksi halde, doğru zamanda açığı bulup, zararın önüne geçmek mümkün olmaz. Güvenlik alanında doğru yeteneklere sahip insan kaynağına da ihtiyacımız var. Ayrıca güvenlik konusunda farkındalık şart. Düşmanı anlamak gerek. Basının işi bu gibi durumlarda zor. Onların haberleri bir süre için sansasyon yaratıyor, ama basın, bizim gibi güvenlik şirketlerinin gördüğünü görmüyor. Oysa kamuoyuna yansıtılan şey, buzdağının görünen yüzü. Sorunun temeli ise buzdağının görünmeyen, dev bölümünde.”
Tom-Heiser-Zekâ tabanlı güvenlik modeli
Coviello’ya göre, bu alanda olgunluğun 4 aşaması var: ‘Kontrol’, düzenleyici baskısı ve bütçe baskısını beraberinde getiren ‘kurallara uyum’, ‘BT riskleri’ ve son olarak da ‘iş riskleri’. Coviello’nun ardından sözü RSA Başkanı Tom Heiser aldı. Geçen aylarda kendini gösteren değişime, kamu ve sektör paydaşları arasında artan paylaşıma işaret eden Heiser, elde edilen faydaların gerekçesi olarak da risk yönetimini kurumların ve BT’nin bütününe yaymalarını gösterdi. Her şirketin saldırılara hazır olması gerektiğinin altını çizen Heiser, “Bu nedenle zekâ tabanlı güvenlik modeline geçiş zamanı geldi” dedi. Heiser, şu detayları da ekledi:
“Şirketler, risklere karşı ‘fark etme’ ve ‘savunma’ modeli geliştirmeli. Şirket ve çalışan güvenliğini tehdit edenleri bulabilmek gerek. Şirket çalışanları da riskler, iş ve gizlilik riskleri konusunda sürekli bilgilendirilmeli. Geçen yıl yaptığımız görüşmelerle bu konudaki eksikliği net biçimde gördük. Bir tarafta da risk ve kurallara uyum dengesini sağlamak hiç kolay değil. Çünkü bazı düzenlemelere uyum, kurumsal güvenliğe zarar verebiliyor. Ama gizlilikte olduğu gibi, bu konuda da denge sağlamak gerek.”

Branden-WilliamsHer şeyin temeli, şirketin kendini ‘doğru’ analizi

RSA Pazarlama CTO’su Branden Williams, sohbetimize “Geleneksel güvenlik sistemleri artık işe yaramıyor, riskler artarken işin doğası değişiyor” sözleriyle başladı. Geçmişin ‘tek bakış açılı’ güvenlik uygulamalarının artık çok açılı olması gerektiğinin altını çizen Williams, analiz süreçleri, güncel eğilimler ve şirketlerin yapmaları gerekenlerle ilgili şunları söyledi:
“Gelişen risklere rağmen, hala eski moda önceliklerle hareket edilebiliyor. Oysa sadece düzenlemeleri değil, birçok şeyi güvenlik yapısında dengelemek gerek. Şirketler ise ancak kendileri veya rakiplerine büyük bir saldırı olduğu zaman güvenlikte bir değişimin gerekli olduğunu fark ediyor. Zekâ tabanlı güvenlik burada önemli. Temeli ise farklı taraflar arasında sağlıklı ve sürekli bilgi ve istihbarat paylaşımını sağlamak. Yani şirket dışından bilgi akışı sağlarken,  şirket içini sürekli gözlemleyebilmek gerek. Bu, büyük veri gerçeğinin de bir gerekliliği. Güvenlik, hep BT departmanının fonksiyonu gibi görülüyor. Çünkü bugünlere böyle gelindi. Ama benim şahsi fikrim güvenlik ayrı, bağımsız bir yapı olmalı, BT’den ayrılmalı, kendi bütçesi olmalı. Veya genel BT bütçesinde ‘güvenlik’ ayrıca bütçelenip, BT birimi içinde yerini koruyabilir. Denetim, fark etme ve uygun yanıtı verme adımlarını doğru biçimde atabilecek olduktan sonra güvenlik istenen yerde kalabilir. ‘Kendi cihazını getir’ (BYOD) yapısında ise iki taraflı risk var. Şirket için kişisel cihaz; kurumsal bilgi ve ağ için risk demek. Buna karşı şirket, kişisel cihaza da kendi kurumsal güvenlik yapısını yükletiyor. Bu da birey için sıkıntı. Çünkü o da, kendi kişisel cihazında kendisini takip eden şirket BT’si istemiyor. Orta noktayı bulabilmek gerek. Çünkü BYOD, şirket için birçok açıdan aslında bir avantaj. BT yönetiminde kişisel cihaz odaklı maliyet avantajı ve şirket çalışanlarında farkındalık sağlanabiliyor. Bu konuda yasakçı olan şirketler ise geride kalacak. O yüzden şirketler bu yapının çalışması için önce kendi kurumsal yapılarını oluşturmalı.”

Jimmy-Wales-Bu paylaşımın önü alınamaz!

- Tüm sunumlarda risk ve sektör bazlı düzenlemelere uyuma, bu iki başlık arasında dengenin oluşturulmasının önemine dikkat çekildi. Siber güvenliğin sürekli bir değişim içinde olduğuna işaret edilirken, kurumsal güvenlik yapısının da aynı paralelde değişim ve uyum sergilemesinin önemi vurgulandı.
- Etkinliğin ikinci günü akşamında Anonymous’un yıllar içindeki gelişimini ve saldırı felsefelerinin altında yatan sebepleri, küresel kimlik kazanmalarının sırlarını anlatan ‘We Are Legion: The Story of Hacktivists’ isimli belgesel filmin gösterimi yapıldı. 1,5 saatlik belgeselin yönetmenliğini ise Brian Knappenberger yaptı.
- Üç gün süren etkinliğin kapanış konuşmacısı Wikipedia’nın yaratıcısı ve internet girişimcisi Jimmy Wales oldu. Etkinlikten kısa bir süre önce evlenen Wales, neden balayına gitmek yerine zirveye geldiği yönündeki soruya, “Etkinlik benim için daha önce takvimlenmişti” yanıtını verdi ve demokrasi, internet, Wiki yapısı ile ilgili şunları söyledi:
“Burası bir ansiklopedi ve insanların bilgisini sunuyor. 270 farklı dil, 20 milyon makale var. Küresel bir fenomen yarattık. Geçen ayki tekil ziyaretçi sayımız 490 milyondu. Editör yapımızın yüzde 87’si erkek, yaş ortalaması ise 26. Konuşma ve internet özgürlüğü önemli. Arap Baharı gösterdi ki, iletişim araçları önemli, ama asıl önemli olan bireyleri ve onların güvenliklerini koruyabilecek kurumları oluşturabilmek. Geleceğin tehditleri söz konusu olduğunda ise sansür ve zorlayıcı düzenlemeler hala birçok ülkede tehdit. SOPA gibi aptalca yasal uygulamalar gündeme geliyor. Çin’deki engelleme sistemi de yararlı değil. Bunun yerine, bireylere düzgün ve doğru kullanım rehberleri sunulmalı.”
ETİKETLER : Sayı:893