Bilişim Dünyası 23 TEMMUZ 2016 / 17:45

Güvenliğe hak ettiği önemi verme zamanı

Intel Security Türkiye - Azerbaycan Bölge Direktörü Özar’a göre, entegre, gerçek zamanlı ve farklı veri kaynakları ile sürekli öğrenen bir güvenlik yapısı şart.
Konu teknoloji olunca en yeni ürünü almayı seviyor, ‘pahalı olan iyidir’ diyoruz ama güvenlikte gidip en ucuzunu almaya çalışıyoruz. “Bu yaklaşımın özellikle güvenlik konusunda değişmesi gerek” uyarısını yapan Intel Security Türkiye - Azerbaycan Bölge Direktörü İlkem Özar’ın da dikkat çektiği gibi, eskiden belli başlıklarda alanının en iyi ürün veya çözümlerini konumlandırmak yeterli olurdu. Ama bugün bu yapılar kendi aralarında konuşup entegre bir yapı oluşturmuyorsa, o zaman etkili de olmuyor. Yani ürünün özelliğinin yanında, entegrasyon becerisi ve yetkinliği, sağladığı verim önem taşıyor. İlkem Özar’ın verdiği örnek gibi, bir futbol takımı en iyi oyuncusu ile değil, 11 oyuncunun birbiri ile uyumlu performansı ile maçta galip gelir. Güvenliği de buna benzetmek mümkün. Ama dış kapı ve iç kapılardaki görevliler birbirleri ile konuşmuyorlarsa, büyük bir problem var demektir. Bu problemin yaygınlığı da saldırı türlerinde çeşitliliği beraberinde getiriyor. Oysa entegre sistemle bir anomali halinde alarm durumuna geçiliyor, tüm uç noktalar haberdar ediliyor. Böylece Özar’ın tabiriyle, kurulan entegre, gerçek zamanlı ve çok farklı veri kaynakları ile sürekli öğrenen bir güvenlik yapısı söz konusu oluyor. Tüm kapılardaki güvenlik unsurlarının birbiri ile kesintisiz iletişiminin sağlanmasının gerekliliğini, küresel şirketler ve Türkiye’de güvenliğe bakışı İlkem Özar ile konuştuk:
 
Ortak hareket artık bir gereklilik mi? 
Evet, güvenlik firmalarının da ortak hareket etme bilincinde olması önemli. Bu bir yatırım maliyeti demek olsa da, olası bir risk halinde yaşanacak kayıplar çok daha yüksek olabilir. Kurumsal yapı ve öncelikler ışığında danışmanlık desteği alarak bir yapı kurgulamak çok önemli. Bu konuda farkındalık ve gelişim var ama yeterli değil. Sadece BT güvenliği yerine, tüm kurumsal güvenliği sağlayacak bir kurgu önemli. Uç noktalarda farklı çözümler konumlandırmak kadar, bu çözümlerden kimlerin sorumlu olduğunu da saptamak şart. Yani insan kaynakları birimini de dahil eden bir sorumluluk yapısı ortaya konulabilmeli. Bu, gerçek anlamda verimli entegrasyonu da sağlar. Güvenliği entegre eden merkezi yapının bakış açısı bu şekilde geliştirilebilmeli.
 
Türk şirketlerinin bu konuda yetkinliğini nasıl değerlendiriyorsunuz?  
Telekom şirketleri ve özellikle bankalarda bu güvenlik bakış açısının yerleşik olduğunu görüyoruz. Bu yaklaşım kamuda da kendini gösteriyor, ama gelişmesi gerek. En zayıf olanlar ise orta ölçekli firmalar. Onlar farkında değiller, ama çok iyi birer hedefler. Bu konuda yaptıkları yatırımlar da yüzeysel kalabiliyor. Onlar için güvenlik çözümlerinde fiyat odaklılık öne çıkıyor. İşte bu nedenle her ölçekte şirkete günümüzde nasıl bir güvenlik yapısı kurmaları gerektiğini baştan sona anlatmak lazım. Yani önce farkındalık geliştirmek şart, çünkü riskler git gide çeşitleniyor. Bu, kurum içinde ‘güvenlik sorumluluğu’ başlığında ayrı bir görevlendirmeyi gerekli kılıyor ve ‘bilgi güvenliği yetkilisi’ gibi görevlendirmeler kurumsal hiyerarşilerde öne çıkıyor.
 
Yani ‘Güvenlik sadece BT biriminin işi değil’ diyebilir miyiz?
Evet. BT biriminde sadece bu konuda yetkili bir isim olmalı ve kurum bütünündeki farkındalıkla paralel hareket edebilmeli. Yurt dışında bu oluşum var ve Türkiye’de de bazı firmalarda, özellikle bankalarda bunu görüyoruz. Ama daha yaygın olmalı.
 
Riskler ne yönde çeşitleniyor? 
Farklı amaçlar var. Türkiye’de yetkin bilgisayar ve internet kullanımı var, ama teknolojiyi kullanırken gereken önlemleri yeterince almıyoruz. Oysa gerekli önlemleri almaya alışmamız lazım. Sonuçta evden çıkarken kapınızı açık bırakmazsınız ama bilgisayar veya mobil cihazda bu gereklilik göz ardı edilebiliyor. Bu da Türkiye’yi her türlü saldırıda hedef haline getirme potansiyelini taşıyor. Jeopolitik olarak da karışık bir bölgedeyiz. Bu da risklerin artmasına yol açıyor. Olası kayıpların maliyeti çok daha büyük ve bu konuda karar vericiler maliyet hesabı yaparken yeterince geniş bakamıyor. Aslında bir bütün olarak sigorta mantığının yerleşmesi gerek.
 
Bir araştırmanızda bulut bilişim ve güvenlik bağına dikkat çekiyorsunuz. Bu konuyu Türkiye özelinde nasıl değerlendiriyorsunuz? 
Araştırmada ana mesaj şu: Gelecek 5-10 yılda bulut bilişim yatırımları artacak. CIO’ların yüzde 80'ine yakını bunu belirtiyor. Bulut bilişim güvenliği bu yönüyle öne çıkıyor. Bulut bilişimin gelişmesi için Türkiye’de bazı gereklilikler var. Sonuçta hem bulut bilişim kullanımına imkan tanıyan hem bulut yapısında güvenli olmayı sağlayan bir takım düzenlemeler gerekli. Bu ciddi bir veri merkezi işi. Türkiye’de bu alanda belli ölçekte hazır olan yerler var. Ben Türkiye’de çok büyük kurumlardan ziyade, yine orta ve küçük ölçekli kurumların özellikle belli iş pratikleri olmayan uygulamalarda rahatlıkla verilerini bulut yapısına taşımaları gerektiğini düşünüyorum. Örneğin Avustralya’da e-postaların yüzde 80’i bulutta konumlanıyor ve bu rakamın artması bekleniyor. Bizim yatırımlarımıza baktığımız zaman da küresel bazda özellikle e-posta tarzı işlerin daha fazla buluta kayacağı, uç noktada güvenliğin daha rahat hareket edebileceği öngörülüyor. Sonuçta Endpoint sadece bir antivirüs değil, birçok farklı özelliği içinde barındırıyor, tüm entegre sistemin eli kolu oluyor.  
 
Şirketler neler yapmalı?
Şirketlerin İK ve kurumsal politikalar, öncelikler gibi başlıklarda kendi yol haritasını çizmesi gerek. İş yapma biçiminde ezberler bozulmalı. Şirketler bu konuda adım atıp kendi yol haritalarını oluşturmakta güçlük çekiyor. Intel Security olarak, bu konuda gereklilikleri çok uzun zaman önce gördük ve şirketlerin bu yeni bakış açısını benimsemesi lazım. Özellikle de güvenlikte. Çünkü saldırılar ve bunların amaçları artık çok değişti, çeşitlendi.
 
ENDPOINT GÜÇLÜ BİR TEMEL
“Şu an en önem verdiğimiz konu Endpoint. Biz artık bu başlıkta sadece korumadan çıkıp, mutlaka düzeltmeye de geçiyoruz ve yeni ürünümüz Active Response’a ağırlık veriyor, Endpoint ile rekabetin de bu şekilde gelişeceğini öngörüyoruz. Küresel gelişim de bu beklentimizi destekliyor. Bu, Türkiye’de de ağırlık verdiğimiz bir başlık. Endpoint ile güçlü bir temel attık ve bunun üstüne yine güçlü katlar çıkabiliyor, entegrasyon gücünü sürekli geliştiriyoruz.”