Bilişim Dünyası 23 ARALIK 2013 / 08:08

‘Yeni teknolojiler- artan tehditler- daralan bütçeler’ sarmalı

Ernst&Young (EY) ‘Küresel Bilgi Güvenliği 2013’ araştırması, kurumların BT’ye bakışını ortaya koyuyor. Riskler artıyor, güvenlik sadece BT biriminin değil şirket bütününün işi. EY Danışmanlık Hizmetleri Ortağı Emre Beşli ile konuştuk.

EY araştırmasının ortaya koyduğu temel sonuçlar neler?
Bu anket 16’ıncı kez yapılıyor. Tehdit yaratan 3 temel teknik; oltalama, zararlı yazılımlar ve SPAM. 64 ülkeden 25 sektörde bin 900 katılımcı var. Türkiye’den 20’ye yakın şirket katıldı. Tehditler her yıl artıyor ama son 2-3 yıldır tehdit yapısında değişim var. Saldırıların motivasyonunun değişmesiyle, şirketler de kendi stratejilerini yeniden belirliyor. Sosyal tarafta özellikle çalışanların farkındalığı, bilgi güvenliği başlığında ne kadar uyanık oldukları önemli. Çünkü sosyal mühendisliğin etkisi artıyor. Eski tehditlere karşı farkındalık iyi durumda, ama yeni gelişen tehditlerde farkındalık düşük. Anketin en önemli sonucu da bu. Tehditler konusunda sürekli bilgi ve farkındalık sahibi olmak önemli. Bu sadece BT biriminin önceliği ve görevi değil, bu ortak temel konu.

Risklerde değişimi ve küresel tehditler ışığında ülkelerin, hukuk sistemlerinin tavırlarını nasıl değerlendiriyorsunuz?
Haklayıcı olup bu işi kişisel tatmin için yapan bir grup hala var. Ama siber saldırıları iki kelime ile özetleyebilirim: Politik ve mali kazanç. Güvenlik konusunda bu konuda bir geçiş dönemindeyiz ve hukuki süreçler, taşlar yerine oturduktan sonra şekillenecek. Devletler arasında yapılan tüm işlerde ne olacağı çok belli değil, ama bir tarafta da sistemlere girme, takip gibi eylemler sürüyor. Ülkeler güvenlik başlığında nasıl konumlanacak, bu önemli. NSA skandalı bu konuda bir farkındalık sağlayabilir. En zayıf ve en gelişmeye açık konular tüm şirketlerde bilgi güvenliği odaklı. Katılımcıların yüzde 65’i bilgi güvenliği bütçelerinin, yüzde 50’lik grup bilgi güvenliği alanında çalışacak personelin yetersizliğinden yakınmış. Bilgi güvenliği konusunda performansın nasıl olduğu, şirket olarak yapılan yatırımların karşılığının alınıp alınmadığı konusunda yeterli raporlama ve takip yok. Burada bir döngü olması gerek.

Bulut bilişim burada nasıl bir role sahip?
Bu saldırıları yapan grup kalabalık ve 7/24 aktifler, farklı kanallar kullanıyorlar. Şirketlerde savunma önceliğiyle çalışan kişiler ise mesai saatlerinde çalışıyor. Bir eşitsizlik var. Bulut bilişim burada kritik önemde. Saldıran taraf kadar savunma yapabilen, bu işin Ar-Ge’sine yatırım yapan, en ileri teknikleri takip eden bir bulut bilişim şirketi, her ölçekte şirkete bu platform üzerinden hizmet verdiği zaman bu konuda eşitlik sağlanabilir. Bizim yerel bulut bilişim şirketlerimizin, veri merkezlerimizin oluşması önemli. Bulutta bilgi güvenliği endişesine rağmen, aslında bu hizmeti veren birçok şirket için işin temeli güvenlik. Bu gelecekte daha çok tartışacağımız bir konu olacak. Bilgi güvenliği aslında bilginizi tanımanız demek. Şu anda taşların oturması sürecindeyiz. Bulut bilişim şirketlerinin rolü biraz da bu süreçten etkilenecek. Bulut bilişim şirketlerinin bu durumun farkında olduğunu düşünüyorum.
ETİKETLER : Sayı:951