Dosya Güvenlik 02 ŞUBAT 2015 / 08:57

Güvenlik Açıkları Yönetim Sistemi kavramı oturtulmalı

Bazı kurumlarda bir güvenlik strateji ve politikasının olduğu bazılarında ise olmadığı görülüyor. Ancak bunlar olsun diye yapıldıysa, kendi hallerinde yapılar olarak kalıyor. Şirket stratejilerine hizmet edecek bir bağlantıları olmadığı gibi, şirket politikalarıyla da ilgili olamıyor. Bilgi güvenliği stratejisi tam olarak şirketin stratejisi ile uyumlu olmalıdır. Politikalar şirketin hem yasal hem de kendi standartlarına uyumu içermelidir. Böyle olmayan strateji ve politikalara sahip kurumların, bir süre güvenlik işlerini götürebildiklerini ancak bir kaç yıl içerisinde bu yapının yıkıldığını kaydeden Securist Genel Müdürü Erhan Görmen, şu bilgileri verdi:

“Oysa güvenlik olaylarının ister imaj, ister iş gücü, ister veri kaybı olarak açtığı sorunların büyüklüğünü görebilen, kendini her konuda sorumlu gören yöneticiler uygun bir strateji ve politika oluşturabiliyorlar. Bu strateji ve politikaları oluştururken kurumsal risklerini belirleyip, diğer yönetim sistemlerinin bu risklerle bağlantılarını sağlayabiliyorlar. Ellerinde böyle bir harita olunca yön bulmak da kolay oluyor ve bilgi güvenliği strateji ve politikaları, kurumun hedeflerine yürümesini sağlayacak araçlar haline geliyor.”

Saldırıları karşı en önemli önlemin çalışanların farkındalık ve yeterliliklerin artırılması olduğunu kaydeden Görmen, sözlerini şöyle sürdürdü:

“Çalışanların bilgilerini artırarak mantıklarını kullanmaya başlaması, bu saldırılar karşısında önemli bir engel çıkarmaktadır. Tek bir seferlik anlatımla değil, her zaman bu konulara dikkat çekerek konunun oturması sağlanmalıdır. Ayrıca bu tür saldırıların ilk fark edildiği anda gerekli uyarıların yapılması için adımların atılması, saldırının amacına ulaşmasını engelleyecektir. Güvenlik açıklıkları ile ilgili konularda ise artık Güvenlik Açıkları Yönetim Sistemi kavramının oturtulması gerekmektedir. Güvenlik açıklıkları tek seferlik taramalarla değil, sürekli taramalarla kontrol altında tutulmalıdır. Her zaman olayın tarihçesine dönülebilir olmalıdır. Üstelik belirlenen açıklıkların kapatılması da takip edilebilir olmalıdır. Hangi sistemlerin iletişim ağına girip çıktığı izlenebilmelidir.”

İç tehditlerin gözardı edildiğini kaydeden Erhan Görmen, bu konuda şu bilgileri verdi:

“Genellikle iç tehditler bu konuda bir tehdit unsuru olarak görülmediklerinden farkındalıklarını artırıcı önlemler daha standart şekilde ve sürelerde yapılmaktadır. Farkındalığın artması ve alınan diğer güvenlik önlemlerinin işe yarar hale gelmesi, ancak tekrarın artması ile olabilmektedir. Eğitimler ya da uyarılar bir seferlik değil, sürekli ve farklı şekillerde hayata geçirilmelidir. Verilen eğitimlerin etkinliğinin ölçülebilmesi bu sonuçların oluşmasında ayrı bir sorun olarak karşımıza çıkmaktadır. Bir eğitime katılınması ya da testten 100 puan alınması, ne yazık ki gerçek hayatta o bilgilerin uygulanacağı anlamına gelmiyor. Bu nedenle kurumlar bu uygulamaları test ettirerek etkinlikleri ölçmelidirler. Sosyal Mühendislik Testleri denilen bu çalışmaların sonuçları kurum yöneticileri için inanılmaz sonuçların doğmasına neden olabiliyor. Diğer taraftan şirketin ve kişisel hedeflerin sürekli tekrarlanması, hatta bu hedeflerin ülkenin hedeflerine sağladıkları gibi etkenlerle çalışanların bu hedeflere ulaşmadaki katkıları onlara gösterilmelidir. Böylece çalışanlar işi yaparken sadece işi yapmakla kalmayıp, yaptıkları işin değeri doğrultusunda yapmaları gerekenleri daha içselleştirebileceklerdir. Bu da kurumun hedefine ilerlemesinin en önemli desteği olacaktır.”

 

 
ETİKETLER : 1007