Dosya Güvenlik 23 ARALIK 2013 / 10:20

Neden ve nasıl bir güvenlik politikası?

Kurumların etkin bir güvenlik yönetimi yapabilmesi önem kazanıyor.Bu noktada oluşturulan güvenlik politikalarının uygulanabilir ve ölçümlendirilebilir olması gereğine işaret ediliyor.

Günümüzde şirketlerin tüm verileri internet üzerinde kaydediliyor. Ayrıca iş akışları ve iş süreçlerinde internet kullanımı olmazsa olmazlar arasında. Bu nedenle şirketler için güvenlik politikalarının oluşturulması kaçınılmaz bir zorunluluk olarak karşımıza çıkıyor.
Uzmanlara göre şirketlerin güvenlik politikası oluşturması ve oluşturulan bu güvenlik politikasının da taşıması gereken birtakım özellikler var. Güvenlik standartlarına uyum konusunda dünyada ve ülkemizde farklı çalışmalar yapıldığını belirten 4S Güvenlik Grup Yöneticisi Evren Bilgiç, buna paralel olarak da kurumların etkin ve ölçülebilir güvenlik yönetimi yapabilmesi için politikalar üretmesi ve uygulamasının kaçınılmaz bir hal aldığını belirtti. Güvenlik politikalarının öncelikle üst yönetim tarafından desteklenen, kurumun tüm unsurlarını kapsam içine alan, çalışanların etkin katılımını sağlayan ve hepsinden öte uygulanabilir olarak hazırlanması gerektiğine inandıklarını belirten Bilgiç, “Güvenlik süreçlerini oluşturacak, uygulayacak, izleyecek ve değerlendirmeler yaparak mevcut sistemi iyileştirecek uzman güvenlik yöneticilerinin de kurumlarda istihdam edilmesi güvenlik politikalarının uygulanabilirliği bakımından her geçen gün daha önemli olacaktır” diye konuştu. Arbor Networks Güneydoğu Avrupa Bölge Müdürü Ivan Straneiro’ya göre ise tam anlamıyla güvenlik için, öncelikle çalışanların eğitilmesi, güvenlik en iyi deneyimlerinin günlük operasyonda kullanılması ve bütün çalışanlara bildirilmesi gerekiyor. Daha sonra güvenlik nasıl ve ne yönde geliştirilebilir diye tartışmakla yola devam edilebiliyor.
Ana noktaya dikkat edilmeli
Eset Türkiye Teknik Müdürü Erkan Tuğral ise temel güvenlik unsurlarını başta genel olarak güvenlik algısını kapsayan dış güvenlik ve son yıllardaki bilgi sızdırma olayları ile iyice önem kazanan iç güvenlik diye ikiye ayırıyor. Bu iki kavramın nasıl çalıştırılacağını belirleyen kapsamlı bir güvenlik politikasının da bu unsurların ayrılmaz bir parçası olarak eklenebileceğini ifade eden Tuğral, sözlerini şöyle sürdürdü: “Kaybedecek şeyi çok olan, yani iş süreçlerini en fazla BT altyapısına aktarmış ve sayısal varlıkları değerli şirketlerin güvenliğe de o denli değer verdiklerini, güvenliğe daha bütünsel ve süreçlerinin önemli bir parçası olarak gördüklerine şahit oluyoruz. Bu önem seviyesi azaldıkça güvenlik konusunda da birtakım boşluklar oluşuyor ve güvenliğe verilen önem azaldığı görülüyor. Temel konu aslında, yaygın yaklaşım olan güvenliği mevcut uygulamalara göre şekillendirmek yerine bu güvenlik uygulamalarını gerçek bir araç olarak kullanıp asıl amaç olan güvenlik politikasını gerçekleştirmek üzere kullanmak olmalı.”
IBM Türk Güvenlik Ürünleri Satış Müdürü Pelin Konakçı da sürekli değişen ve gelişen güvenlik tehditleri şirketler için her gün yeni bir güvenlik ihlali riski doğurduğunu belirterek şu değerlendirmelerde bulundu: “Kısıtlı bütçeler, kaynaklar ve uzmanlık bu tehditlerle mücadeleyi daha da zor bir hale getiriyor. Ağ, web ve internet güvenlik çözümlerini seçerken çözümlerin dünya standartlarında araştırma ve geliştirme kapasiteleriyle desteklendiğinden emin olmak gerekir. İnsan, veri, uygulama ve altyapı başlıklarını ele alan katmanlı savunma ortamında ortaya çıkan siber güvenlik tehditlerine önleyici koruma sağlamak için; sonuç tabanlı risk değerlendirmesi, hızlı ve çevik koruma ve çok katmanlı güvenlik metotları sunan yeni yaklaşımlar gereklidir. Mevcut konjonktürde, IBM olarak bu anlamda en etkili güvenlik politikası olarak tümleşik iletişim hizmetleri ve çözümlerin benimsenmesi gerektiğine inanıyoruz.

Güvenlik noktasında Itway VAD Türkiye Müdürü Korman Akman, kurum genelinde kullanıcıdan yöneticiye kadar tüm çalışanların sahip olduğu bilgi değerlerinin nasıl kullanılacağının yazılı olarak tüm hatlarıyla belirlenmesi gereğine dikkat çekiyor. Ağ ve güvenlik politikalarının kurumların yapı ve gereksinimlerine göre tamamen farklılık gösterdiğini ancak oluşturulacak politikaların mutlaka uygulanabilir olması gerektiğini ifade eden Akman, “Hangi bilgilerin nasıl korunacağının kesin olarak belirlenmesi gerekmekte” dedi. Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk’un verdiği bilgiye göre ise araştırmalar güvenlik ihlallerinin yüzde 30’undan fazlasının, 100 veya daha az çalışanı olan şirketlerde meydana geldiğini ortaya koyuyor. Merkezi güvenlik politikası bulunmayan bir şirket için bu tehditlerle birlikte ayakta kalabilmenin oldukça zor olduğunu belirten Selçuk, şöyle konuştu: “Çünkü bir KOBİ’nin siber saldırı karşısında yaşayacağı finansal kaybın büyüklüğü 38 bin dolara kadar ulaşabiliyor. Büyük şirketler için ayrı bir departman tarafından, merkezi bir güvenlik politikası oluşturmak kısmen daha kolay. Oysa küçük şirketlerinin çoğunun BT departmanı bile bulunmuyor.”
Güvenlik politikaları yaşayan belgelerdir
Komtera Teknoloji Müdürü Ozan Özkara da güvenlik politikasının bir şirket ya da yapının fiziksel ve bilgi teknolojisi (BT) varlıkları korumak için plan ve amaçlarının yazılı olduğu genel belgeler olduğu görüşünde. Bir güvenlik politikasının genellikle yaşayan belge olarak kabul edildiğini ve teknoloji, iş ihtiyaçları ve çalışanların gereksinimleri değiştikçe sürekli güncellendiğini ifade eden Özkara, şu değerlendirmelerde bulundu: “Dolayısıyla ölçüm yapılandırması sağlam bir güvenlik politikası oluşturmak için önemlidir. Bu nedenle bulunduğunuz sektör ihtiyaçlarını, kurum iç dinamiklerini, kurum varlık yapılandırmasını, iş ihtiyaçlarınızı, zayıflıklarını, avantajlı olduğunuz güvenlik gereksinimlerini, regülasyonları iyi anlayıp çıktılarını iyi hesaplayıp bir model olarak ortaya koyabilmeniz önemlidir. Durumun hem güvenlik politikalarını hem de tüm güvenlik teknolojik yapılandırmanızın sizi yansıtması açısından kritiktir.”
“Güvenlik politikası güncellenmeli”
Labris Genel Müdür Yardımcısı Baran Erdoğan’a göre de BT sistemlerinde güvenliği sağlamanın yöntemi bu güvenliğin sürekli olması. Bu sürekliliği sağlayabilmenin de en önemli aracının şirketin düzenli olarak teknolojinin gereklerine ve değişimine göre güncellenen bir güvenlik politikası oluşturması olduğunu belirten Erdoğan, sözlerini şöyle sürdürdü: “Bu politikanın uygulanmasının sonucunda oluşturulan süreçler tüm bilgi güvenliğinin belkemiğini oluşturup sürekliliği sağlamalıdır. Bu politikaları ve süreçleri oluştururken özellikle, güncellenen şirket gereksinimlerini, insan, süreç ve BT sistemleri de dahil olmak üzere tüm bileşenleri göz önüne alarak planlama yapılması gereklidir. Bu bacaklardan sadece bir tanesi bile aksar ise bunun kurumlara maliyeti çok yüksek olabilir.” Trendmicro Akdeniz Bölgesi Kıdemli Satış Mühendisi ve Güvenlik Danışmanı Murat Songür de bilgi güvenliğinin yaşayan ve gelişen bir kavram olduğu görüşünü taşıyor. Her kurumun, sahip olduğu farklı dinamikler nedeni ile bu süreci farklı yaşadığını belirten Songür, sözlerini şöyle sürdürdü: “Kurumların sahip oldukları sayısal varlıkları doğru bir şekilde belirlemesi ve bu varlıkların sayısal iş akışı içindeki yaşam döngüsünü tanımlaması gerekiyor. Bu belirleme ve tanımlamalar dahilinde her kurum, bu verilere yönelik saldırıların gelebileceği noktaları belirlemeli ve bunlara uygun önlemleri tanımlamalı. Zaten güvenlik politikasını da bunlar oluşturuyor.
Prolink Satış Öncesi Sistem Mühendisi Aydın Can Fındıkçı da siber atakların yaşam döngüsü göz önüne alındığında, risklerin yalnızca saldırı anında ortaya çıkmadığı, sistem içerisinde kalıcı olmaya ve zararlı yazılımlarını sürekli olarak yaygınlaştırmaya çalıştıklarının görüldüğüne değindi. Fındıkçı, şöyle devam etti: “Güvenlik politikaları geliştirememiş kurum ve şirketler siber ataklara maruz kaldıklarında, risk faktörleri hızla büyüyerek saldırının amacının dışındaki sistemlere de yaygınlaşmakta. Güvenlik politikaları oluşturulması bizlere risk faktörlerinin analizlerini yapılabilme, risklerin büyümesini önleyebilme yetenekleri sağlar. Risklerin en aza indirilmesi ve siber güvenliğin üst seviyede tutulabilmesi için güvenlik politikalarının oluşturulması ve bu politikalar oluşturulurken, teknoloji ile birlikte insana yatırım yapılmasının önem taşıdığı, güvenliğin sürekli yönetilecek bir süreç olduğu unutulmamalıdır.”
Websense Satış Mühendisi, CEMEA Müdürü Ferdinando Mancini de güvenlik çözümlerinin de her içeriğe uygun şekillenmesinin önemine dikkat çekti. Güvenlik ilkelerinin müşterinin hangi verilerinin kıymetli olduğunu algıladığı değerlendirme döneminin sonucunda ortaya çıktığını ifade eden Mancini, kuralları belirlemek için sorulacak soruları da şöyle sıraladı: “Veriye kim erişiyor?, Veri nedir?, Veriler nereye gidiyor?, Veriler nasıl gidiyor?”

“Güvenlik bir süreçtir”

Kobil Türkiye Ülke Müdürü Ümit Yaşar Usta’ya göre güvenlik konusu dipsiz bir kuyu. Güvenlik “yaptım bitti, oldu” denilerek ulaşılabilecek bir hedef olmadığına dikkat çeken Usta, güvenliğin sürekli yaşatılması, güncellenmesi ve yoğunluğunun artırılması gereken bir süreç olduğunu altını çizdi. Güvenlik konusunda en zayıf noktanın da her zaman bilgisayarları kullanan son kullanıcılar olduğunu dile getiren Usta, şöyle konuştu: “Bu nedenle güvenlik çözümlerinin sadece uzman bilgisayar kullanıcıları için değil, bilgisayar bilgisi üst düzey olmayan kullanıcılar için de koruma sağlayabilmesi gerekir. İyi bir güvenlik çözümünün güvenlik işini kullanıcıya bırakmaması ve pek çok saldırıyı otomatik olarak durdurabilmesi gerekir. Bunun için haklayıcı gibi düşünmek, dünyada söz sahibi olan pek çok güvenlik laboratuvarı ile iletişimde olmak, güncel saldırı yöntemlerini takip etmek ve her zaman saldırgandan bir adım önde olabilecek güvenlik mekanizmaları için Ar-Ge yapmak gerekir.”

“Güvenlik politikaları için dikkat edilmesi gereken pek çok nokta var”

Palo Alto Networks Gelişen Pazarlar Bölge Satış Direktörü Ercan Aydın’a göre de her kurumun içinde bulunduğu sektöre göre belli güvenlik standartlarını oluşturması önemli bir zorunluluk. Aydın güvenlik politikalarını hayata geçirir ve denetlerken önerdikleri dikkat edilmesi gereken noktaları ise şöyle sıraladı: ”Kurum için en önemli uygulamalar hangileridir? Kurum içerisinde kullanılmasına izin verilen uygulamalar hangileridir?, Hangi uygulamalar kurum içerisinde kesinlikle kullanılmamalıdır? Hangi kullanıcılar, hangi uygulamalara, hangi erişim hakları ile ulaşmalıdır?, Ağ trafiği bilinen (Zararlı yazılım, Casus yazılım, URL vb.) ve bilinmeyen (APT - Odaklı Saldırılar ) saldırılara karşı korunuyor mu?, Ağ trafiğinin ne kadarı şifrelenmiş durumda. Şifrelenen bu trafiğin içinden akan trafiğin ne olduğu denetleniyor mu?,  Güvenlik yönetimi tek merkezden tüm saldırı ihtimallerine karşı yapılabiliyor mu?.”

“Kurumsal güvenlik politikası bir zorunluluk”

Teknoser Network ve Güvenlik Teknolojileri Danışmanı Engin Şeref, güvenlik politikasını kurumların bilgi işlem sistemleri alanında yaptıkları yatırımları güvenli tutmalarını sağlayan ve kurumsal hayatın bir parçası haline getiren uygulamalar ve prosedürleri olarak tanımlıyor. İşlerin artık bilgisayar ve internet ortamında yürütüldüğü göz önünde bulundurulduğunda kurumsal güvenlik politikası bir zorunluluk olduğunu altını çizen Şeref, “Her ne kadar kurumlara saldırı olduğunda ilk olarak aklımıza dış saldırılar gelse de, kurumların en çok karşılaştıkları saldırılar bilinçli veya bilinçsiz olarak iç kullanıcılarından gelen saldırılardır. Güvenlik sadece kurum dışı kaynaklara karşı bir koruma olarak görülmemeli, hem iç hem de dış kaynaklardan gerçekleşebilecek olduğunun farkında olarak değerlendirilmelidir. Dolayısıyla güvenlik politikası kurum kullanıcılarının farkındalığını sağlamak ve arttırmak için gereklidir” şeklinde konuştu.

“Güvenlik politikasının uygulanabilir ve ölçümlendirilebilir olması önemli”

Her kurumun en değerli varlığı olan bilgiyi korumak için hem fiziksel hem de sanal önlemler almak zorunda olduğunu belirten Symantec Bölge Satış Yöneticisi Aydın Aslantaş, önümüzdeki dönemde bu gerekliliğin daha da artacağını dile getirdi. Tüm dünyada bilişim teknolojilerinin kurumların günlük hayatına yerleşmesiyle beraber büyük bir veri patlaması meydana geldiğini de ifade eden Aslantaş, şu yorumlarda bulundu: “Kurumların saklaması gereken dokümanların sayısı ve bu dokümanlara istenildiği zaman erişilmesinin önemi de giderek artıyor. Bu bağlamda hem doküman yönetimi teknolojileri hem de bu teknolojiler ile beraber olarak çalışan arşivleme, depolama ve yedekleme çözümlerinde kurumlar eskisine göre çok daha bilinçli davranmaya başladı. Güvenlik politikalarının belirlerken dikkat edilmesi gereken en önemli konu uygulanabilir ve ölçümlendirilebilir olmasıdır. Kurumların bilgi güvenliği politikalarını oluştururken iki noktayı baz almaları gerekiyor. Bunlardan ilki tüm bu stratejilerin risk temelli olarak oluşturulması, ikinci olarak tüm kurum bilgi güvenliği yapılanmasının ve bunu sağlamaya yardımcı olacak bilgi teknolojileri altyapısının bilgiye odaklı olarak baştan şekillendirilmesi gereklidir. Bu süreçteki en kritik adım, kurum bilişim stratejilerinin bilgi odaklı şekillendirilmesi olacaktır. İlgili stratejilere paralel olarak, atılacak ilk adım ise çalışanların hangi bilgilere nasıl ulaşabilecekleri, bu bilgileri kimlerle ve hangi yöntemlerle paylaşabileceklerinin belirlenmesi ve denetlenmesi gerekiyor.”

“Bilgi güvenliği politikalarında yönetişim, risk ve yasal uyumluluk kritik başarı unsuru”

Bilişim sistemlerinin yazılım, donanım ve de insanlardan oluşan yapılar olduğunu belirten Microsoft Ortadoğu ve Afrika Kamu Özel İşbirliği Projeleri Direktörü Buğra Karabey, güvenlik yönetimi bağlamında en önemli unsurun bu farklı bileşenleri kapsayan ve birleştiren bilgi güvenliği politikaları olduğuna dikkat çekiyor. Burada GRC denilen Governance, Risk ve Compliance (Yönetişim, Risk ve Yasal Uyumluluk) yaklaşımının kritik başarı unsuru olduğunu ifade eden Karabey, şu değerlendirmelerde bulundu:” Microsoft olarak bu alanda uçtan uca yönetişimi ve risk yönetimini mümkün kılan çözüm ve yaklaşımlarımız ve bunları hayata geçirmeyi destekleyecek uzman hizmet ekiplerimiz mevcut. Önümüzdeki dönemde bu konular, kişisel verilerin korunması (Privacy) bağlamında da önem kazanacak. Ülkemizde bu konuda yapılmakta olan yasal düzenlemeler ve regülasyonlar, kurumların üstlendiği sorumluluğu ve dolayısı ile de karşı karşıya oldukları riski de arttıracak ve bilgi güvenliği politikaları burada kritik başarı unsuru olacak. Aslında bilgi güvenliği politikaları, kurumlardan öte devletler seviyesinde de büyük öneme sahip. Ülkemizde geçen sene teşkil edilen Ulusal Bilgi Güvenliği Üst Kurulu bu konuda önemli bir adım. Bu kurulun belirleyeceği bilgi güvenliği politikaları, ülke çapında bilgi güvenliği yolculuğumuzda yol haritasını teşkil edecek.”
ETİKETLER : Sayı:951