e-toplum Kamu 30 NİSAN 2017 / 17:10

Standartlar ve öncelikler sürekli güncellenmeli

Siber Güvenlik 4.0 ve Felaket Yönetimi Teknoloji Platformu, 25 Nisan'da CVK Park Bosphorus Hotel İstanbul’da sektörün farklı paydaşlarını bir araya getirdi. Bilişim Zirvesi tarafından düzenlenen ve 250’yi aşkın katılımcının izlediği etkinlikte yapılan sunumlar gösterdi ki, riskler sürekli çeşitleniyor ve bu noktada dinamik, şirketin yapısına ve önceliklerine uygun bir güvenlik politikasını temel alan mimariyi inşa etmek, bu mimariyi de belli dönemlerde değil, sürekli geliştirmek şart.
BTburada - Norton, ForcePoint ve Fujitsu’nun Altın Sponsor, HP, InspireIT Oracle, Secureway ve Totolink’in Gümüş sponsor, Arena, Corpup, Cyalert, Morten, Pikare ve Quadro’nun Bronz sponsor olarak destekledikleri Siber Güvenlik 4.0 ve Felaket Yönetimi Teknoloji Platformu’nda katılımcı sponsorlar tanıtım alanlarında ürün ve çözümlerini de sergilediler.
'Siber güvenlik 4.0' anafikrini temel alan Teknoloji Platformu'nun açılış konuşmasını Bilişim Zirvesi Etkinlik Şirketi Genel Müdürü Neslihan Aksun yaparak, farklı konuları yetkin isimlerin katılımı ile bir araya getiren bu platform yapısının sektör için sunduğu faydalara değindi. BTHABER Şirketler Grubu Başkanı Murat Göçe ise yıllar boyu güvenlik odaklı çalışmalar yaptığını belirterek, "Tehditler kat be kat gelişirken, Anadolu'da bilgisayar firmalarını dolaşarak farkındalık yaratmaya odaklandım. Bu konuda Bilgi Üniversitesi'nde eğitimler de verdim" dedi. Konuşmasına bu bilgilerle başlayan Murat Göçe, Stuxnet örneğini paylaşarak, "İnsanlık için bu tehlikeli yazılımlar, önemli bir tehdit" tespitini paylaştı. Dijital dönüşümde güvenliğin geleceğinin asıl önemli unsur olduğuna dikkat çeken Göçe, "Kimlik güvenliği başta olmak üzere her başlıkta güvenliği istiyoruz. Her şey artık dijital, risk ve tehditler karmaşıklaşıyor. Bu nedenle siber güvenlikte sürdürülebilirlik şart" yorumunu yaptı.
 
İşinizin sürekliliği için gerekenleri bilin
'Dijital Dönüşüm Çağında Siber Güvenliğe İnsan Odaklı Bakış' sunumu ile Fujitsu Türkiye Çözüm Mimarı Turgut Haspolat, güvenliğin konsept ve insan merkezli bakış açısı ile ilgili bilgiler ve Fujitsu'nun bir raporundan detaylar paylaştı. Platform bağımsız bir dünyada bütünsel bir yaklaşım yaratmak çok önemli. "Saldırılar durmayacağı için güvenlikte esnek ve bütünsel bir yaklaşıma geçmek önemli" saptamasını yapan Haspolat, önerilerini şöyle anlattı:
"İş kritik uygulamaları iyi bilmek lazım. Güvenliği kritik başlıkları, bunlar arasındaki etkileşimi bilmek, olası sorunlar karşısında izlenebilecek risk yönetimi planına da sahip olmak gerek. İnsan odaklı yaklaşımda, insana yatırım yapmak güvenlikte çok önemli. Süreçler olmazsa, insan hatası kaçınılmaz. İş sürekliliği de standart olmalı ve işlerliğini sağlamak için sistemin de sürekli kendini güncellemesini sağlamak lazım. Bu yaklaşımı benimsedikten sonra da strateji ve tasarımı oluşturup, teknoloji yatırımı yapmalı."
 
Dışarıya değil, biraz da içeriye bakın
Accenture Security Kıdemli Müdürü Gürol Erdoğan, sunumunda 'Accenture Yüksek Performanslı Güvenlik Araştırması'nda öne çıkan sonuçları paylaştı. Elde edilen sonuçları "Biz güvenlik uzmanları olarak kendimize fazla güveniyoruz" sözleri ile yorumlayan Gürol Erdoğan'a göre, yöneticiler, kurumlarının siber güvenliğini sağlayabildiklerine, kurumda siber güvenlik kültürü olduğuna inanıyor. Bu ‘iyimser’ olarak değerlendirdiği sonuçların ardından, Erdoğan şu bilgileri paylaştı:
"Şirketlerin güvenlik risklerine karşı neler yaptığına baktığımızda, siber güvenlik sorunlarında endişe verici bir artış var. Hedefli saldırılar artarken, bunların giderek daha büyük bölümü başarılı oluyor. Ayrıca birçok saldırı ve sızıntı da şirket tarafından uzun zaman sonra fark ediliyor, ki bu çok dramatik. Araştırma, iç güvenlik ekiplerinin etkili saldırıların ancak yüzde 65'ini saptadığını gösteriyor. Şirket içinde çalışanlar tarafından gerçekleştirilen saldırılar da ciddi bir sorun. Ama bu gerçeğe rağmen, araştırma katılımcıları içerden gelen tehditlere nazaran, dışardan gelen tehditlere karşı güvenlik servislerine yatırımı daha çok tercih ediyor."
 
Neyi koruyacağınızı bilin
Forcepoint Türkiye Satış Mühendisi Serkan Canbaz da 'Veri Sızıntısını Engelleme, İç Tehdit, Analiz ve Yönetim Sistemleri' başlıklı sunumunda güvenliğin 'insani' tarafına dikkat çekti. Siber güvenliğe yapılan yatırımlara rağmen, ihtiyaçların da doğru orantılı olarak arttığını hatırlatan Serkan Canbaz'a göre, dış kaynaklı tehditlere yatırım yaparken, iç tehditler aslında çok daha önemli. Bunlar dış kaynaklı tehditlere kıyasla daha az olsa da, iç tehditlerin daha büyük zararlar verdiğini unutmamak gerek. Şirketlerin kritik verilerini bilmediği eleştirisini yapan Serkan Canbaz, "Oysa neyi koruyacağınızı bilmeniz şart" yorumunu yaptı.
 
Siber Güvenlik Müsteşarlığı kurulmalı
Teknoloji Platformu'nda verilen iletişim aranın ardından sözü TRT World IT Yöneticisi Osman Doğan aldı. 'Ödül Avcılığı ve Veri Sızıntıları'nı ele aldığı sunumunda Doğan da önemli detayları katılımcılarla paylaştı. 'Bug bounty' kavramını 'ödül avcılığı' olarak tanımlayan Osman Doğan, "Firmalar kendi güvenlik açıklarını, bu konuda hizmet veren platformlarla zafiyet aratıyorlar ve bu da şirkete kazanç sağlıyor" bilgisini paylaştı. Türkiye'de bu konuda bir kültür oluşmadığı gerçeğine dikkat çeken Osman Doğan, ama gelinen noktada bu konuda bir farkındalık oluştuğunu da vurguladı. Doğan, şu bilgileri verdi:
"Bizde güvenlik algısını geliştirmek, bunu bir kültür olarak oluşturmak gerek. Mobil telefondaki fener uygulamasının sizden 'bağlantılarınıza erişim izni' istememesi lazım. Kamu ve özel sektörde üniversite mezunu ve KPSS'li istihdam istiyoruz. Oysa bunun yerine, işinin ehli ve işin mutfağından yetişmiş kişileri tercih etmek gerek. Gelinen noktada Siber Güvenlik Müsteşarlığı artık geç de olsa kurulmalı."
 
Yazıcılar, güvenlikte öne çıkıyor
HP Türkiye Kurumsal Satış Müdürü Hande Baykan ve HP Türkiye Baskı Sistemleri Teknoloji Danışmanı Mert Öztürk, 'Baskı Güvenliğini Yeniden Şekillendiriyoruz' başlıklı sunumları ile baskı süreçlerinde gözden kaçan güvenlik adımlarına dikkat çekti. Hande Baykan, eklemeden geçmedi: "Tehditlere açık ofislerde konumuz yazıcılar. Çünkü BT yöneticileri baskı güvenliğine ve yazıcılara gerekli önceliği vermiyor." Bu saptamanın ardından sözü alan Mert Öztürk, şu bilgileri paylaştı:
"Yazıcıların fonksiyonları arttı. Kimlik doğrulama, dijital gönderi gibi özellikler var. Ama bunların hepsi ayrı bir risk unsuru. Bu noktada yazıcıların güvenlik risklerinin ağ arabirim katında olabileceği bilinmeli, çıkış tepsisinden herkes kendi çıktısını almalı, yönetim başlığında denetimin görünürlüğü sağlanmalı. Baskı güvenliğinin temeli cihaz, veriler ve belgeler. Bu noktada HP Sure Start, BIOS güvenliğini sağlıyor. Hepimiz masum sanırız, ama PC'lerde olduğu gibi yazıcılara da gereken önem verilmeli."
 
Oracle veri merkezi Gebze’de
Etkinliğin ilk yarısında son sunumu InspireIT Oracle Teknoloji Danışmanı Başar Küçük yaptı ve iş sürekliliğini buluta taşımanın önemine işaret etti. Oracle bulut hizmetlerinin çok çeşitli olduğunu belirterek, son yıllarda bu konuda önemli yatırımlar olduğuna da işaret eden Başar Küçük, şöyle devam etti:
"InspireIT olarak bulutta amacımız; mevcut mimariyi ve standartları değiştirmeden, yapıyı bulutta konumlandırmak. Oracle bulut veri merkezlerinin sertifikaları ve birçok standardı var. Bu arada Oracle, Türkiye'de veri merkezini Gebze'de 2017 itibariyle kuruyor. Söz konusu sertifikalar, bulut hizmeti ve düzenlemelere uyum burada da sağlanacak."
 
Çalışan farkındalığı sürekli geliştirilmeli
Teknoloji Platformu'nda verilen öğle yemeği arasından sonra 'Güvenlik Politikaları; Siber Güvenlikte Tehditler, Önceden Güvenlik Önlemleri, Verinin Önemi', katılımcıları bir araya getirdi. Boğaziçi Üniversitesi Yönetim Bilişim Sistemleri Bölümü Öğretim Üyesi ve ISACA Istanbul Akademik Direktörü Doç. Dr. Bilgin Metin'in yönettiği panelin katılımcıları ise Denetik Uluslararası Belgelendirme ve Gözetim Hizmetleri Genel Müdürü Adnan Karadaş, İşNet İç Denetim Grup Müdürü Cem Ergül ve Eralp Avukatlık Bürosu'ndan avukat ve öğretim üyesi Özgür Eralp oldu. Açılışı yapan Doç. Dr. Bilgin Metin, risk analizi danışmanlığı, risk istihbarat testleri ve siber sızma testleri olduğunu belirterek, 8 Mayıs'ta üniversitede siber güvenlik odaklı bir çalıştay düzenleyecekleri bilgisini verdi. Yeni dönemin riskleri ve farkındalık konusunda bilgi veren Cem Ergül, risklerin kat be kat arttığı bir ortamda, kurumun en zayıf olduğu anda saldırganın geldiğini hatırlatarak, onlardan bir adım önde olmanın gerekliliğine şu sözlerle dikkat çekti:
"Mutlaka B planınız olsun ve arka bahçenizi iyi kontrol edin. Güvenlik; deneyimle kazanılır. Tüm şirketlerin güvenlik ekibi var, ama yetmez. Gereken şey farkındalığı artırmak. Yani güvenlik, BT'nin değil, icranın altında çalışan bir birim olmalı. Şirketlerde farkındalık eğitimlerinin sürekliliği önemli."
Adnan Karadaş, siber güvenlik, insan ve bilişim altyapısının bir dönemecine geldiğimizi belirttiği konuşmasında, farklı disiplinler arasındaki standartlara, bu standartların özelliklerine ve eksiklerine, bunun yarattığı risklere dikkat çekerken, "İyi bir personel politikası, bunun için de kariyer planlaması ve eğitimle çalışanları donatmak lazım. Farkındalığı yükseltmek için üst yönetim kaynak ve para ayırıp kontrol ve liderliği, çalışan katılımında ise aidiyet ve bilgiyi ön planda tutmalı, bu iki kanat iyi uygulanmalı" dedi. Olası bir saldırıda ne yapılması gerektiğini ise Özgür Eralp şöyle anlattı:
"Güvenlik bilişimcinin işi değil, bu süreci üst yönetim sahiplenmeli. 27001 belgesini almak değil, bu süreci yöneteceğini göstermen gerek. Riskler tüm dünyanın sorunu. Bunun için kurallar olmalı ve Türkiye'de ciddi kurallar, yani siber güvenlik için zorlayıcı temel yasal düzenlememiz yok. Bireysel çözümler yerine, genel bir çatı yaratabilmeliyiz. Kanunla şirketlere görev verilmeli eğitimler ve SOME'ler kurulması için ve bunun bir zorunluluğu olmalı. Yasal altyapı ve sorumluluklar belli olmalı, eğitim ve denetimler sürekli olmalı."
Secureway CTO'su Can Tarakçı'nın zafiyet yönetimi, Morten Genel Müdür Yardımcısı Cumhur Kızıları'nın güvenlikte bütünsel bakış açısının gerekliliğini vurguladığı sunumu sonrası, Teknoloji Platformu'nun son oturumu 'Siber İstihbarat ve Mobil Casusluk' başlığında Siber İstihbarat Akademisi'nden Analist Atalay Keleştemur ve Uluslararası Siber Güvenlik Federasyonu Mobil Yazılım ve Güvenlik Uzmanı Murat Şişman'ın söyleşisi oluşturdu. Bu son oturumun ardından yapılan çekilişler ve hediye sunumlarıyla, bir Teknoloji Platformu buluşması daha noktalandı.
 
 
 
" Bu sitede yer alan yazılar (içerik) üzerindeki 5846 sayılı Fikir ve Sanat Eserleri Kanunu altında düzenlenen tüm maddi ve manevi haklar eser sahibi olan BThaber'e aittir. Söz konusu içerikler eser sahibinin izni olmadan kopyalanamaz, çoğaltılamaz, işlenemez, değiştirilemez veya başka internet sitelerinde ya da basılı veya görsel yayın yapan diğer mecralarda yayınlanamaz. "
Fetih Mah. Tahralı Sok. Kavakyeli Plaza C Blok No: 7 D: 5 34704 Ataşehir / İstanbul
+90 (216) 291 13 90
E-BÜLTEN