Mimari yoksa güvenlik de yok
McKinsey’in ‘Protecting the enterprise with cybersecure IT architecture’ araştırmasında da dikkat çekildiği gibi, iş stratejisi ile bağlantılı, hem BT hem iş liderlerinin desteğini alan bir yaklaşım asıl faydanın anahtarı. Bu yaklaşım esnek bir güvenlik mimarisi ve bu mimari ışığında iş önceliklerinin belirlenmesini içeriyor. Hatta bu süreç 'dönüşüm yolculuğu' olarak tanımlanıyor. Şirketin güvenli kurumsal mimariye yönelimi; aynı zamanda net bir yol haritası ve bu yolculuğu destekleyecek kurumsal kültür değişimi demek.
Ekonomik büyümede verinin, ürünlerin, süreçlerin sayısallaştırılması giderek önem kazanıyor. Ama bu konuda atılan adımlar, siber güvenlik risklerini ve kırılganlıkları da kaçınılmaz olarak beraberinde getiriyor. Örneğin çoklu kanal entegrasyonu gibi bir adım, müşteri deneyimini tüm kanallarda gözlemlemek adına bulunmaz fırsat, tamam. Ama birçok arayüzün ortaya çıkması, sürekli gelişen riskler karşısında bunları sürekli kontrol altında tutma gerekliliği de bu fırsatın ‘yük’ bölümü. Şirketler; iş ortakları, müşteriler, danışmanlar gibi üçüncü parti yapılarla eskisine kıyasla, hem de ürün geliştirmeden istihdam kriterlerine kadar birçok başlıkta güçlü bağlara sahip. Ama bu bağlar, zaman zaman kördüğümlere de sebep olabiliyor, tedarik zincirlerine ve bilgi akışına hakim olmak zorlaşabiliyor.
Saldırganlar bizden daha hızlı
Bu noktada melez sunum modelleri önem kazanıyor. Ancak bu başlıkta bazı iş hizmetlerinin ve süreçlerinin buluta taşınması, kurum dışı sağlayıcılar tarafından yönetilmesi de güvenlik risklerini bir kademe daha yükseltiyor. Kurumsal bilişim yetkinliklerinin gelişimi, kurumsal verilerin değerini de artırıyor. İşte bu sayede, niyeti kötü olanlar için bir hedef daha ortaya çıkıyor.
Peki ama güvenli mimari ve bu mimarinin temel unsurları neler? Bu mimari, aslında BT güvenliğine kurumsal yaklaşımın, şirketin güvenliğe bakışının bir yansıması. McKinsey araştırmasında bu başlıkta öne çıkan gereklilikler şöyle sıralanıyor:
– İş başlıkları ve güvenlik ihtiyaçlarının düzenlenmesi
– Yetkinlik bazlı gruplamalar
– Modüler yapılar
– Tüm bütünsel yapıda uyum
– Tedarik zincirinde entegrasyon.
Kaleyi 7/24 koruma taktikleri
Tehdit merkezli ayrıştırma; yüksek değerli ve yüksek riskli varlıkları ve süreçleri düşük değerlilerden ayırmak için önemli olduğu gibi, hem şirketlerin kendi varlıklarını daha doğru analiz etmesini hem de altyapı ve sanal ortamlar gibi paylaşılan yapıları daha doğru kullanabilmesini sağlıyor. Bu yaklaşım araştırmada 'kale mimarisi' olarak tanımlanıyor. Savunmada birçok katmanı içeren bu mimari, aşağıdaki unsurları kapsıyor:
1) Kalenin içi: Riske bağlı olarak tehditlerin ayrıştırılması ve şirketin en değerli varlıklarına bağlı olarak öncelik sıralamasında yerini alması önemli. Bu noktada örneğin mobil cihazlar, kurumsal güvenlik politikasında kalenin içindeki temel risk noktası.
2) Derin savunma: Güvenlik katmanlarını kenetlemek, her katmanda erişimi daha zorlu bir hale getiriyor. Güvenliğin iç katmanları sıkı sıkıya entegre. Sensörler ve giriş mekanizmaları da dış çeperi ve ağ içindeki önemli uygulamaları kontrol ediyor.
3) Servis mimarisi: Farklı iş başlıkları içinde farklı güvenlik seviyelerinin etkili yönetiminde servis mimarisi önemli role sahip. Her yetkinlik, mimari bir bakış açısıyla modellendiği için de şirketlerin ağ boyunca akan veriyi izlemesi çok daha kolay bir hale geliyor.
4) Ortak işlem yapısı iletişimi: Ortak bir uygulama üzerinden tüm iletişimi yönlendirmek, şirketlerin de bilgi akışını gerçek zamanlı takip edebilmesi için birebir.
5) Standart yapı ve sadelik: Güvenli bir kurumsal mimari, arayüzlerin, teknolojilerin ve çapraz fonksiyonların öne çıktığı bir ortamın güç kazanması demek. Burada en az sayıda arayüz ve açık biçimde yapılandırılmış veri akışları da ön planda. Son kullanıcı cihazlarının miktarı ve işletim sistemi versiyonları minimuma çekilirken, farklı veritabanı yapıları ve yazılım versiyonları da aynı şekilde sınırlı. Bu da kullanım ve kontrol kolaylığı demek.
6) İnovasyon havuzları: Şirketler, yeni kampanyalardan ürün geliştirmeye tüm adımları desteklemek için hızla yazılım geliştirme ve sistemde konumlandırma yetkinliğine kavuşmalı. Korunaklı bir geliştirme havuzu da yeni projeler ve test çalışmaları için bulunmaz bir fırsat olabilir.