Saldırılamayan hiçbir sistem yok madem…

Bordotek CEO’su Öner Gültekin

Güvenlik ancak tüm bileşenleriyle ele alındığında sağlanabilir. Bilgi güvenliği açısından bakıldığında bileşenler insan, süreçler ve teknoloji olarak karşımıza çıkıyor. Bu yüzden ilk sırada saydığımız insan, öncelikle güvenlik kültürüyle donatılmalı. Diğer iki bileşen en üst seviyede de olsa belirli yetkilere sahip insanlar kendilerine tanınan yetkileri bilerek veya bilmeyerek kötüye kullanarak güvenlik riski oluşturabilir. Bu yüzden öncelikle insanlarda güvenlik kültürü oluşturulmalı, sonrasında iş süreçleri güvenli hale getirilmeli ve teknoloji ile desteklenmeli. Buna örnek vermek gerekirse,  bankamatik kartını ve şifresini aynı cüzdanda taşıyan, güvenlik kültürü olmayan insan için sizin teknoloji ve süreçlerle yapabileceğiniz çok fazla bir katkı bulunmuyor. İnsan faktörünü ele almadan sadece teknolojik olarak üstün olduğuna inanılan güvenlik çözümlerinin başarılı olamadığını birçok örnekle görüyoruz.

Güvenlik konusunda “kaza görme” refleksimiz var. Kazayı görünce hepimiz biraz daha temkinli gidiyoruz aracımızla ancak bunlar bizim genel sürüş tavırlarımızı pek değiştirmiyor. Güvenlik konusu sürecin baştan beri bir parçası değilse, sonradan kaza görmenin pek faydası olmuyor. Giderek artan bir güvenlik farkındalığımız var, ama bunlar sadece cihaz odaklı. Yeni ürünler çıktığı ve pazarlandığı için bunlar alınıyor, ama insan ve süreçlerde esaslı bir değişiklik gözlemlemiyoruz. Zira en büyük kuruluşlar bile bu yön eksik olduğu için sorunlar yaşayabiliyor.

Şu an saldırılamayan hiçbir sistem olmadığı için bilgi sistemi sahipleri kararsız kalıyor. Temel güvenlik tedbirlerini almayı bile lüks görenler mevcut, haksız da sayılmazlar. Bizde yaygın olan tüm sistemlerde firewall gibi bir ihtiyaç olduğu pazarlama argümanı yerine, risk analizi ve güvenlik önerisi ikilisiyle doğru yatırım ve kurum güvenlik kültürünün oluşturulması burada daha ön plana çıkarılmalı.

Şirketler güvenliği ‘kutu alımı’ olarak görüyor. Cihaz yatırım yaptıklarında birçok şeyin çözüleceğini sanıyorlar ve insan her zaman geri planda kalıyor. Edward Snowden buna en iyi örnek olur sanırım. Biz bu tip sorunların üstesinden gelmek için müşterilerimi önce fikren güvenliğe hazırlıyoruz. Sürekli zırhlı hantal bir araçla gezmeye gerçekten ihtiyaçları olup olmadığını sorgulayıp onları daha konforlu ama güvenlikli seyahat etmeye yönlendiriyoruz.

Güvenliği istisnalar deler. İstisnaları azaltan ve kontrol altına alan şirketler, güvenlik kültürünün de desteğiyle daha sağlam bir güvenlik politikasına sahip olur. Risk analizi yapıldıktan sonra güvenliğin insan, süreç ve teknoloji bileşenleri en iyi şekilde analiz edilmeli ve güvenlik politikaları buna göre tesis edilmeli. Politikalar yenilenirken üç güvenlik bileşeni yine aynı şekilde gözden geçirilmeli. Politikalar her ihtiyaç duyulduğunda yenilenebilir. Yeter ki bu üç bileşen eş zamanlı olarak hazırlanabilsin ve iş yapma konforu güvenliğe feda edilmesin.