Tüm riskler belirlenmeden strateji belirlenemez
Kaspersky Lab Türkiye Genel Müdürü Murat Göçe’nin verdiği bilgilere göre, güvenlik kavramı üzerinde konuşmaya başladığımızda öncelikle kafamızda şu olmalı: yüzde 99,9999 güvenli+yüzde 0,0001 Güvensiz= yüzde 100 güvensiz. Bu formül hem kişisel kullanımda hem de kurumsal kullanımda geçerli. Yani katmanlı ve her seviyede güvenlik politikası ve gereçleri kullanılmazsa kurum için oluşturulan politikaların anlamı da olmaz. Kullanıcıların bilinçlendirilmesi, genel güvenlik kavramları ve karşılaşılabilecek tehditlerden haberdar edilmesi ilk adımlar olmalı. Sonra alınacak yazılımsal ve donanımsal güvenlik gereçleri konumlandırıldıktan sonra (içerik filtreleme, e-posta güvenlik ve antispam çözümleri, IDS/IPS, güvenlik duvarı ve tabi ki antivirüs programı), güçlü şifre politikaları, internet kullanım yönergeleri gibi konular da planlanmalı. Sonuç itibariyle nereden bakarsak bakalım bireylerin bilinçli kullanımı üzerinde fazlaca durulmalı. Oytek Güvenlik Çözüm Danışmanı Seval Demir ise şunları kaydetti: “Kurumsal güvenlik politikası oluşturulurken, kurumun en alt seviyeden en üst seviyeyi kapsayacak şekilde gereksinimler belirlenmeli; bunun için değişik departmanlardan ekipler oluşturulmalı ve kurallar mutlaka yazılı olarak belirlenmelidir. Elbette ki politikalar kuruma, konuya veya teknolojiye özgü olarak farklılaşabilir; ancak mümkün olduğu ölçüde standartlara uyumlu olmalıdır. Bu politikalar genel olarak kimlerin hangi kaynaklara erişeceğini belirleyen kullanım, internet erişimi, ağ güvenlik duvarı, uzaktan erişim, şifre yönetimi, sosyal mühendislik, fiziksel güvenlik politikaları olarak sayılabilir. Politikaların oluşturulması sırasında öncelikli olarak bu politikanın kurumun hangi ihtiyaçlarına yönelik olacağı belirlenmelidir. Korunacak nesnelerin neler olduğu, kimlere karşı korunacağı, bilgileri saklama yöntemi, kurum içerisindeki sorumluluklar, yaptırım gücü, bilgilerin arşivlenmesi ve yedeklenmesi gibi pek çok şey sıralanabilir. Değişen tehditlere, zafiyetlere ve kurum politikalarına göre yeniden değerlendirilmeli ve uygun görülen gerekli değişiklikler yapılmalıdır. Ek olarak, özellikle risk düzeyi yüksek olan sistemlerin bir saldırı veya afet sonucunda devre dışı kalmasında, işleyişin devamı için ne tür önlemlerin alınacağı, ekiplerin sorumluluklarının neler olacağı konusunda acil durum politikası oluşturulmalıdır.” Avira Kurumsal Satış Müdürü Selçuk Irmak da görüşlerini şöyle açıkladı: “Kullanıcılar genelde kullandıkları ürünlerin tüm özelliklerinden yararlanmıyorlar, son kullanıcı tarafında bu oran çok yüksek seviyede. Bireysel kullanıcılardaki bilinç eksikliği dünya genelinde bir sorun olduğundan güvenlik yazılım şirketleri ürünlerin daha basit olması için büyük çaba sarf ediyorlar. Bireysel ve kurumsal ürün kullanımındaki bilinç farklılığından dolayı ürünler kategorize edilerek geliştirilmektedir.”
Komtera Ürün ve İş Geliştirme Yöneticisi Cankat Domaniç, kurumsal güvenlik stratejilerinin belirlenmesi konusunda şunları kaydetti: “Her şeyden önce temel görev ve ihtiyaçların, kritik değerlerin ve tehditlerin uygun bir şekilde analizinin yapılması gereklidir. Bu sayede korunması gerekenler ve bunların ne şekilde korunacağı belirlenebilir, doğru çözümler ve doğru yönetim ile güvenlik politikaları oluşturulabilir.”