​‘Asla güvende olmadığınız’ gerçeğini unutmayın

En büyük veri güvenliği sorunları; veriyi barındıran yöneticilerinin bilmediği sorunlar. Gerçek şu ki birçok işletme, hangi pozisyonda olduğunu bilmiyor. Güvenlik genellikle temel korumaları kapsayan güvenlik duvarı, sistemlere yama ve yedeklemeyi, kullanıcı hesaplarında güçlü parolaları ile mevcut stratejinin yeterli olduğunun düşünüyor. “Ancak, kötü niyetli bir saldırganın bakış açısına bakılıncaya kadar, ne kadar iyi korunduğunuzu asla bilemezsiniz” uyarısını yapan Biltam Güvenlik Danışmanı Gürsel Arıcı’ya göre, bilgi güvenliği, olaya müdahale ile doğrudan bağlantılı. Olaya müdahale; temelde veri ihlallerine, kötü amaçlı yazılım salgınlarına ve benzerlerine düzgün şekilde yanıt vermek için atılan adımlar. Olay tepkisi, doğrudan iş devamlılığını sağlamak için atılan adımlar ve sonuçta felaket kurtarma ile doğrudan bağlantılı. Bu nedenle olaylar gerçekleşmeden önce riskleri analiz edip önlemleri almak şart. Gürsel Arıcı, şu detayları paylaştı:
“Kuruluşunuzun verilerini korumak amacıyla, çeşitli felaketlerden koruyacak kapsamlı ve verimli bir felaket kurtarma planı hazırladınız. Oluşturulan senaryolarda sakladığımız verinin erişilebilirlik, zaafiyet, yedeklilik ve yedekli verinin güvenli saklandığı konularına odaklanılmalı. Unutmayın ki, kurumların birçoğunun ransomeware atağı sonrası kayıpları, doğru yedek almama veya alınan yedeğin de şifrelenmesi sonrası ciddi mali kayıplara sebep olması ile sonuçlandı. Felaket kurtarma senaryolarını planlarken perimeter güvenliği, veri güvenliği, zaafiyet analizi, kimlik denetimi göz ardı edilmemeli. Maalesef günümüzde kurumlarda gördüğüm yaklaşım, maliyet oluşturduğu gerekçesiyle bu alanlara güvenlik yatırımının yapılmıyor olması. Halbuki çok ciddi çabalar sarf ederek şirket içerisinde korumaya çalıştığımız veriyi, kendi elimizde güvensiz bir ortama depolamaktayız.”
 
Üçüncü gözü hayata geçirin
Endüstri 4.0 döneminde akıllı şehirler, evler gibi yaklaşımlar duymaktayız. Kurumlar bir şekilde kendi felaket kurtarma senaryolarını oluşturuyor. Fakat belediyeler tarafından yönetilen akıllı şehirler siber güvenlik konusunda ne yapıyor?  Bu soruyu soran Gürsel Arıcı, yanıtı da şöyle paylaştı:
“Scada network’lerine karşı yapılan özelleştirilmiş saldırıların dikkate alınması gerek. Bir şehrin, kurumun veya herhangi bir organizasyonun elektrik veya su sistemlerine siber müdahale sonucunu tahmin edebiliyoruz. Bunlar oluşmadan önce, doğal afetler için aldığımız önlemlerin yanına siber güvenlik önlemlerini de mecburi görerek eklememiz gerek. Olası bir felaket anında, yedek olarak beklettiğimiz verilerimizin, sistemlerimizin işlevsel olmadığını görmek kadar yıkıcı bir durum olmadığını sanıyorum. Oluşturulan tüm prosedürlerin sıklıkla işletilebilirliği, güvenlik açısından analizlerinin günlük rutin işin bir parçası olarak kaydedilmesi gerek. Üçüncü bir gözün sistemleri nasıl gördüğünü denetletmek, farkındalık seviyenizi arttıracak bir adım olur. Son olarak, önerim profesyoneller ile çalışın.”
 
Güvenlik için kaynak ayırın!
Gelinen noktada, klasik güvenlik yaklaşımından biraz uzaklaşarak, proaktif yaklaşım sergilenmesi gerektiğini anlamak için çok geç değil. Her kurum dış tehditlere karşı önlemler alırken, iç tehditler ve felaket kurtarma merkezlerinde depoladıkları verilere karşı yeterince hassas davranmamakta. Durum böyle olunca, bir ihtiyaç anında verinizi yerinde bulamayabilirsiniz veya işlevselliğini kaybetmiş verilerle sizi zor durumda bırakabilirler. “Hazırlıklı olmak için mutlaka kurumunuza ait bir verinin, kurumun organları gibi olduğunu unutmayarak, veri neredeyse ve erişim hangi noktada mümkünse güvenlik seviyesini üst seviyede tutmaya özen gösterin” tavsiyesini yapan Gürsel Arıcı, sözlerine şöyle devam etti:
“Kurumsal güvenliğin, BT biriminin altında kurulacak bir güvenlik ekibi ile sağlanabileceğini düşünüyorum, ki çoğu kurum ihtiyaçlarını bu şekilde karşılamakta. Fakat problem şudur ki, bu birim her şey ile ilgilenen tek kişiden oluşuyorsa, bu yapılanmanın faydasının az olacağı kanaatindeyim. Güvenlik için ayırabileceğimiz bir kaynak yoksa, bu konuyu dış kaynak kullanımı ile çözüp, elimizdeki kaynakları denetleyici mekanizma olarak kullanmak daha fazla fayda sağlar. Kurumlarda birbirleri arasında tehdit zekasını paylaşabilen ve olay anında aksiyon alabilen çözümlerle siber güvenlik sistemlerini otomatikleştirmeleri önemli. Kurumların ölçeği ne olursa olsun, öncelikle değerli verisini sınıflandırıp, risk haritasını çıkartması gerek. Sonrasında güvenlik mimarisini bu ölçüde şekillendirebilirler. Çeşitli dönemlerde siber saldırı simülasyonları ve etkinliklerle çalışanlarını eğitmeyi, bilinçlendirmeyi hedeflemeliler.”