Büyüyen veri, uçtan uca güvenlik ister
Birçok şirket kurumsal BT yapısının, bu yapıda korunan bilgilerinin öneminin bilincinde. Bunda sektör bazlı düzenlemelerin zorunlulukları da pay sahibi. Giderek daha çok şirkette veri güvenliği konusunda atılımlar göze çarpıyor. Ancak artan riskler ve küresel ilgi göz önüne alındığında, hala alınması gereken yol var.
Veri merkezlerinde güvenlik uygulamaları çok kapsamlı bir konu. Çünkü güvenlik konusunun bir süreç konusu olduğu düşünüldüğünde, bir veri merkezinde hem fiziksel hem de sayısal güvenliği bir bütün olarak sağlamak şart. Atos Dış Kaynak Kullanım Hizmetleri Direktörü Tuğyan Ünsal, verinin artan önemi ve regülasyonların veri güvenliğini de şirketlerin en hassas olduğu konuların başına getirdiğine dikkat çekti. EMC Kıdemli Teknoloji Danışmanı Emin Çalıklı, şirket ağları için ‘olmazsa olmaz’ güvenlik çözümlerinde büyük veri ve analitik çözümlerine yönelimin arttığını söyledi.
Itway VAD Türkiye Ürün Müdürü Özlem Öksüz, 5651 sayılı kanun gereğince ilgili sistemlerin log’lanması ve bu loglardan sağlanacak ileri düzey analizler sayesinde, Güvenlik Operasyon Merkezi (SOC) yaklaşımı, ayrıca daha üst düzeyde güvenliğin artırılması için yeni model güvenlik sistemlerinin konumlandırılması sayesinde, anti-bot, anti malware, mobil güvenlik, internet sunucu ve veritabanı güvenliği gibi çözümlerin veri merkezlerinin güvenlik hedeflerinde olduğuna işaret etti. Turcom Güvenlik Çözümleri Müdürü Yıldız Çokcoşkun, bu standartlardan en önemlisinin, Uptime Institute tarafından verilen seviyeler olan Tier olduğunu belirterek, “Ülkemizde birçok kuruluş için Tier-3, yüksek devamlılık sağlayan oldukça iyi bir seviye” bilgisini paylaştı.
KoçSistem Teknoloji Çözüm ve Hizmetleri Satış Grup Yöneticisi Özlem Kestioğlu’nun dikkat çektiği gibi, veri merkezi güvenliği fiziksel güvenlikten uygulama güvenliğine kadar farklı bileşenleri içerisinde barındıran çok boyutlu bir konu. Günümüzde iç veya dış denetimlere tabi olmayan şirketler ise planlı ve stratejik güvenlik yaklaşımları yerine, günlük pratik çözümlerle ilerliyor. Ancak, Servisnet Kurumsal Satış ve Pazarlama Direktörü Nihal Öztürk Şarman’ın da dikkat çektiği gibi, veri merkezleri yapıları itibari oldukça dinamik alanlar olduğundan bu güvenliği sağlarken hem veri merkezi çalışanlarının hem de müşterilerin iş yapma süreçlerini çok katı bir hale getirmeden esnek, kolay ama güvenli bir süreç oluşturmak gerekiyor. DorukNet Pazarlama Müdürü Aslı Cem’in belirttiği gibi, veri güvenliğini sağlamak için güvenlik yazılımlarını ve donanımlarını devreye almak artık yeterli değil. Verinin üzerinde bulunduğu sistemin, sunucunun da güvenlik açıklarına karşı düzenli olarak kontrol edilmesi gerek.
“Veri merkezlerinde fiziksel güvenlik ve veri güvenliği olmak üzere iki katman var” diyen 4G Genel Müdürü Yusuf Gökhan Gülal, ekledi: “Veri merkezlerinde güvenlik kapıdan girerken başlamakta ve verinin adresine teslimine kadar devam etmekte.” Tam kapsamlı koruma sağlamak isteyen kurumlar, güvenlik kaygılarını aşarak mobilite, büyük veri ve bulut bilişim gibi yeni teknolojileri hızla benimsiyor ve Gülal’a göre, siber saldırılara karşı etkili koruma ve regülasyon uyumluluğu ile yaratıcılığa odaklanarak rekabet gücü kazanıyor.
Güvenlik politikaları güncellenmeli
Turkcell Superonline Genel Müdürü Murat Erkan’a göre, şu anda Türkiye’de çoğu şirket, verilerini yeterince güvenli ortamda tutmuyor. Verilerin tutulduğu sunucular, uygunsuz sistem odalarında tutuluyor ve veriler kaybolma, çalınma gibi risklerle karşı karşıya kalıyor. Bu aynı zamanda iş devamlılığını ve verimliliği de etkiliyor. Güvenlik uygulamaları oldukça geniş bir kapsama sahip. Proline Bilişim İcra Kurulu Başkanı Mehmet Doğanyiğit, “Güvenlik politikası, şirketin üst yönetiminin talep ettiği güvenlik seviyesine göre değişiklik gösteriyor” derken, kurumların bu konuda yetkilendirmeyi doğru anlamasının önemine işaret etti.
IBM Küresel Teknoloji Hizmetleri, BT Strateji ve Veri Merkezi Hizmetleri Danışmanı Ayça Çay, veri merkezinde güvenlik konusuna sadece verilerin güvenliği sorunu olarak değil, iş sürekliliğinin temelinin sağlanması olarak baktıklarını belirtirken, Oytek Bilişim Sistemleri Müdürü Kudret Gülcan da “Güvenlik konusunda farkındalık artarak devam ediyor. Son dönemlerde yaşanan siber saldırılar şirketleri bu konuda önlem almaya itiyor” dedi. Trend Micro Akdeniz Bölgesi Kıdemli Satış Mühendisi Murat Songür, “Yaptığımız görüşmelerde şirketler güvenlik konusunda hassasiyetlerini dile getirmekteler, ancak uygulama ne yazık ki konuşulanın çok altında” eleştirisini yaptı. Siztek Kıdemli Danışmanı Polat Erken da bu kapsamlı güvenlik yapısı gerekliliklerine şu eleştiriyle yaklaştı: “Genelde büyük şirketler kendi veri merkezlerine sahip oluyorlar ve kritik bilgilerinin kendi kontrolleri dışına çıkmasına pek sıcak yaklaşmıyorlar. KOBİ seviyesinde ise genelde güvenlikten ziyade, maliyet odaklı olarak yaklaşım gözlemleniyor.” Telcoset Altyapı Grup Müdürü Hüsnü Köse eklemeden geçmedi: “Orta ve büyük ölçekli şirketler güvenlik konusunda daha duyarlı davrandıkları gibi, yatırımlarına da bu konuları mutlaka koyarlar. Ancak vizyon sahibi ufak şirketler daha hızlı hareket ederek aksiyon almaktalar.” Güvenliğe ‘bulut’ yapısından yaklaşan Teknoser Ağ ve Güvenlik Çözümleri Departmanı Güvenlik Danışmanı Serhat Yediel de şu uyarıyı yaptı: “Bulut yapılarda hizmet alınan şirket tarafından sağlanan gizlilik sözleşmesi de dikkat edilmesi gereken bir konu. Bu tarafta hizmeti alan ve hizmeti veren firma arasında en küçük bir açık bırakılmadan güvenlik sözleşmesi oluşturulmalı ve sağlanan bu hizmetlerin sağlık kontrolü aralıklarla dış bir şirket tarafından yaptırılmalı.”
MERKEZİ YÖNETİM BİR İHTİYAÇ
Büyüyen altyapıların, beraberinde farklı lokasyonlardaki sunucuların güncellenmesi, bakımlarının yapılması, güvenlik ihtiyaçlarının karşılanması gibi yönetim zorlukları ve ek maliyetleri de getirmesiyle, sistemlerin merkezi olarak yönetilmesi 4S Kurumsal Teknoloji Danışmanı Onur Eroğlu’na göre, bir ihtiyaç olarak karşımıza çıkıyor. Bu kapsamda bir veri merkezinin verimlilik ve güvenlik açısından en uygun nerede konumlandırılacağından, iç ortamın yüksekliği, soğutulması, veri merkezi yönetim ve güvenlik yazılımlarının sağlanması, cihaz yerleştirme planları ve iş sürekliliği için gerekli çözümlerin sunulmasına kadar uçtan uca nasıl tasarlanacağı konusunda danışmanlık ve bütünleştirme hizmetlerini sağladıklarını söyleyen Eroğlu, bilgi güvenliğinin temel kavramları olan ‘gizlilik’, ‘bütünlük’ ve ‘kullanılabilirlik’ başlıklarını sağlayabilmek için ‘ağ güvenliği’, ‘sistem güvenliği’, ‘uygulama güvenliği’, ‘veri güvenliği’ ve ‘iş sürekiliği’ konularının tek tek değerlendirilmesi ve gerekli çözümlerin oluşturulmasının önemine dikkat çekti.
BÜTÇEYE BULUT BİLİŞİM DESTEĞİ
Uygulamaların şirketlerin ihtiyacı doğrultusunda güvenli bir şekilde, 7/24 hizmet verebiliyor durumda olması, Dora Telekom Genel Müdürü Timuçin Öğün’ün dikkat çektiği gibi, belirli bir yatırım kadar, işin kritikliğine göre yüksek tecrübe de gerektiriyor. “Bu sistemlerin şirket bünyesinde barındırılması, şirketlere ana iş kollarının dışında farklı konsantrasyon noktaları oluşturmakta” diyen Öğün, şu detayları paylaştı:
“Veri merkezleri; yüksek yedeklilik ve güvenlik standartlarının uygulandığı, şirketler için esnek ortamlar sunmakta. Bulut bilişim ise standart veri merkezi hizmetlerinin bir adım ötesinde, sıfır kesinti ilkesi göz önünde bulundurularak oluşturulmuş hizmet modeli. Bulut bilişim ile şirketler ihtiyaçları kadar kaynak kiralayabilmekte, gerektiğinde kiraladıkları sistem kaynaklarını yükseltebilmekte ve bu sayede ihtiyaç olmayan sistem kaynağı için bütçe ayırma külfetinden kurtulmakta. Dağıtık mimarideki bulut bilişim altyapıları sayesinde iş sürekliliği ve performans ideal maliyetlerle sağlanabilmekte.”
