Güvenlik politikalarınızı belirlediniz mi?
Bilgi kurumların en önemli varlığı halinde. Bunun korunması elbette çok önemli. Ama güvenliğin, verimliliği engellemeden gerçekleştirilmesi gerekiyor. Fortinet Ülke Müdürü Derya Aksoy, bu konuda, “Bilgiye ihtiyacı olanın kendisine yeterli minimum yetkiyle erişebilmesi en kritik nokta. Kullanıcıların bilgi güvenliği konularında bilinçlendirilmesi, düzenli güvenlik denetimleri ve değişen ortama göre güncellenen, açık, net bir güvenlik politikasının oluşturulması ana önemli unsurlar” dedi.
ITway Genel Müdürü Reha Akbaş ise “Güvenlik politikalarımızı belirlemeden önce yapımızı ve ihtiyaçlarımızı iyi analiz etmekle işe başlayabiliriz. Yaptığımız işe, altyapımıza ve kaynaklarımıza uygun bir politika belirlemek önemli, politikanın kağıt üzerinde kalmadan gerçekten uygulanabilir şekilde planlanması önemli. Üst yönetimin ve diğer birimlerin bu konuda desteğini almak için oluşturulan politikaların uygulanabilirliğini kolaylaştıracaktır” dedi.
Bilgi güvenliği zinciri içerisindeki en önemli halka kuşkusuz ki insan faktörüdür. İnsan faktörü ne kadar doğru kullanılırsa, bilgi güvenliği de o derece etkin olur.
E-Güven Genel Müdürü Can Orhun, şunları kaydetti:
“Bu doğrultuda geliştirilecek bilgi güvenliği politikasının da kurumu tamamıyla kapsaması ve tüm çalışanlar tarafından sahiplenilmesi önem taşıyor. Ayrıca, bilgi güvenliğinin ticaret hacminin büyümesi için gerekli olan unsurların başında geldiğine inanıyoruz. Daha açık ifade etmek gerekirse, bilgi güvenliği konusunda yaşanan sıkıntıların giderilmesi, ticaret hacminin artması ve dolayısıyla Türk ekonomisinin büyümesi için de bir zorunluluk teşkil ediyor. Başta KOBİ’ler olmak üzere her ölçekten şirket, gerek yurtiçinde gerekse yurtdışında daha güvenli bir şekilde faaliyet gösterebilmek için bilgi güvenliği çözümlerine ihtiyaç duyuyor. Söz konusu çözümler kullanılmadığı takdirde, bunun gerek bireylere gerekse kurumlara maliyeti son derece yüksek oluyor. İş süreçlerinin aksamasından müşteri kayıplarına kadar uzanan bu sürecin sonunda şirketler iflas tehlikesiyle karşı karşıya bile kalabiliyor. Bu gibi istenmeyen durumların yaşanmaması için de bilgi güvenliği çözümlerine yatırım yapmak gerekiyor. Günümüzde internetteki uygulamalar, çoğunlukla elde edilmesi kolay ve gerçekten bir güvenlik sağlamayan müşteri numarası, müşteri adı veya şifre doğrulaması yöntemleriyle korunmaya çalışılıyor.”
Trend Micro Akdeniz Ülkeleri Müdürü Ercan Aydın’a göre de kurumsal güvenlik politikası oluşturulurken dikkat edilmesi gereken hususlar şunlar.
“Kurumsal güvenlik politikası oluştururken kurumların antivirüs, anti-spyware (casus yazılım koruma), anti-phishing (oltalama koruma) ve yeni tehditler karşısında koruyucu önlemler almasını öneriyoruz. İşletim sistemlerinde, uygulamalarda ve tarayıcılarda güvenlik güncellemelerinin yapılmış olmasına dikkat etmek, otomatik güncelleme özelliklerini etkinleştirmek, yeni çıkan güncellemeleri çıkar çıkmaz uygulamak ve virüs koruma programlarını güncelleştirmek önem taşıyor.”
Symantec Türkiye Ülke Müdürü Gökhan Say ise görüşlerini şöyle açıkladı: “Kurumlar etkin bir güvenlik politikası oluştururken öncelikle komple bir güvenlik yaklaşımı içinde olmalılar. Tehditlere en hızlı şekilde cevap vermek için görünürlük ve güvenlik zekası uygulamaları da kurum bünyesinde mutlaka yer almalı. Bunun yanında kurumlar özellikle 5651 sayılı kanunun da etkisiyle BT politikalarına uygunluk sağlamak ve bu uygunluk işlemlerinin otomasyonunu gerçekleştirmek durumundalar. Tüm noktalar için genel bir risk önceliklendirmesi yapmak ve uygun politikalar tanımlamak yolu ile kullanıcılar, BT politikalarının kurum içinde etkin şekilde yürütülmesini sağlayabilirler. Kurumsal güvenlik politikası oluştururken BT yöneticilerinin üzerine büyük sorumluluk düşüyor. BT yöneticileri, hem bilgiyi hem de etkileşimleri proaktif olarak korumak için bilgi-merkezli bir yaklaşıma sahip olmalılar.” Infonet Genel Müdürü Taner Özdeş ise “Kurumsal güvenlik politikalarının sade, anlaşılır, uygulanabilir ve kurumun iç süreçlerine denk ağırlıkta olması önemlidir. Bir politikanın değer ifade edebilmesi için uygulanabilir olması ve uygulanması en temel noktadır. Bu konuda yapılan en büyük hata poltikanın hazırlanmasına verilen ağırlığın uygulamada yerini boşluğa bırakmasıdır” dedi.
Güvenlik politikalarının oluşturulması sırasındaki ilk adım olarak bu politikanın kurumun hangi gereksinimlerine yönelik oluşturulacağı belirlenmelidir. Bimsa Bilgi Güvenliği Uzmanı İbrahim Özkaya, şunları kaydetti:
“Buna ilişkin risk analizleri yapılmalı ve güvenlik matrisleri oluşturulmalıdır. Kurum içinde oluşturulan güvenlik politikalarının yazılı kurallar olarak belirlenmesinde fayda vardır.
Kurumsal güvenlik politikasının oluşturulmasında yasal düzenlemeler son derece önemli. 5651 sayılı yasa gereği, erişim sağlayıcıların internet erişimlerini loglaması gerekiyor. Böylece izlenen politikanın standartlara uyumu sağlanmış oluyor. Oluşturulan politika yönetim onayını aldıktan sonra, politikanın duyurusu mutlaka şirket içine yapılmalı. Acil durum politikası ise atlanmaması gereken bir husus olarak karşımıza çıkıyor.”
Her şeyden önce güvenliğin bir bütün olduğunun kabul edilmesi gerekiyor. Politika geliştiricilerin, hangi risklerle karşı karşıya olduklarının ve hangi riskin nasıl bir maliyete yol açabileceğinin bir envanterini yapmaları gerekiyor. Elmer Yazılım Satış Müdürü Ali Yakup Durşen, şu bilgileri verdi:
“Riskin yalnızca teorik varlığı üzerinden değil ama aynı zamanda sahadaki oluşma sıklığı üzerinden bir değerleme yapılması lazım. Böylelikle gerçekçi, öngörülebilir riskleri ve kaçınma yöntemlerini içeren bir politika geliştirilebilir. Bu noktada BT camiasının bir bütün olarak çok iyi bir sınav verdiği maalesef söylenemez. Ürün ya da çözüm odaklı, teknolojinin bir olanağının kullanımına ağırlık veren, günlük politikalarla iş yapageldiğimiz ortada. Öylesine ki, kurumların başında, bu politikalara yön verenler, felaket kurtarma senaryoları peşinde aynı lisansları 2 kez almak aymazlığına bile düşebiliyorlar. Üzücü yanı ise bu konuda bilgi birikimi ile uyarıcı, yön verici olması beklenen BT sektörünün, sanki yapılan iş amaca uygunmuş gibi hiç ses çıkarmaması. Kısa vadede bu noktada maalesef iç açıcı bir gelişme beklemek zor. Halbuki artık ülkemizde konusuna hakim kimi ticari, kimi gönüllülük esasına dayalı çalışan kurumlar var. BT ve veri güvenliği üzerine kurulmuş dernekler, birlikler var. Bu kurumların birikimlerinin politika geliştirme safhasında daha yoğun kullanımı bir gereklilik.”
Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, güvenlik politikaları ile ilgili şunları kaydetti:
“Öncelikle çok dikkatli planlanması gereken bir süreç olduğunu düşünüyorum. Plan yapılırken göz önünde bulundurulması gerekli olan ilk şey, kurumun süreçlerinin sorunsuz çalışmasının temin edilmesidir. Bunu göz önünde bulundurarak kurum içi güvenlik gruplarının tespit edilmesi ve ilgili yetkilerin verilmesi gerekli. Güvenliğe yönelik bir şifre oluşturma ve sürdürme yöntemi belirlenmeli, güvenlik cihazları ve yazılımlarının kullanım biçimleri doğru belirlenmeli ve bunların doğru şekilde yönetilmesi sağlanmalı. Son olarak güvenlik politikasının verimli olabilmesi için, kullanıcılara çok iyi anlatılmalı ve gereken kurum içi eğitim verilmeli.”