Kurumların güvenliği doğru güvenlik politikasında saklı
Kurumlarda güvenlik ihtiyacının tam ve eksiksiz karşılanabilmesi için geliştirilen güvenlik politikaları önemli rol üstleniyor. Ancak bu politikalar oluşturulurken dikkat edilmesi gereken noktalar bulunurken, politikaların güncellenmesi de bir başka önemli noktayı oluşturuyor. Politikaların kullanıcılara iyi anlatılması, kurum içi eğitimler ve bilinçlendirme de öne çıkıyor. Kurumların güvenlik politikalarını belirlemenin, çok dikkatli planlanması gereken bir süreç olduğunu belirten Eset Genel Müdür Yardımcısı Alev Akkoyunlu, gözönünde bulundurulması gerekli olan temel konunun ise kurumun süreçlerinin sorunsuz çalışmasının temin edilmesi olduğunu vurguladı.
Bunun için kurum içi güvenlik gruplarının tespit edilmesi ve ilgili yetkilerin verilmesinin gerekli olduğunu belirten Akkoyunlu, şöyle konuştu: “Güvenliğe yönelik bir şifre oluşturma ve sürdürme yöntemi belirlenmeli, güvenlik cihazları ve yazılımlarının kullanım biçimleri doğru belirlenmeli ve bunların doğru şekilde yönetilmesi sağlanmalı. Güvenlik politikasının verimli olabilmesi için, kullanıcılara çok iyi anlatılmalı ve gereken kurum içi eğitim verilmeli. Güvenlik yazılımı ve donanımı kullanımında karşılaşılan en büyük sorunların başında, pek çok yazılımın, varsayılan ayarlarıyla geldiği gibi bırakılması, yanlış konfigüre edilmesi ve kullananlar tarafından yeterince bilinmemesi geliyor.
Eğer bu yanlışlar yapılıyorsa, güvenlik sistemi ne olursa olsun, istenen güvenlik seviyesinin sağlanması zor görünüyor.”
Kurumlar kendi yapılarını analiz ederek güvenlik politikasını oluşturmalı
Helyum Bilişim Müdürü Neslihan Aksun’a göre de sağlıklı güvenlik politikaları söz konusu olduğunda öncelik kurumların kendi yapılarını analiz etmesi olmalı. Çalışanların ihtiyaçlarını ve kullanım alanlarının iyi bilinmesi gereğine dikkat çeken Aksun, “Özellikle teknik bölüm çalışanları kurumdaki her bireyin kullandıkları programlardan tutun, ihtiyaç duyacakları web sitelerine kadar kullanıcı ve bölüm bazında tüm yapıya hakim olmalıdır. Bugün gelişen teknolojiyle güvenlik tehditlerinin hangi kanaldan geleceği maalesef önceden tahmin edilecek boyutta değildir. Çok güvenli sanılan siteler özellikle birçok tehdidin asıl kaynağıdır. Bu yüzden her bir bireyin ihtiyaçları doğrultusunda teknolojiden en verimli şekilde yararlanması sağlanmalıdır. Bunu sağlarken de tehdit unsurları göz önünde bulundurularak gerekli olan güvenlik politikaları sağlanmalıdır” diye konuştu.
Dış tehditlere erişimin asıl kaynağının da çoğu zaman içteki güvenlik açıkları olduğunu ifade eden Aksun, risk analizi ve güvenlik politikalarının dönemsel olarak kontrolünün şart olduğuna dikkat çekerek şöyle konuştu: “Bunun için öncelikle çalışanların bilinçlendirilmesi gerekmekte. Bireyler hakları ve sorumlulukları hakkında dönemsel olarak bilgilendirilmeli. Bazen bir bireyin farkında olmadan yaptığı bir dikkatsizlik şirketinizi çok ciddi maddi hasarlarla karşı karşıya getirebilir. Bu yüzden kesinlikle bireylere özel erişim seçenekleri verilmelidir. Kaynaklar belirlenmeli ve bu kaynakların nasıl ve kimler tarafından kullanılması gerektiği iyi analiz edilmelidir. Hangi bilginin önemli ve gizli tutulması gerektiğine karar verilmeli ve nasıl gizli tutulacağı saptanmalıdır. Muhakkak risk analizi yapılmalı ve riskler en aza indirgenmelidir. Bunun yanında iç tehditler yanında dış tehditlerle ilgili sürekli kendimizi güncel tutmalıyız. Son olarak ekleyebileceğimiz en önemli şey belirlediğimiz güvenlik politikalarının dönemsel olarak kontrol edilmesi ve gerekli görüldüğünde değiştirilip yeni politikalar oluşturulması ve de güncellenmesi gerekmektedir. Kurduğumuz yapının ve kullandığımız cihazların muhakkak gerekli ayarlarını ve güncellemelerini dönemsel olarak takip etmeliyiz.”
Güvenlik politikaları uygulanabilir olmalı
Güvenlik politikaları belirlenirken en önemli noktalardan birinin de uygulanabilir politkalar olması olduğunu belirten KoçSistem İletişim Ağı ve İş İstasyonları Direktörü Ahmet Cançelik de “Kontrollerle ve önleyici faaliyetlerle desteklenmelidir. Bu konuda çalışan personelin de farkındalığı önemlidir. Güvenlik politikalarının çalışanlar tarafından bilinmesi, kurumların çalışanlarına vereceği Bilgi Güvenliği eğitimleri de önemlidir. Hazırlanan politikaların güncel olması için tüm personelin ortak görüşleri alınmalı ve bu iş için atanacak sorumlu personelin bu görevi sağlıklı yürütmesi sağlanmalı” dedi.
Tehditlerin artık kişilerin bilgisayarlarının yanı sıra kurum, kuruluş ve devletleri de tehdit eder hale geldiğini belirten Kaspersky Lab Türkiye Pazarlama Müdürü Pınar Uylum Terzioğlu da, yakın zamanda Kaspersky’nin Belçika polisi ile yaptığı ortak çalışmada bir hacker’ın Güney Amerika’lı bir şahsa Botnet satarken yakalanmasının tehlikenin arkasındaki buz dağının görünmeyen yüzünü ortaya çıkardığına dikkat çekti. Gelinen noktada önemli olanın tehdide karşılık verecek doğru ürün seçimi ve proje geliştirme olduğunu vurgulayan Terzioğlu, “Botnet’e bağlı 10 bin zombi sistem, yani tek bir noktadan kontrol edilebilecek 10 bin kişisel bilgisayar olduğu anlaşıldı. Bu kontrol gücü ile bu sayıda bilgisayarın yapacağı saldırılar artık kişi, kurum ve kuruluşları tehdit eder halden çoktan çıkmış, ulusları zarara uğratabilecek boyuta geldiğini gösterdi. Türkiye’de de hükümet ve kamu işletmeleri bu gibi tehlikelerin farkında ve tedbir almaya çalışıyor. Bu nedenle doğru ürün seçimi ve proje geliştirmek kritik önem taşıyor” dedi.
Check Point Teknik Danışmanı Serhat Candan’a göre de güvenlik politikalarının sadece ürün yönetimi şeklinde oluşturulmaması çok önemli. Bunun yerine bilgi odaklı düşünerek, bilginin iş akışı içinde güvenliğini sağlayıcı olması gerektiğini ifade eden Candan, şöyle konuştu: “Son olarak insan faktörü güvenlik politikalarının bir parçası olmalıdır. Kullanıcılar doğru güvenlik araçları ile donatılırsa, yaşanabilecek birçok güvenlik sorunu en başından engellenebilir. Son dönemde özellikle şirketlerin iş akışlarına uygun teknolojik çözümleri kullanma isteklerinin arttığı görülüyor. Giderek daha fazla sayıda kullanıcı da kendi sahip oldukları cihazlar üzerinden şirket kaynaklarına erişmek istiyor. İK, pazarlama gibi departmanlar sosyal medyaları daha etkin kullanmak istiyor. Bu iki örnekte görebileceğimiz gibi, artık şirketler daha esnek ve daha yetenekli güvenlik çözümlerini kullanmak istiyorlar. Bir diğer konu da sınırları bulanıklaşan bu ortamda, veri güvenliğine yönelik beklentilerin artması. Ağ güvenliği ile veri güvenliği birarada ele alınmalı, değişen iş süreçlerine ayak uydurmalıdır. Eğer iş süreci mobilizasyonu gerektiriyorsa, güvenlik politikası şirket dışındaki verilerin güvenliğini sağlayacak şekilde kapsamlı olmalıdır. Aynı şekilde İK’nın sosyal ağları kullanması gerekiyorsa, bunu engelleyici değil kontrol edici olmalı.”
IBM Türk Güvenlik Ürünleri Kıdemli Satış Danışmanı Hakan Turgut’a göre de güvenlik politikaları belirlenmesi aşamasında dikkat edilmesi gereken ilk konu; kurumların eldeki veri ve uygulamaları sınıflandırmaları olmalı. Bu şekilde bir sınıflandırma yapıldığında neyi ne derecede korumak gerektiğinin ortaya çıkacağını ifade eden Turgut, “Yapılan yatırımlarda da bu konuya özen gösterilmeli. İlave olarak özellikle iç kullanıcılarımızın takip edilmesi de güvenliğin artmasını sağlamak için önemli. Yine gerek sunucu gerekse istemci olarak kullanmakta olduğumuz sistemlerde zafiyet taraması yapılması ve bulunan açıkların hızla kapatılması güvenlik açısından önemli. Yeni çözümlerimizle hem zafiyet analizi yapılıyor hem de bulunan zafiyetlerin yamama işlemlerini otomatik olarak gerçekleştirmek suretiyle son derece az kaynak harcayan tek bir ajan vasıtasıyla sürekli ve etkin bir koruma sağlanıyor” dedi.