Neden ve nasıl bir güvenlik politikası?


Kurumların etkin bir güvenlik yönetimi yapabilmesi önem kazanıyor.Bu noktada oluşturulan güvenlik politikalarının uygulanabilir ve ölçümlendirilebilir olması gereğine işaret ediliyor.
Günümüzde şirketlerin tüm verileri internet üzerinde kaydediliyor. Ayrıca iş akışları ve iş süreçlerinde internet kullanımı olmazsa olmazlar arasında. Bu nedenle şirketler için güvenlik politikalarının oluşturulması kaçınılmaz bir zorunluluk olarak karşımıza çıkıyor.
Uzmanlara göre şirketlerin güvenlik politikası oluşturması ve oluşturulan bu güvenlik politikasının da taşıması gereken birtakım özellikler var. Güvenlik standartlarına uyum konusunda dünyada ve ülkemizde farklı çalışmalar yapıldığını belirten 4S Güvenlik Grup Yöneticisi Evren Bilgiç, buna paralel olarak da kurumların etkin ve ölçülebilir güvenlik yönetimi yapabilmesi için politikalar üretmesi ve uygulamasının kaçınılmaz bir hal aldığını belirtti. Güvenlik politikalarının öncelikle üst yönetim tarafından desteklenen, kurumun tüm unsurlarını kapsam içine alan, çalışanların etkin katılımını sağlayan ve hepsinden öte uygulanabilir olarak hazırlanması gerektiğine inandıklarını belirten Bilgiç, “Güvenlik süreçlerini oluşturacak, uygulayacak, izleyecek ve değerlendirmeler yaparak mevcut sistemi iyileştirecek uzman güvenlik yöneticilerinin de kurumlarda istihdam edilmesi güvenlik politikalarının uygulanabilirliği bakımından her geçen gün daha önemli olacaktır” diye konuştu. Arbor Networks Güneydoğu Avrupa Bölge Müdürü Ivan Straneiro’ya göre ise tam anlamıyla güvenlik için, öncelikle çalışanların eğitilmesi, güvenlik en iyi deneyimlerinin günlük operasyonda kullanılması ve bütün çalışanlara bildirilmesi gerekiyor. Daha sonra güvenlik nasıl ve ne yönde geliştirilebilir diye tartışmakla yola devam edilebiliyor.
Ana noktaya dikkat edilmeli
Eset Türkiye Teknik Müdürü Erkan Tuğral ise temel güvenlik unsurlarını başta genel olarak güvenlik algısını kapsayan dış güvenlik ve son yıllardaki bilgi sızdırma olayları ile iyice önem kazanan iç güvenlik diye ikiye ayırıyor. Bu iki kavramın nasıl çalıştırılacağını belirleyen kapsamlı bir güvenlik politikasının da bu unsurların ayrılmaz bir parçası olarak eklenebileceğini ifade eden Tuğral, sözlerini şöyle sürdürdü: “Kaybedecek şeyi çok olan, yani iş süreçlerini en fazla BT altyapısına aktarmış ve sayısal varlıkları değerli şirketlerin güvenliğe de o denli değer verdiklerini, güvenliğe daha bütünsel ve süreçlerinin önemli bir parçası olarak gördüklerine şahit oluyoruz. Bu önem seviyesi azaldıkça güvenlik konusunda da birtakım boşluklar oluşuyor ve güvenliğe verilen önem azaldığı görülüyor. Temel konu aslında, yaygın yaklaşım olan güvenliği mevcut uygulamalara göre şekillendirmek yerine bu güvenlik uygulamalarını gerçek bir araç olarak kullanıp asıl amaç olan güvenlik politikasını gerçekleştirmek üzere kullanmak olmalı.”
IBM Türk Güvenlik Ürünleri Satış Müdürü Pelin Konakçı da sürekli değişen ve gelişen güvenlik tehditleri şirketler için her gün yeni bir güvenlik ihlali riski doğurduğunu belirterek şu değerlendirmelerde bulundu: “Kısıtlı bütçeler, kaynaklar ve uzmanlık bu tehditlerle mücadeleyi daha da zor bir hale getiriyor. Ağ, web ve internet güvenlik çözümlerini seçerken çözümlerin dünya standartlarında araştırma ve geliştirme kapasiteleriyle desteklendiğinden emin olmak gerekir. İnsan, veri, uygulama ve altyapı başlıklarını ele alan katmanlı savunma ortamında ortaya çıkan siber güvenlik tehditlerine önleyici koruma sağlamak için; sonuç tabanlı risk değerlendirmesi, hızlı ve çevik koruma ve çok katmanlı güvenlik metotları sunan yeni yaklaşımlar gereklidir. Mevcut konjonktürde, IBM olarak bu anlamda en etkili güvenlik politikası olarak tümleşik iletişim hizmetleri ve çözümlerin benimsenmesi gerektiğine inanıyoruz.
Güvenlik noktasında Itway VAD Türkiye Müdürü Korman Akman, kurum genelinde kullanıcıdan yöneticiye kadar tüm çalışanların sahip olduğu bilgi değerlerinin nasıl kullanılacağının yazılı olarak tüm hatlarıyla belirlenmesi gereğine dikkat çekiyor. Ağ ve güvenlik politikalarının kurumların yapı ve gereksinimlerine göre tamamen farklılık gösterdiğini ancak oluşturulacak politikaların mutlaka uygulanabilir olması gerektiğini ifade eden Akman, “Hangi bilgilerin nasıl korunacağının kesin olarak belirlenmesi gerekmekte” dedi. Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk’un verdiği bilgiye göre ise araştırmalar güvenlik ihlallerinin yüzde 30’undan fazlasının, 100 veya daha az çalışanı olan şirketlerde meydana geldiğini ortaya koyuyor. Merkezi güvenlik politikası bulunmayan bir şirket için bu tehditlerle birlikte ayakta kalabilmenin oldukça zor olduğunu belirten Selçuk, şöyle konuştu: “Çünkü bir KOBİ’nin siber saldırı karşısında yaşayacağı finansal kaybın büyüklüğü 38 bin dolara kadar ulaşabiliyor. Büyük şirketler için ayrı bir departman tarafından, merkezi bir güvenlik politikası oluşturmak kısmen daha kolay. Oysa küçük şirketlerinin çoğunun BT departmanı bile bulunmuyor.”
Güvenlik politikaları yaşayan belgelerdir
Komtera Teknoloji Müdürü Ozan Özkara da güvenlik politikasının bir şirket ya da yapının fiziksel ve bilgi teknolojisi (BT) varlıkları korumak için plan ve amaçlarının yazılı olduğu genel belgeler olduğu görüşünde. Bir güvenlik politikasının genellikle yaşayan belge olarak kabul edildiğini ve teknoloji, iş ihtiyaçları ve çalışanların gereksinimleri değiştikçe sürekli güncellendiğini ifade eden Özkara, şu değerlendirmelerde bulundu: “Dolayısıyla ölçüm yapılandırması sağlam bir güvenlik politikası oluşturmak için önemlidir. Bu nedenle bulunduğunuz sektör ihtiyaçlarını, kurum iç dinamiklerini, kurum varlık yapılandırmasını, iş ihtiyaçlarınızı, zayıflıklarını, avantajlı olduğunuz güvenlik gereksinimlerini, regülasyonları iyi anlayıp çıktılarını iyi hesaplayıp bir model olarak ortaya koyabilmeniz önemlidir. Durumun hem güvenlik politikalarını hem de tüm güvenlik teknolojik yapılandırmanızın sizi yansıtması açısından kritiktir.”
“Güvenlik politikası güncellenmeli”
Labris Genel Müdür Yardımcısı Baran Erdoğan’a göre de BT sistemlerinde güvenliği sağlamanın yöntemi bu güvenliğin sürekli olması. Bu sürekliliği sağlayabilmenin de en önemli aracının şirketin düzenli olarak teknolojinin gereklerine ve değişimine göre güncellenen bir güvenlik politikası oluşturması olduğunu belirten Erdoğan, sözlerini şöyle sürdürdü: “Bu politikanın uygulanmasının sonucunda oluşturulan süreçler tüm bilgi güvenliğinin belkemiğini oluşturup sürekliliği sağlamalıdır. Bu politikaları ve süreçleri oluştururken özellikle, güncellenen şirket gereksinimlerini, insan, süreç ve BT sistemleri de dahil olmak üzere tüm bileşenleri göz önüne alarak planlama yapılması gereklidir. Bu bacaklardan sadece bir tanesi bile aksar ise bunun kurumlara maliyeti çok yüksek olabilir.” Trendmicro Akdeniz Bölgesi Kıdemli Satış Mühendisi ve Güvenlik Danışmanı Murat Songür de bilgi güvenliğinin yaşayan ve gelişen bir kavram olduğu görüşünü taşıyor. Her kurumun, sahip olduğu farklı dinamikler nedeni ile bu süreci farklı yaşadığını belirten Songür, sözlerini şöyle sürdürdü: “Kurumların sahip oldukları sayısal varlıkları doğru bir şekilde belirlemesi ve bu varlıkların sayısal iş akışı içindeki yaşam döngüsünü tanımlaması gerekiyor. Bu belirleme ve tanımlamalar dahilinde her kurum, bu verilere yönelik saldırıların gelebileceği noktaları belirlemeli ve bunlara uygun önlemleri tanımlamalı. Zaten güvenlik politikasını da bunlar oluşturuyor.
Prolink Satış Öncesi Sistem Mühendisi Aydın Can Fındıkçı da siber atakların yaşam döngüsü göz önüne alındığında, risklerin yalnızca saldırı anında ortaya çıkmadığı, sistem içerisinde kalıcı olmaya ve zararlı yazılımlarını sürekli olarak yaygınlaştırmaya çalıştıklarının görüldüğüne değindi. Fındıkçı, şöyle devam etti: “Güvenlik politikaları geliştirememiş kurum ve şirketler siber ataklara maruz kaldıklarında, risk faktörleri hızla büyüyerek saldırının amacının dışındaki sistemlere de yaygınlaşmakta. Güvenlik politikaları oluşturulması bizlere risk faktörlerinin analizlerini yapılabilme, risklerin büyümesini önleyebilme yetenekleri sağlar. Risklerin en aza indirilmesi ve siber güvenliğin üst seviyede tutulabilmesi için güvenlik politikalarının oluşturulması ve bu politikalar oluşturulurken, teknoloji ile birlikte insana yatırım yapılmasının önem taşıdığı, güvenliğin sürekli yönetilecek bir süreç olduğu unutulmamalıdır.”
Websense Satış Mühendisi, CEMEA Müdürü Ferdinando Mancini de güvenlik çözümlerinin de her içeriğe uygun şekillenmesinin önemine dikkat çekti. Güvenlik ilkelerinin müşterinin hangi verilerinin kıymetli olduğunu algıladığı değerlendirme döneminin sonucunda ortaya çıktığını ifade eden Mancini, kuralları belirlemek için sorulacak soruları da şöyle sıraladı: “Veriye kim erişiyor?, Veri nedir?, Veriler nereye gidiyor?, Veriler nasıl gidiyor?”
“Güvenlik bir süreçtir”
“Güvenlik politikaları için dikkat edilmesi gereken pek çok nokta var”
“Kurumsal güvenlik politikası bir zorunluluk”
“Güvenlik politikasının uygulanabilir ve ölçümlendirilebilir olması önemli”
“Bilgi güvenliği politikalarında yönetişim, risk ve yasal uyumluluk kritik başarı unsuru”