Veri güvenliği için standartlara uymak yeterli mi?

Farklı ölçeklerdeki birçok şirket veri merkezlerine taşınıyor. Ancak hala bazı şirketler veri merkezlerini güvenli bulmadıkları için konuya soğuk bakıyor.

Veri merkezi güvenliği veri merkezi yatırımından sonra değil önce düşünülmesi gereken bir kriterdir. Yatırım kararı kurumlar tarafından güvenilirliğinden emin olunan veri merkezinin tercih edilmesi yönünde yapıldığında anlam kazanır. Anadolu Bilişim olarak müşterilerine kesintisiz ve güvenli hizmet sunmayı çok önemsediklerini belirten Anadolu Bilişim Hizmetleri Veri Merkezi Hizmetleri Müdürü Yakup Kadri Ünal, “ISO 20000 BT Hizmet Yönetim Sistemi, ISO 27001 Bilgi Güvenliği Yönetim Sistemi, PCI DSS Ödeme Kartı Veri Güvenliği Sistemi ve TIER III standartlarıyla uyum içerisinde çalışan Anadolu Bilişim Data Center’da yedi aşamalı güvenlik sistemi ile kurumların değerli uygulamaları ve verileri için son derece korunaklı bir çözüm oluşturuyoruz. Bu kapsamda hem fiziksel güvenlik hem de veri güvenliği sağlanıyor” dedi.
Veri, şirketlerin en önemli değerlerinden biri konumuna gelmiş durumda. Gartner ve Meta grup tarafından ortaya atılan “infonomics” terimi de (information&economics) bunu aslında en kısa yoldan vurguluyor. Güvenlik ve verinin mahremiyeti ile ilgili çekinceler zaman zaman verinin şirket dışında bir veri merkezinde barındırılmasının önünü kesebiliyor. Atos olarak, bu konudaki uzmanlıklarını ve veri güvenliğine verdikleri önemin altını çizen Atos Dış Kaynak Kullanım Hizmetleri Direktörü Tuğyan Ünsal, “Olimpiyat ve Paralimpik Oyunların bilgi teknolojileri ortağı olarak, bu oyunlardan edindiğimiz deneyimiyle özellikle güvenlik anlamında fark yaratan bir hizmet sunuyoruz. Şirketleri bekleyen genel güvenlik tehditleri; bilgisayar korsanlığı (Hacking), siber saldırılar, çevrimiçi ödemelerde dolandırıcılık, bağlantılarla ilgili güvenlik sorunları ve potansiyel karmaşık düzenlemelere uymama olarak sıralanıyor. Tabii ki liste bununla sınırlı değil. İş yapış şekillerinin değişmesi ve mobil teknolojinin yaygınlaşması, yeni güvenlik sorunlarını da beraberinde getiriyor. Şirketlerin karşılaştığı en yeni güvenlik tehditlerinin başına bu nedenle, çevrimiçi ve mobil tehditler yerleşti. Yeni cihazlar, akıllı telefonlar ve tabletlerin iş ortamına eklenmiş olması, yeni güvenlik sorunlarıyla birlikte yeni güvenlik stratejisinin gerekliliğini de beraberinde getiriyor. Aynı zamanda, müşteriler ve çalışanlar için uzaktan ve esnek erişimi de sağlayarak, klasik yoldan güvenlik sağlamanın artık mümkün olmayacağını gösteriyor. Depolama ve platformların değişmesi, bulut bazlı servislerdeki artış da veri güvenliğini en kritik konuların başına getirdi” şeklinde görüş belirtti.

Compro CloudPro Pazarlama Uzmanı Ünsal Yurdakonar ise konu hakkında şöyle konuştu:
“Bulut veri merkezlerine geçiş aşamasında kullanıcıların servis sağlayıcısını seçerken dikkat etmesi gereken bazı kriterler bulunmaktadır. Bu kriterlerin en önemlisi hiç şüphesiz güvenliktir. Güvenliğin üst seviyede sağlanabilmesi için servis sağlayıcının IPS (Saldırı Önleme) ve IDS (Saldırı Tespit Sistemi) teknolojileri, ISO 27001 Bilgi Güvenliği Yönetimi Sertifikası, API güvenliği, güçlü güvenlik duvarları, gelişmiş izleme sistemleri gibi birçok teknolojiye ve sertifikaya sahip olması gerekmektedir. Aksi takdirde bu teknolojiyi kullanmak faydadan çok büyük zararlar ortaya çıkaracaktır.”
Detaylara dikkat
Bulut bilişime geçerken dikkat edilmesi gereken birkaç nokta olduğunu kaydeden Dell Veri Depolama Sistemlerinden Sorumlu İş Geliştirme Müdürü Şükrü Ergür, “Öncelikle bulut bilişim bir yolculuktur ve bu yolculuğa çıkmadan önce nereye varmak istediğinize karar vermiş ve ulaşmak istediğiniz hedef noktanızı belirlemiş olmanız gerekir. Bu nedenle bulut bilişim inisiyatifi başlatacak olan şirketlerin kendilerine sormaları gereken ilk soru, bulut bilişim ile ilgili kurumsal seviyede bir stratejilerinin olup olmadığıdır. Tüm BT inisiyatiflerinde olduğu gibi, bulut bilişim inisiyatiflerinde de strateji olmazsa olmaz birinci konudur. Dikkat edilmesi gereken ikinci husus, bulut bilişim ortam ve hizmetlerini verecek olan tedarikçi şirkete bağımlılığın ne kadar olacağıdır. Bu noktada ortam ve platform bağımsız çözümlere yönelinmeli ve operasyonel risk ve yükleri dağıtmak için uçtan uca tek bir tedarikçiye kilitlenen ortam çözümlerinden kaçınılmalıdır. Diğer bir husus, kurulacak veya sunulacak ortam ve verilerin güvenliğidir. Birçok tedarikçi şirketin bu konuda farklı yazılımları mevcuttur ancak ortam ve veri güvenliğinin yalnızca yazılım ile sağlanabilmesi mümkün değildir” şeklinde görüş belirtti.
Artık sayısal ortamda meydana gelecek bir güvenlik sorunu şirketlerin itibarlarını ve finansal sonuçlarını sarsabilecek seviyelere ulaşmış durumda olduğunu belirten
EMC RSA Özel Müşteriler Müdürü Vedat Finz, “Bu yüzden güvenlik çözümleri de çok daha fazla önem kazanıyor. Şirketlerin yüzde 82’si veri güvenliği ve yönetimini büyük bir endişe kaynağı olarak görürken, yüzde 44’lük diğer bir kesim ağ güvenliğini bir BT önceliği olarak görüyor. Bulut bilişim ile veri merkezleri güvenliğe daha fazla dikkat etmeli. Bu noktada sadece operasyonel araçlar ve teknolojinin tüm olanaklarından faydalanmak yeterli değil. Aynı zamanda güvenlik konusunda farklı uzmanlık tiplerinin oluşturulması, (Güvenlik Veri Mühendisliği, Tehdit Analisti, İçerik Analisti vb) ve veri merkezinin etkin bir yönetişim modelinin oluşturulması gerekmektedir” dedi.
Birçok şirket içi uygulamanın bazı nedenler ile veri merkezini taşındığı bir dönemi yaşadığımıza değinen empatiq Satış ve Pazarlamadan sorumlu Genel Müdür Yardımcısı Tolga Ertem, “Şirket içi uygulamanın planlama aşamasında güvenlik konusunda büyük yatırımlar gerektirebiliyor. Benzeri durum veri merkezine taşındığında da söz konusudur. Bu nedenle veri merkezleri farklı metodlar ile güvenlik önlemlerini artırma adına yeni teknolojileri öğrenmek ve yeni yatırımlar yapmak mecburiyetindedir. Fakat veri merkezi – müşteri ilişkisinde güvenlik servisini kiralayarak yine kazanan veri işletmecisi, güvenlik altyapısına daha az ücret ödeyen kurum olmaktadır” şeklinde konuştu.
Bulut bilişimin yaygınlaşması ile birlikte verilerin merkezi olarak toplanması, veri merkezlerinin haklayıcılar ve teröristler için zengin bir hedef haline gelmesini sağladığını ifade eden HP MEMA Bölgesi Pre-Sales Uzmanı Hakan Durgut, “Yapılan istatistiklerde güvenlik zafiyeti nedeniyle elde edilen her bir verinin ortalama maliyeti 202 dolar, her bir güvenlik ihlalinde elde edilen ortalama data sayısı 30 bin olarak belirtilmiştir. Bundan yola çıkarak her bir ihlalin ortalama maliyeti 6.65 milyon dolar olarak hesaplanabilir. Bu rakamlardan yola çıkarak finansal servislerde 2.53 milyar dolar, devlet bilgilerinde 5.05 milyar dolar, büyük perakende sektöründe ise 19 milyar dolarlık bir zarar söz konusudur. Bu bilgiler ışığında veri merkezlerinde güvenliğin nasıl bir öncelikle ele alınması gerektiği açıkça görülmektedir. Veri merkezlerinde gizlilik, değişmezlik ve ulaşılabilirliği konusunda, çevre ağ güvenliği, saldırı önleme sistemleri, uygulama güvenliği ve bilgi güvenliği istihbaratı sağlanmalıdır” şeklinde konuştu.

KoçSistem Teknoloji Çözüm ve Hizmetleri Satış Grup Yöneticisi Özlem Kestioğlu ise konu hakkında şunları söyledi:
“Verinin geleneksel yöntemler ile dağınık olarak müşteri lokasyonlarında depolanması ile bulut bilişim sayesinde veri merkezlerinde toplanması arasında güvenlik anlamında bir fark bulunmamaktadır. Güvenlik stratejisi doğru bir şekilde belirlenmiş veri merkezlerinin güvenlik açısından her konuda yetkin olduğu rahatlıkla söylenebilir. Kurumların verilerini saklayacakları veri merkezleri ile ilgili karar vermeden önce mutlaka sorgulaması gerekenler, güvenlik ile ilgili tüm yatırımların tamamlamış ve güvenlik sertifikalarının eksiksiz olarak alınmış olmasıdır.”
Güvenlikle ilgili sorunlara dair önlemlerin alınması da dahil olmak üzere, beklenmedik kesintilerin en düşük seviyede tutulmasından bakım hizmetlerine kadar merkezlerinin işletilmesi sırasında çok sayıda dikkat edilmesi gereken nokta gündeme geliyor. Bazı işletmelerde sadece veri merkezini ayakta tutmak için gösterilen çaba toplam BT kaynaklarının yüzde 70’ten fazlasının bu iş için harcanmasını gerektirdiğini ifade eden Microsoft Türkiye Sunucu ve Bulut Platformu Yöneticisi Kadir Şener, “Bu nedenle BT karar vericileri merkezi yönetim, kolay ölçekleme ve enerji tasarrufu konusundaki yetkinliklerini artırmak üzere sanallaştırma ve bulut hizmetlerine uyumlu altyapılar kurgulama yoluna gidiyorlar. Böylece altyapının daha güvenli ve yönetilebilmesini sağlamayı hedefliyorlar. Ancak bu faydaların ortaya çıkabilmesi için önceden yapılandırılmış sağlam bir iyileştirme planı çerçevesinde ilerlemek gerekiyor. Günümüz ekonomisinde kısıtlı kaynakları en iyi şekilde kullanmak ve masraflardan kesinti yapmak çoğu şirketin doğal olarak ilk öncelikleri arasında. Ancak temel planlama aşamasında yapılan en küçük hatanın dahi sistem kurgulandıkça katlanarak büyüyeceğini göz ardı etmemek gerekiyor. Bunun için de konuyu tüm boyutlarıyla ele alan ve ihtiyaç duyulan her konuda çözüm sunabilen, doğru iş ortaklarıyla çalışmak gerekiyor” dedi.
Güvenlik uygulamalarının oldukça geniş bir kapsama sahip olduğunu kaydeden Proline Teknik Müdürü İbrahim Erturan, “Veri merkezinin kapısından cihazların bulunduğu alana girişteki kapıda fiziki güvenlik başlıyor ve söz konusu fiziksel güvenlik adımlarını göz, parmak izi taraması oluşturuyor. Her ihtimale karşı giriş ve çıkışlar kamera ile izlenip kayıt altına alınıyor. Veri merkezinin başlı başına bir bina olması durumunda girişten itibaren standart iş merkezi tabanlı bir güvenlik politikasına ihtiyaç duyabiliyorsunuz. Güvenliğin uzaktan erişim boyutu ise çeşitli üreticilerin satmış olduğu güvenlik ürünleri üzerinde yetkilendirme tanımlamaları ile sağlanıyor. Güvenlik politikası, bir şirketin üst yönetiminin talep ettiği güvenlik seviyesine göre değişiklik gösteriyor. Kurumların bu konuda yetkilendirmeyi doğru anlaması büyük önem taşıyor. Yetkilendirmenin öneminin anlaşılmaması durumunda güvenlik politikası şirketi ya oldukça başıboş bırakıyor ya da iş yapamaz hale getiriyor.  Şirketlerin kendi bünyelerinde bulundurduğu bilgi ve verilerin değeri güvenlik önceliklerini de belirleyen en önemli unsurlar olarak öne çıkıyor. Buna paralel olarak da en değerli bilgi en sağlam güvenlik önlemleriyle korunmak durumunda kalıyor” dedi.

Bulut bilişim, dışkaynak ilişkisi

Yakın gelecekte, veri merkezlerinin bulut bilişim hizmetleri üzerinden tüm bilişim ihtiyaçlarını dışkaynak kullanımı yoluyla sunabilecek kaynaklar haline dönüşeceğinin söylenebileceğini belirten TurkNet Ürün Yönetimi ve Pazarlamadan Sorumlu Genel Müdür Yardımcısı Rana Karaküçük, “IDC’nin paylaştığı verilere göre, 2009 yılında bulutla ilgili teknoloji, donanım ve yazılıma yapılan harcama 17 milyar dolar civarında iken, 2013 yılında bu rakamın 45 milyar dolar olacağı tahmin ediliyor. Bulut bilişim hizmetleri, veri merkezlerinin temelini oluşturuyor. Düşük bütçelerle işletilen ve işleri büyüdükçe kapasite artırımına gidecek kurumlar için ihtiyaçlarına yönelik paketler halinde alabildikleri bulut servisleri çok önemli bir çözüm haline geliyor. Bulut bilişim birçok alanda avantajlar sunarken, süreklilik ve güvenlik tarafında klasik teknolojilere göre zayıf kalabileceği yönler iyi analiz edilmez ve gerekli önlemler alınmaz ise zarar getirmesinin muhtemel olduğu göz ardı edilmemelidir. Yeni nesil teknolojiler hayata geçirilirken birkaç kritik sistem bir arada çalışacağı için bunların kullanacağı altyapının çok daha özenli seçilmesi, kurulması ve işletilmesi gerekir. Kurumların, alacakları bulut bilişim hizmetleri için servis seviyelerini belirlemeleri, gerekli kontrol mekanizmalarını (CoBIT, SOX) ve ISO 20000/27000 gibi standartları yerleştirmeleri, bilgi güvenliğinin sağlanması için bir çerçeve oluşturmaları da bulut bilişim servislerinin sürekliliğinin ve kalitesinin gelişmesinde olumlu bir ivme sağlayacaktır” dedi.

Uçtan uca hizmetle memnun müşteriler

Barındırma konusunda müşterilerine kendi işlerine odaklanma şansı verdiklerinin altını çizen SadeceHosting Satış ve Pazarlamadan Sorumlu Genel Müdür Yardımcısı Emre Narin, “Bu bizce çok önemli, müşterilerimiz için de verimli ve düşük maliyetli. Çoğu işletme kendi ofisinde kabin bazında da olsa kendi sistem odasını işletmeye çalışıyor. Bunu yedekli internet, elektrik, soğutma ve KGK olmadan, yangın ve diğer güvenlik unsurlarından yoksun bir şekilde gerçekleştirmeye çalışıyorlar. Bu süreç gerçekten emek ve finans harcanması gereken bir konu. Tüm süreç sonunda ise şirketler en değerli verilerini ve iş süreçlerini çoğu konuda yoksun bir şekilde ve aksi gibi daha da maliyetli bir şekilde ulaşıyorlar. Sadecehosting olarak bu konuda müşterilerimize tamamen izole alanlar sunabiliyoruz. Arzu ederlerse, bizim personelimiz dahil yabancı hiç kimse sistemlerine dokunamıyor ve tüm bunlara altyapı masraf ve uğraşlarına katlanmadan erişebiliyorlar. Kiralama hizmetleri de benzer şekilde. Binlerce diyebileceğimiz, hatırı sayılır ölçüde kiralık donanımı müşterilerimizin hizmetine sunmuş durumdayız. Bunu yaparken müşterilerimiz donanıma derhal ulaşabiliyorlar, donanım yükseltme ve sorun hallerinde dakikalar içinde cevap alabiliyorlar ve tüm bunları da aylık ödemelerle elde ediyorlar. Kiralama alanında uzmanlaşmamıza ek olarak sürekli olarak 100+
sunucu stoğumuz ile müşterilerimize arıza veya acil kapasite ihtiyaçlarında rakipsiz çözümler sunmaya devam ediyoruz” dedi.

Veri artıyor, güvenlik ön plana çıkıyor

İnnova Teknoloji Çözümleri Grup Yöneticisi Ersel Karşal, konu hakkında şunları söyledi:
“Verinin öneminin her geçen gün daha da artmasıyla birlikte kurumların da hizmet kalitesi beklentisi yükseliyor. Kayıp verinin, kayıp para anlamına geldiği kabullenilmiş bir gerçek. Dolayısıyla kurumların beklentileri; sürekli veri ulaşılabilirliği, veri güvenliği, erişim güvenliği, hız ve kolay kullanım çevresinde şekilleniyor. Kurumun kendi gereksinimlerine göre önceliklerini belirlemesi, doğru iş ortağını seçmesi ve en optimize süreç yönetimini yapması kritik bir önem taşıyor.”

Sosyal ağların sektöre etkisi olumlu

Günümüzde Facebook, Twitter, Youtube vb. veri paylaşım ağları başta olmak üzere, sosyal ağlarda paylaşılan e-postalar, fotoğraflar, videoların hızla büyümeye devam eden bir veri pazarı oluşturduğuna değinen Telehouse İstanbul Genel Müdürü Alper Selçuk, “Artan veri trafiği ve hızla büyüyen içerik; uygulamaların ihtiyaç duyduğu bellek, işlemci vb. fiziksel kaynakların da artırılmasını gerektiriyor ve buna paralel olarak maliyetlerin de artmasına sebep oluyor.  Bu durum kurumların bulut hizmetlerine ve dolayısıyla veri merkezlerine yönelmesine etken oluyor.  Fakat şirketler BT altyapılarını veri merkezlerine taşırken bazı endişeler yaşıyorlar. Bu endişelerin başında güvenlik geliyor. Bu noktada veri merkezlerinin hem fiziksel hem sistem güvenliği hususlarında uluslararası standartlara sahip olması, yüksek erişebilirlik, 7/24 ulaşılabilirlik sağlaması, iş sürekliliği ve bilgi güvenliği konularında uzman personel istihdam etmesi gibi faktörler önem taşıyor” şeklinde görüş belirtti.

Veri merkezleri saldırganları cezbediyor

Veri merkezlerinin saldırganlar için cazibesinin çok yüksek olduğuna değinen Biznet Bilişim Kurucu Ortak ve Genel Müdür Yardımcısı Haluk Aydın, “Bilhassa DDOS saldırılarında, tek seferde pek çok şirketin sistemlerini devre dışı bırakmak mümkün hale geliyor. Ayrıca veri merkezinin güvenlik sisteminde oluşabilecek herhangi bir zafiyet, birden fazla şirketin sistem ve uygulamalarını tehdit altında bırakabilir. Bu da saldırgan açısından harcanacak emek ve zamanın getirisini oldukça yüksek kılıyor. Veri merkezleri, güvenliğe sadece bir teknoloji olarak yaklaşmamalı.  En az teknoloji kadar, hatta daha fazla önemli olan güvenlik süreçleri mutlaka en başta ele alınmalı. ISO 27001 ve kredi kartıyla işlem yapan iş yerleri için gerekli olan PCI DSS gibi standartlara uyum son derece önemli. Bu standartların bir parçası olan iş sürekliliği doğal olarak en kritik parametre. Ülkemizde artık daha fazla önem kazanmaya başlayan kişisel bilgilerin korunması konusu da öncelikli alanlardan. Kişisel Verilerin Korunması Hakkında Kanun’un yasalaşması durumunda, bu konu adli sonuçlar da doğurabilecek. O nedenle veri merkezlerinin, güvenliği sadece müşterilerinin sorumluluğuna bırakması riskli hale gelebilir. Bir veri merkezinin, müşterilerinden herhangi birinin sistemlerine başarılı bir saldırı olması durumunda diğer müşterilerinin sistemlerinin etkilenmesini önleyecek şekilde izolasyon mekanizmalarını kurması, en azından rekabette ön plana çıkmaları açısından bile gerekli hale geliyor” dedi.