Güvenlik Politikaları

IT yöneticileri her geçen gün biçim değiştiren tehlikelerden haberdar olmak ve deneyimlerini artırmak için neler yapmalılar?

Kurumsal bilgi güvenliğini tehdit eden saldırıların bilinmesi ve takibinin sürekli hale getirilmesi, bilgi güvenliğinin sağlanmasına yönelik kurumsal stratejilerin geliştirilmesinde önemli bir role sahiptir. Güvenlik konusunun dinamik bir süreç olduğu, amaç ve içeriğinin zaman içinde değişebildiği unutulmamalıdır. Bu anlamda IT yöneticileri kendi kullandıkları güvenlik ürünlerinin bildirilerini takip edebilecekleri gibi, bilgi güvenliği duyurularını yayınlayan NDV (National Vulnerability Database) ve iDefense gibi servisleri de takip edebilirler.

Şirketlerin bir CSO (Chief Security Officer) veya Whiter hacker istihdamı gerekli midir? Bu alanda ülkemizdeki tecrübeli ve güvenilir eleman kaynağını artırmak için neler yapılabilir?

Her firma için bilgi en az diğer varlıkları kadar önemlidir. Dolayısıyla güvenlik politikalarını belirlerken risk analizlerinin iyi yapılması çok önemlidir. Bu doğrultuda ihtiyaç halinde CSO (Chief Security Officer) veya Whiter hacker istihdamı doğru bir hamle olarak görülmektedir. Ancak oluşturulacak departman ve kişiler titizlikle incelenmelidir.  Bu alanda tecrübeli ve güvenilir insan kaynağını artırmak için mevcudun en az 3-4 katı uzman ve eğitim yatırımı yapılmalıdır. Bilişim suçlarıyla mücadele için farklı uzmanlık alanlarıyla ilgili kapsamlı eğitimler düzenlenmeli ve sonrasında alan başarısı test edilerek sertifikalandırılmalıdır.

Son yıllarda kurumlar en çok hangi tür saldırılara maruz kalıyor?

Ülkemizde ve dünyada son yıllarda “Bilgiye erişimi durdurma/aksatma” (Ddos v.b.) ve maddi çıkar sağlama amaçlı gizlilik ihlali (banka ve kredi kartı dolandırıcılığı ) gibi saldırılar popüler saldırılar arasında sayılabilir. Ancak zamanla saldırı tipleri ve amaçlarının değişkenlik gösterebilmektedir. Öyleki artık dijital sistemlerle yönetilen enerji, savunma, eğitim, sağlık vb. gibi alanlara yönelik bilgi çalma ya da hizmet aksatma türü uluslararası saldırılar olabileceği unutulmamalıdır.

Kullanıcıların kendi cihazlarını iş yerinde kullanmaları (BYOD), kurumlar için güvenlik açısından ne tür riskler doğuruyor? Bu riskleri minimize etmek adına neler yapıyorsunuz?

Çağımızda çalışanların farklılaşan teknolojik gelişmelerden ötürü akıllı telefonlar, tabletler veya çeşitli depolama birimleri ile çalıştıkları görülmektedir. Tabi bu aynı zamanda kontrol edeceğiniz networkünüzde cihaz sayısının ve çeşitliliğinin artması anlamına gelmektedir. Dolayısıyla kullanılan güvenlik cihazlarının bu yeni ortamları tanıması ve izlemesi gerekmektedir. Ayrıca bu tür yeni ve değişken ortamların sistem üzerinde yapacağı yük önceden hesaplanmalıdır.

Türkiye’deki kurumların toplam güvenlik stratejilerinde en fazla ihmal ettikleri alan hangisidir?

Yapılan araştırmalar Türk şirketlerinin bilgi güvenliği konusunda bazı konularda dünya ortalamasının ilerisinde olduğunu gösteriyor.  Bilgi güvenliği uygulamaları için yapılan harcamalar da yine dünya ortalamasına göre hızla artıyor. Yine araştırmalar ciddi güvenlik açıklarının yapılan çok basit hatalardan kaynaklandığını göstermektedir. O nedenle güvenlik uygulamalarını belirlerken çok basitten daha karmaşık yapılara doğru ilerlemek daha doğru bir yöntem olacaktır.  Teknik önlemlerin yanında insan faktörüne dönük çalışmalar da çok önemlidir. Yine diğer önemli bir husus ise belirlenen politikaların sürdürülebilir olduğundan emin olmaktır.

Bğlantılı Yazılar