Kurumsal Güvenlik Anlayışı

[megabros]

Günümüzde kurumların verimli hizmet verebilmek ve rekabette güçlü olabilmek için bilişim sistemlerini çok yoğun olarak kullandığı bir gerçektir. Bilişim sistemleri, getirilerinin yüksek olduğu kadar maliyetleri de yüksek olan teknolojik sistemlerdir. Bu yüksek maliyetlerin karşılanabilmesi için bu sistemlerin en verimli şekilde kullanılması gereklidir. Yani sistem hizmet kesintisine uğramamalı, ürettiği veya barındırdığı bilginin bütünlüğünden emin olunmalı ve özel bilgilerin kurum dışına çıkmaması sağlanmalıdır. Bu tanım aslında güvenlik tanımının kendisidir.

Güvenlik kişiye/kuruma özellik (confidentiality), veri bütünlüğü (integrity), hizmet devamlılığı (availability) üçgenini kırılmaz sağlamayı amaçlar. Bu üçgenin kenarlarından herhangi birisinin zayıflığı durumunda güvenlik söz konusu olamaz. Yani güvenlik aslında kurumun devamlılığı için vazgeçilemez bir katmandır. Bu katmanın eksik olması eninde sonunda kurumun bir noktada çöküşüne ve ciddi kayıplara uğramasına sebep olacaktır.

Genel olarak incelendiğinde güvenlik ihlallerinin her geçen gün arttığı görülmektedir. Bu güvenlik ihlalleri çok ciddi mali kayıpları beraberinde getirmektedir. Aslında bir güvenlik ihlalinin sebep olduğu kayıpları gerçek anlamda hesaplamak çok zordur. Çünkü güvenlik ihlali durumda;

Güvenlik ihlalinin belirlenmesi
Durumun analizi ve kayıpların belirlenmesi
Sistemin açıklarının kapatılması
Kayıpların yerine koyulması
Güvenlik politikalarının belirlenmesi
Güvenlik sürecinin işletilmeye başlanması

gerekmektedir.

Bunlarla beraber hizmet devamlılığında oluşan aksaklıklar veya güvenlilik ihlali yüzünden kaybedilen kurumsal imajın, kuruma ait veya kurumun oluşturduğu kaybedilen veya sızan verilerin veya büyük yatırımlarla kurulan bilişim sistemlerinin bu süreçte verimli kullanılamamasının maliyetinin hesaplanması mümkün değildir.

İhlallerin artmasında en büyük etken ise yine sistemlerin kendisidir. Güvenlik önlemleri ile güvenliği karıştırmak düşülecek en büyük hatadır. Güvenlik önlemini bu noktada akaryakıt deposundaki yangın alarmına benzetilebilir. Diğer önlemler ve uygulamalar olmadan yangın alarmı gerekli güvenliği sağlamaktan aciz kalacak, ciddi bir felaketle beraber sadece ötecektir.

Her gün artan saldırı teknikleri ve saldırganlar için az önce bahsedilen anlayıştan daha güzel bir fırsat olmayacaktır. Günümüzde özellikle hedef gütmeyen saldırı teknikleri ciddi anlamda artmıştır. MyDoom kurtçuğunun toplam verdiği hasar hesaplanamamaktadır. Üstelik bu kurtçuk hala çok ciddi bir trafiğe sebep olmakta ve sistemleri meşgul etmektedir. Bu örnek gözönüne alındığında kurumun herhangi bir saldırıya hedef olmayacağı anlayışının silinip atılması gerektiği çok net bir şekilde anlaşılmaktadır.

Bir diğer zayıflık ise güvenlik uzmanı eksikliğinden kaynaklanmaktadır. Kurumların güvenlik sürecini devreye sokmadan mutlaka bir uzmandan yardım almalıdır. Aksi takdirde önemli bir yatırım ve yapılanmanın boşa gitmesi ve çok ciddi kayıplara sebep olması kaçınılmazdır. Güvenlik bir bütün olarak ele alınmalı ve günlük çalışma temposu güvenlik sürecine adapte edilmelidir. Söz konusu olan kurumsal imaj, üretilen bilgi ve hizmet olduğuna göre aslında söz konusu olan kurumun kendisidir. Bu nokta asla akıldan çıkarılmamalıdır.

Saygılar.