Önümüzdeki beş yıl içersinde güvenlik konusu BT yöneticilerinin gündemlerinden hiç düşmeyecektir. Bugünden daha fazla olarak üzerinde durulması gereken bir hal alacaktır. Artan teknolojik gelişmeler ve kullanım çeşitliliği, yoğunluğu karşısında güvenliğin sağlanması daha da zorlaşacaktır. Mobil teknolojiler, data iletişimleri, mobilite, artan veri trafiği ve yoğunluğu, kullanılan cihazların çeşitliliği gibi faktörler güvenlik konularında daha da hassas olunmasını gerektiriyor. Kullanıcı profillerinin değişmesi, alışkanlıkları, sosyal medya kullanımı, artan internet ve e-mail trafiği güvenlik açıklarını çeşitlendirmektedir. Virüsler, saldırı atakları, kandırmaya yönelik web sayfaları, fake e-mail mesajları her zamankinden daha fazla tehditkar. Notebook/tablet’lerin PC’lerden daha fazla kullanılır hale gelmesi, akıllı cep telefonları, PDA cihazları güvenlik sistemlerinin açık noktaları olarak karşımızda duruyor.
IDC’nin Türkiye için 2010 yılı araştırmasında BT yöneticilerinin gündemindeki ilk konunun BT sistem ve teknolojilerinin güvenliğinin sağlanması olduğu tespit edilmiş. Telekom şirketleri, bankacılık ve resmi kurumlar başta olmak üzere 2008’den bu yana her yıl güvenlik harcamaları %10 artmış durumda. Aynı araştırmada en önemli üç güvenlik riski; Trojanlar, Spyware ve bilginin çalınması olarak sıralanmıştır. Özellikle şirket içindeki çalışanların bilinçli olarka şirket bilgilerini dışarıya çıkartmaları, sızdırmaları en çok risk olarak görülmektedir. Ayrıca kullanıcıların farkında olmadan, bilmeden veri ve bilgi kaynaklarını kaybetmeleri, silmeleride başka bir sorun olarak görülmektedir.
Bugüne kadar bilinen güvenlik teknolojileri ve uygulanan yöntemlerin yerini daha da karmaşık ve kompleks güvenlik sistemleri alacaktır. Güvenliğin sağlanması için şirketlerin iletişimi merkezileştirmeye yönelecek ve daha sert tedbirlerin uygulanması gerekecektir. Kullanıcıları rahatsız etmeden, iletişim trafiğini aksatmayacak şekilde güvenlik politikalarının kurulması lazım gelecektir. BT departmanlarında işi sırf güvenlik politikalarını uygulamak/kontrol etmek ve geliştirmek olan alt birimler olacaktır. BT bütçelerinde güvenlik yatırımları önemli bir harcama kalemi olacağını ve her yıl artacağını öngörmekteyim. Notebook/PC güvenliği, özellikle notebookların çalınmasına karşı tedbirler, USB üzerinden kontroller, wireless erişimleri, misafir networkleri, 5651 erişim yönetimi, spam filtering, internet erişimlerinin kısıtlanması gibi konularda alınması gereken bir sürü tedbirler var ve bunların çoğu kullanıcılar tarafından sevimsiz karşılanmaktadır. Ayrıca şirketlerden sosyal paylaşım sitelerine erişimlerinin kısıtlanması, anlık mesajlaşma uygulamalarına izin verilmemesi gibi tedbirlerde kullanıcıları rahatsız ediyor. Ayrıca satış&pazarlama gibi departmanların bunlara ihtiyaç duymaları da ayrı bir sorun yaratmaktadır. Bu nedenle BT Yöneticileri alacakları tedbirleri, uygulayacakları politikaları şirket yönetiminin desteğini ve onayını alarak hayata geçirmeleri gerekmektedir. Kullanıcıları sürekli eğiterek, bilinçlendirme görevlerini ihmal etmemelidirler.
Artan veri trafiği karşısında veritabanlarının güvenliğinin sağlanması da ayrı bir konudur. Veritabanı erişimlerinin kontrol altına alınması, ekran ve raporların erişimlerinin yetkilendirilmesi, alınan raporların dış ortamlara transfer edilmesinin engellenmesini sağlayan uygulamalara ihtiyaç duyulmaktadır. Kullanıcıların tek bir yerden sisteme giriş yapmaları (single sign on) ve erişim kontrollerinin kolay ve yönetebilir olmasını ağlayacak uygulamaların kullanımı artacaktır.
Sosyal paylaşım sitelerinin yaygın olarak kullanılması sonucunda dışardan sızmalar, farkında olmadan zombi cihaz hale gelmesini de sağlayabilir. Bu nedenle kontrollü olarak erişim izinlerinin verilmesi yoluna gidilmektedir. Bu tür sitelere erişim izinlerinin verilmesi beraberinde internet trafiğini arttırmakta ve günlük iş yapışlarına engel olacak hale getirmektedir. Üzerine üstlük birde çalışanlarının mesailerinin bir kısmını bu şekilde harcamaları da şirket yönetimleri tarafından hoş karşılanmamaktadır. Resim/video paylaşımları, haber sitelerindeki videolar artan data trafiğini olumsuz kılan bir başka kullanım şeklidir.
Tüm internet trafiğinin kontrol altına alınarak günlük olarak raporlanır hale getirilmesi için loglama-raporlama uygulamalarının kullanımını arttıracaktır. Kullanıcı bazlı olarka izinlerin verilmesi, trafiğin yönetilmesi, şirket içine raporlanması gerekmektedir. Benzer bir çalışma da e-mail trafiği içinde yapılmalıdır. E-maillerin arşivlenmesi ve kullanıcı silse bile sistemden silinmemesini sağlayacak
Deloitte’nin 2011 yılı “Bilgi Teknolojileri İş dünyası Dengesi” araştırma raporuna göre ülkemizde BT departmanlarının sadece %18’inde Bilgi Güvenliği Yöneticisi (CISO – Chief Information Security Officer) olduğunu ifade edilmekte ve bu oranın önümüzdeki 5 yıl içinde daha da artacağı öngörülmektedir. Bilgi güvenliği departmanının BT içersinde (Dünyada %15) %ya da dışında olması (Dünyada %54) tartışılan bir konu olduğunu hatırlatalım.
Önümüzdeki Pazartesi Sabahı ;
Güvenlik zaafiyetlerinizi tespit ederek önem sırasına dizin ve gidermek için tedbirlerinizi alın. BT bütçenizi her yıl için güvenlik teknolojilerine yatırım yapacak şekilde değiştirin. Bunun için şirket üst yönetimi ile yakın ilişki içinde olup onların onayını ve desteğini alın. Departman içinde işi sadece güvenlik olan birim oluşturun ve gerekirse dış kaynak hizmeti alın...
Bana göre ...
Bilgi teknolojilerinde güvenlik en çok konuşulacak ve baş ağrıtacak bir konu olacaktır. Ne kadar tedbir alınsa da mutlaka bir açık nokta olacaktır. Tedbirlerin alınmasında duygusal davranmayın ama paranoyak davranışlar içinde de olmayın.
24/06/2001
