Merhabalar,
Bir BT yoneticisi, sirketlere uygun guvenlik politikalarini belirlemek, uygulamaya almak ve yurutmek konusunda gorev yapmaktadir. Ancak ozellikle sirket ust yonetiminden gelen ve asagida kisaca ozetlemeye calistigim durumlarda guvenlik aciklari olusmakta. Bu gibi durumlarla karsilasan BT yoneticisi arkadaslarin fikirlerini almak isterim.
• Yonetim kurulu baskani, uyelerinin hatta sirket genel muduru ve genel mudur yardimcilarinin internete direkt cikmak istemeleri (yani bir proxy kullanmadan ve direkt firewall uzerinden) durumunda tum guvenlik politikalarinin disina cikmis olmazlar mi ?
• Ayrica bu kisilerin facebook ve benzeri sitelere giris yapmak istemeleri, internetten muzik veya diger programlari download etmeleri, hatta MSN kullanma gibi durumlarinda hangi guvenlik politikasıni yada urununu kullanabilirsiniz ?
• Bu kisilerin bilgisayarlarinda kurulu olan virus tarama programlarina guvenmek ne kadar sagliklidir veya yeterlimidir ? Bu bilgisayarlarin USB’lerinden cesitli dosya alisverisleri ile diger bilgisayarlara virus veya diger zararli programlarin bulasmasina engel olunabilir mi ?
• Ozellikle notebook kullanicilarinin wireless kullanarak TTNET WIFI gibi yerler uzerinden kendi kisisel abonelikleri ile internete cikmalari durumuna nasil engel olunabilir ?
• Gene notebook kullanicilarinin sirket ortaminin disindayken interneti kullanmalari durumunda sanirim sadece virus tarama programlarina guvenmekten baska caremiz yok degil mi ?
• Sirkete gelen danismanlarin sirket network hattina bagli iken, internet hattini kullanarak disardaki diger sistemlere baglanmak istemeleri (danisman olarak diger sirketlerede destek vermek zorunda olduklarindan), MSN ve benzeri programlari kullanmak istemeleri durumunda politikalar nasil revize edilmekte ?
• Sirket ust duzey kullanicilarinin bilgisayar kullanim bilgilerinin –istisnai durumlar haricinde- oldukca yetersiz olduguda gozonunde bulundurursak nasil bir yontem izlenmelidir ?
Yukaridaki bu tespitleri arttirmak mumkun ama ben sizlerin zamanini almamak icin ilk aklima gelenleri yazdim. Bu gibi durumlar karsisinda guvenlik urunlerini arttirmak mumkun olmakla beraber getirecegi mali yukleri sirket ust yonetimine anlatmak ve kabul ettirmekte mevcut kriz durumunu da goz onunde bulundurursak cok zor gibi …Ayrica sisteme cesitli guvenlik uygulamalarini entegre etmekte beraberinde bir yigin sorunu hatta BT yonetimi acisindan karmasayi da getirmektedir. Bu yazdıklarımdan sakın ola, konu hakkında bir şey bilmiyorum ve öğrenmek istiyorum gibi bir durum anlaşılmasın. 25 yıllık BT yöneticisi olarak karşıma çıkanları, yaşadıklarımı, duyduklarımı paylaşmak istedim.
Biraz keskin bir soru olacak ama o zaman onca yazilim, urun ve guvenlik konusunda BT yoneticilerinin ugrasilari bir kisir donguden mi ibaret ?
Bu sorular cercevesinde yakin cevremde yaptigim kisa arastirmalarda aldigim cevaplari paylasmak istiyorum ;
“Sana katılmamak mumkun degil, hepimiz ayni dertten muzdarip degilmiyiz. Sen istedigin kadar paronaya yap, guvenligi maximuma cikar , içerden bir kullanici memory stick’i pc ye taksin
sonuc ortada… Egitim sart peki bir kerelik eğitim etkilimi ? ?) saniyorum anladiniz . Eğitmenmiyiz, BT cimi? ?) bunu değistirmek zor. Daha cok isimiz var .”
Bu arkadasim benzer sorunlarla karsilastigindan halden anliyor ve durumun carpikligini dile getiriyor.
“Cevap basit.
Bu tip genel guvenlik politikası harici seyler isteyen yetkililere kendiniz adına bir muvakkatname hazırlatıp imzalatın. İstediginiz sey sirketin genel bilgi sistemleri guvenlik politikasına aykırıdır ve risk icermektedir.
Bu eylemi saglamam halinde olusabilecek sorunlardan ben mesul degilim.
Yarın bi gun bu istek neticesi olusacak sorun , is gucu , zaman ve para kaybından sorumlu olmazsanız en azından basınız agrımaz.”
Bu arkadasim ise, cozumu basite indirgemiz ama hayat ve calisma kosullari o kadar basit degil. Karşında Yonetim Kurulu başkanı veya Genel Müdür varsa imza almak ne kadar mümkün olabilir ? Ayrica bir sorun çıktığında gene uğraşacak, gece uykusuz kalacak BT yöneticileri değil mi ?
“BT yoneticilerinin YK'a bazi seyleri anlatabilmenin zorluklarini iyi bilirim fakat bu konuda da 1 musibet 1000 nasihatten iyidir seklinde yaklasirsak
bir guvenlik kontrolu/denetimi yaptirabilir rapor hazirlanabilir.Hazirlanan raporu ve riskleri goren YK'ya bazi seyleri sizin disinizda biriden duymak "iyi" gelebilir ! :)
belkide , ozaman konunun onemini anlayabilirler belki yatirim karari alabilirler ; Tecrubeyle sabittir.
Daha sonra sirketinizin BT alt yapisi icin belirli standartlari ornek gosterebilir ve bu standartlari yakalamayi hedefleyen bir proje ile YK'a gidebilirsiniz. ( ITIL , Cobit , ISO 27001 vs vs ... )”
Bu arkadaşım ise, konuya teorik yaklaşmakta ve çözüm önerilerini getirmektedir. BT yöneticisinin yapamadığını dışardan bir danışman ya da danışmanlık firmasına yaptırmak gerekiyor. Zaten danışmanlarında görevleri bu değil mi ? Bu da başka bir yazı konusu olacak kadar derin.
“Değiştiremiyorsan sen firmanı değiştir ve kurumsal bir firmaya geç”
Bir arkadaşım ise konuya çok daha keskin bir çözümle yaklaştı. Eğer olmuyorsa işi değiştireceksin ve kurumsal bir firmaya geçeceksin. Sanki tüm kurumsal firmalarda bu sorunlar yok mu ? dışardan devasa görünen şirketlerin BT sistem ve ekiplerinin aslında ne kadar düşük seviyede olduklarını 25 yıllık tecrübeyle o kadar çok gördüm ki ?
Güvenlik ürünlerinin daha çok dışardan gelen tehditler ve saldırılar için tasarlanmıştır. Bence asıl tehlike içerde. İçerdeki kullanıcılar ve yaptıkları BT sistemleri için asıl büyük tehdit oluşturmaktadır. Bunları engellemek o kadar koaly olmuyor. Hele dağınık sistemlere sahip iseniz. Her bir lokasyon için yatırımlar yapmak ve bunları yönetmek, kontrol etmek için geniş ve bilgili ekiplere ihtiyacınız var. Ayrica yatırımın büyüklüğünü de sanırım gözünüzde canlandırıyorsunuzdur. Konu derin ve uzun buradan anlatmak zor. Hani bazı şeyler vardır ya anlatılmaz ancak yaşamak gerekir işte öyle bir şey…
Konu hakkında sorularım ve aldığım cevaplar özetle bunlar. Siz ne düşünüyorsunuz ?
Hiç yorum yok:
Yorum Gönder