Şirketler güvende mi?

Cisco Türkiye Güvenlik Çözümleri Satış Müdürü Ali Fuat Türkay, “Mayıs 2000’den bu yana tüm zayıf noktalar ve tehditler en yüksek seviyesine ulaştı” diyor. Ali Fuat Türkay, siber güvenliğe dair merak edilenleri 10 Soru’da yanıtladı.

3.08.2014 15:57:480
Paylaş Tweet Paylaş
Şirketler güvende mi?
Yeni dönemin önemli konu başlıklarından biri siber güvenlik. Aslında çok da hakim olunmayan bir konu. Özellikle şirketler cephesinde...

Siber güvenliği sadece “hacker işi” saldırılar olarak düşünmek, işin ciddiyetini azımsamaktan başka işe yaramıyor. Araştırmalar, endişe verici boyuttaki siber tehditlerin giderek arttığını gösteriyor. Üstelik bu tehditler karşısında şirketler eşit derecede “savunmasız”...

Cisco Türkiye Güvenlik Çözümleri Satış Müdürü Ali Fuat Türkay, “Mayıs 2000’den bu yana tüm zayıf noktalar ve tehditler en yüksek seviyesine ulaştı” diyor. Ali Fuat Türkay, siber güvenliğe dair merak edilenleri 10 Soru’da yanıtladı.

1- Siber güvenlik nedir? Şirketlerin "yüzde 100 güvenli" olması mümkün mü?
Siber güvenlik, siber suçluların internet aracılığıyla gerçekleştirebileceği saldırı, izinsiz erişim ve zayıf noktalara karşı bilgisayarları, ağları ve verileri korumak için tasarlanan teknoloji ve süreçleri kapsıyor. İlk zamanlarında siber saldırılar hackleme ve boş zamanlarını oyunlar ve basit programlar yaparak geçiren korsanlarla sınırlıydı. Modern siber suçlar ve siber suçlular, gözle görünür bir şekilde büyüdü ve gelişti. ~

Artık kazanılan ve aklanan paralar göz önüne alındığında, diğer organize suçlarla karşılaştırılabilir boyuta geldiler. Bir hükümetin “kritik altyapı tesisleri” siber saldırının hedefi haline geldiğinde, siber saldırılar artık ulusal devlet için endişe verici bir hal almış oluyor. Bu tip siber saldırıların hedefleri arasında, enerji santralleri, ulaşım kontrol binaları, finansal ve telekomünikasyon sistemleri olabiliyor.

2- Türkiye'de siber güvenlik konusu ne kadar biliniyor?
Siber savunma Türkiye’nin ulusal savunmasının vazgeçilmez bir parçası haline geldi ve Türk Silahlı Kuvvetleri, siber güvenliği toprak, hava, deniz ve uzaydan sonra ülkenin “beşinci gücü” olarak değerlendiriyor. 2013’te yapılan son araştırmalara göre Türkiye, önemsiz e-posta üretimi ve dağıtımında üçüncü sırada.

Dünyadaki toplam kötü niyetli aktivitenin yüzde 3’lük kısmının burada gerçekleşmesiyle, kötü niyetli faaliyetler kaynağı sıralamasında ise geçen yıl 15’inci sırada iken bu yıl dokuzuncu sırada.

3- Peki şirketler cephesinde durum nasıl? Şirketler hangi konularda tehdit altında?
Bugün şirket ağları artık dört güvenli duvar arasında durmuyor. Günümüzde çalışanlar daha önce hiç olmadığı kadar çok sayıda araçla işlerine erişebilmek istiyor. Ev ağlarından, tabletlerinden ve akıllı telefonlarından... ~

Daha çok sayıda çalışan cihazlarını, kişisel ve iş konularının her ikisi için de kullandıkça ve BT bölümleri kontrolde yetersiz kaldığından, şirket gizli bilgilerinin kaybı potansiyeli artıyor. Şu sıralar Kendi Cihazını Getir (KCG - BYOD) olarak bilinen trend, konu bilişim desteği ve güvenliğe geldiğinde karmaşayı da beraberinde getiriyor.

Türkiye’deki şirketlerin BYOD trendi karşısında yaşadıkları en büyük zorluk, sağlam bir güvenlik stratejisi başlatmak ve uygulamak. 2014’te şirketler, cihazların iş uygulamalarını izole ettiğinden ve koruduğundan emin olmalı. Geleneksel güvenlik yöntemleri, son dönem kötü niyetli yazılımlar karşısında yeterli değil. Bu yüzden iş dünyasının, güvenlik konusunda kafa yapısını değiştirmesi önem taşıyor.

4- Şirketlerin siber güvenliklerini oluşturmaları nasıl bir süreç?
Öncelikle değerli verileri ne ise onu belirlemeleri ve korumak için gerekli süreçleri uygulamaya almaları lazım. Bakış açısını atak öncesi, atak sırası ve atak sonrasına odaklayacak yeni bir yapılanma gelmeli ve önceliğin mutlaka “görünürlük” olması gerekli.

Mutlak gereklilik ise çalışanlara verilecek düzenli eğitimler. Son olarak da kurumların 5N1K sorularına cevap verebilmeleri gerekiyor.~
Örneğin, “Şu anda kablolu, kablosuz, VPN altyapımda kaç cihaz aktif olarak bağlı, marka modelleri ne, kullanıcıları kimler, hangi binamda kaç kişi cihaza bağlı, buradaki davranışlar normal mi?” Bunlarla ilgili gerekli cevapları veremeyen her şirket, çeşitli tehditlere açık olabileceğini unutmamalı.

5- Bu sürecin şirketlere yaklaşık maliyeti nedir?
Devlet siber güvenliği için güncel bir maliyet ortaya koymak mümkün fakat hükümetler, siber güvenliği geliştirmek ve global standartlara erişmek konularına gittikçe daha çok odaklanıyor. Özel sektör de yenilikleri boğmayacak bir mevzuatın teminine yardımcı olmak için süreci hızlandırıyor. Sonuç olarak, gittikçe büyüyen güvenlik zorluklarına karşı mücadele edebilmenin maliyetinin sadece ürün değil, çözüm geliştirmeyi kapsaması gerekiyor.

6- Peki şirketler en çok ne tür önlemler alıyor? Bunlar yeterli mi?
Çevrimiçi suçlular tarafından kullanılan taktiklerin ve teknolojinin kurnazlığı, BT ve güvenlik çalışanlarının bu tehditlerin üzerine gitme becerilerini geride bırakıyor. Günümüzde ana sorun şu ki birçok şirket, genişlemiş ağlarını sürekli izleyerek sızmaları fark edecek, zamanında ve etkin bir biçimde korunma uygulayacak insan kaynağına ya da sisteme sahip değil.~

7- Son yıllarda şirketlerin güvenlik talebi artıyor mu?
Şu unutulmamalı ki büyüklüğü, yeri ve iş kolundan bağımsız olarak tüm şirketler korunmasızdır. Hatta dünyanın neresinde olursa olsun tüm şirketler korunmasız durumda. Öncelikli olarak sizin için “değerli verinin” ne olduğunu belirlemek, sonra onu korumak için gerekli teknolojik yatırımlara kadar birçok adım atmak elzem. En önemli adım ise çalışan eğitimi,

8- Siber güvenlik en çok hangi sektörler için önem arz ediyor?
İlaç, kimya ve elektronik üretim endüstrisi gibi belirli sektörler, tarihsel olarak en yüksek kötü niyetli yazılım oranlarına ulaştı. 2012 ve 2013 yıllarında tarım ve madencilikteki kötü amaçlı yazılımla karşılaşma oranlarında fark edilir bir büyüme oldu. Kötü amaçlı yazılımla karşılaşmalar enerji, petrol ve gaz sektörlerinde de artmaya devam ediyor.

9- Önümüzdeki sürece dönük öngörüleriniz neler?
Türkiye’nin de dahil olduğu, dünya genelindeki işletmeler için artık mesele siber saldırıya maruz kalıp kalmayacakları değil, ne zaman maruz kalacakları. Bilişim güvenliğinden sorumlu yöneticiler, sürekli kısıtlanan bütçeler ve zayıf düşen BT ekiplerine rağmen riski giderek artan ağlarda büyük hacimlerde veriyi korumak, özellikle bulut üzerinde verinin güvenle yönetilmesini sağlamak, özel çözümler için üçüncü şahıslarla çalışmanın riskini değerlendirmek gibi artan baskılarla yüzleşiyor. ~

10-Şirketler siber güvenlik konusunda nasıl önlemler almalı?
Göremediğiniz hiçbir şeyi kontrol edemezsiniz. O yüzden tüm veri merkezini ve network altyapınızı “görünür” kılmak en önemli hedef olmalı. Daha sonra kablolu, kablosuz ve VPN ile bağlanan tüm cihazlar için ortak bir kimlik ve politika yönetimi olmalı. Kurumların güvenlik yapıları büyük ölçüde imza tabanlı bilinen tehditlere göre yapılandırılmış durumda.

Ancak “davranış” tabanlı ürünlerle bu yapı güçlendirilmeli. Atakların önemli bölümünün içeriden geldiğini unutmayalım. Bir saldırı atağından önce yapılması gerekenler konusunda birçok kurumda gerekli yatırımlar mevcut ancak aynı özenin atak sırasında ve atak sonrasında ne yapılacağı konusuna da kanalize edilmesi gerekli. Tüm bunlar stratejinin bir parçası olmalı.

Türkiye ve dünya ekonomisine yön veren gelişmeleri yorulmadan takip edebilmek için her yeni güne haber bültenimiz “Sabah Kahvesi” ile başlamak ister misiniz?


İLGİNİZİ ÇEKEBİLİR

Yorum Yaz