Siber Güvenlikte Doğru Bilinen 6 Yanlış Anlayış

Uyumsoft Bilgi Sistemleri ve Teknolojileri AŞ Bilgi Güvenliği Uzmanı Adem Şimşek, “Siber Güvenlikte Doğru Bilinen 6 Yanlış Anlayış” konusuna ilişkin şunları açıkladı.Günümüzde şirketlerin/kurumların teknolojik altyapılarını güçlendirme çalışmaları, takdire şayan biçimde hızla ilerliyor. Öne çıkarılan hizmet ve ürünlerin son kullanıcıya kesintisiz biçimde verilerek, internet tabanlı sisteme geçiş istenebilmektedir. Buna bağlı olarak sunulan hizmetlere ait kurum içi süreçlerin, teknolojik altyapısını iyileştirme gibi birçok konu başlığı, üst yönetimleri inovasyona zorlamış durumdadır. Bir taraftan üründe ve hizmette öne çıkan taraflarla farklılaşmak, diğer tarafta bunu destekleyici teknolojik değişimlere yön vermek, hakikaten başarının anahtarı konumunda gözüküyor. 

Teknolojinin kullanılması bu kadar önemli bir durum iken, siber güvenlik konusu kimi zaman yöneticilerin gözünden kaçabiliyor. Dahası, bunu önemsediği düşünenlerin bile düştüğü en büyük hataları şöyle bir gözden geçirmekte fayda var. İşte siber güvenlikte doğru bilinen 6 yanlış anlayış: 

1. Tamamıyla IT ile ilgili: Yaşanabilecek bir veri sızıntısında, ilk tepki verecek personel, elbette IT çalışanlarıdır. Ancak, böylesi bir olay İnsan Kaynakları merkezli de olabilir. İşe alım sürecinde yeterli seviyede aday sorgulaması yapılmaması, doğrulama kanallarının aktif kullanılmaması, böylesi olayların yaşanmasının önünü açabilir. Bu sebeple, siber güvenlikte tüm yükün IT üzerine bırakılması yerine, tüm bölümlerin ortak sorumluluk alabileceği mekanizmalar oluşturulmalıdır.

2. Üst Yönetim “beyaz”: Siber güvenlikle ilgili gerekli teknik altyapı iyileştirmelerinin devam ettiği, çalışanlara bilgi güvenliği eğitimlerinin verildiği bir ortamda, yönetim seviyesindeki kişilerin, bir havaalanında kendisine ait laptop veya akıllı cihazı unuttuğunu varsayın. Şifre seviyesi düşük ve belki de hiç olmayan bu cihazlara, yetkisiz erişimin oluşturduğu risk hesap edilebilir. Bu durumda unutulmamalıdır ki, risk her kaynaktan -yöneticiler de dahil olmak üzere gelebilir, herkesin bilgi güvenliği farkındalık seviyesinin mümkün olduğunca yukarıda tutulması bir hedef olmalıdır.

3. Yatırım artışı gerekir: Siber güvenlik alanında yaşanan olaylarla beraber, kapınızı daha fazla firmanın çalacağı ve ürün satmak isteyebileceğini düşünebilirsiniz. Aslında bu tam olarak böyle değildir. Bir IT altyapısını temel seviyede güvenli kılacak şekilde tasarım yapılmadığı durumlarda, bu açığı kapatma adına yapılan yatırımlar göze çok gelebilir. Açık kaynaklı dünyayı size sevdirebilirse, aslında uzun vadede yatırımlarınızı düşürebilecek hamleleri de görme şansınız oluşabilir.

4. Güvenlik eşittir para: Siber güvenliği bir para tuzağı sektörü olarak görebilirsiniz. Kötü ile bize korkutup iyiyi pazarlamaya çalışıyorlar, teorisini seslendirebilirsiniz. Ancak, bu teori ile vaktinizi harcarken, size ait çok önemli tasarımların, ar-ge süreçlerinin veya ürün/hizmetlere ait verilerin elinizden sızdırıldığını yaşarsanız, bu teorinin şimdilik bir kazanç sağlamadığını düşüneceksinizdir. Vakit varken, temel seviyede güvenlik sisteminin kurumunuzda entegre edilmesini sağlayarak, daha büyük maddi kayıpların önüne geçebilirsiniz.

5. Doküman eşittir güvenlik: Bilgi güvenliği ile ilgili politika ve prosedürler oluşturmuş, bunu sistematik bir şekilde takip ettiğinizi düşünebilirsiniz. Ama önemli olanın, bu dokümanlarda yer alan kuralların, çalışanlarca yerine getirilmesi ve bu dokümanlara adapte olmasıdır. Şifre güvenliği vb diğer prosedürleri belirlemiş olabilirsiniz, ancak bu kuralların gerekliliklerini yerine getirme anlamında yeteri kadar efor sarf ettiğinizden emin olmanız gerekir.

6. Güvenlik bir defalık projedir: Tüm yöneticilerin de bulunduğu bir ortamda yeni bir projeye start verildiği bir güvenlik projesinde, akılda cevap bekleyen soru “bu proje ne zaman bitecektir” dir. Her personelin kendi işi ve sorumlulukları düşünülürse, çalışanlara bu projeyi uzun soluklu devam ettirmek zor gelebilir. Ama bu projenin, bitmeyen bir süreç olduğu gerçeğini hatırlatmak gerekir. Bu durumda yapılması gereken, işe girişte görev tanımı yapıldığı esnada, her pozisyondaki sorumlulukların arasına bilgi güvenliği sorumluluklarının da eklenmesidir.