Rehber: Bilgi güvenliğini ele almanın yolları

Dijital dönüşümün giderek artan hızıyla birlikte şirketler bilgi yönetim sistemlerinin güvenliğini sağlamak için harekete geçmeli. Ancak çok sayıda işletme, kendilerini saldırıya karşı savunmasız bırakarak detaylı güvenlik sistemlerine yatırım yapmayı erteledi. Herkesin işi artık otomtikleşti, dijitalleşti ve online, bu bir yandan hız ve maliyet avantajı sağlarken diğer yandan da potansiyel savunmasızlığa davetiye çıkartıyor. Neyse ki, etkili bir bilgi güvenliği yönetim sistemi (ISMS) kurmak tehlikeleri azaltmak için bir noktaya kadar yeterli olacak. 

Siber tehlikeler

Dijital dönüşüm çağında en önemli konu veri güvenliği, özellikle siber suçlulara karşı. Telekomünikasyon devi Verizon şirketlerin karşı karşıya olduğu en büyük güvenlik tehlikeleri ile ilgili bir araştırma gerçekleştirdi ve veri ihlallerinin yüzde 40’ına bilgisayar korsanlığının, diğer yüzde 30’una ise kötü niyetli yazılımların sebep olduğu sonucuna vardı. Olağanüstü bir örnek geçen yaz konteyner taşımacılığı devi Maersk’e Los Angeles limanında yapılan büyük siber saldırıydı. Bilgisayarlar ve sunucular kapatılarak çalışanlar Twitter, Whatsapp ve Post-it notlarını kullanarak doğaçlama yapmaya zorlanmıştı. Küresel şirketlerin bile saldırıya açık olduğunu gösteren Petya fidye yazılımı saldırısı Maersk’e 300 milyon dolara mal oldu ve operasyonları iki hafta boyunca durdu. 

Teknoloji yerinde duramayan bir dünya ve ne yazık ki bu durum suçlular için de geçerli. Bu da işletmelerin, her zaman verilerinin güvenliği için en yeni araç ve sistemlere sahip oldukları garanti olsa bile, önlerine çıkabileceklerden bağımsız olarak, hiçbir zaman rehavete kapılamayacakları anlamına geliyor.

İyi tasarlanmış bir bilgi güvenliğı yönetim sistemi (ISMS) siber saldırılara karşı şirketin dayanıklılığını artıracaktır. Ancak bu güvenlik teknolojilerini fişe takıp sonra da uykuya dalma meselesi değil. Doğru ISMS yaratmak bir politika çerçevesi ve uygun teknolojileri seçmeden önce derinlemesine düşünmeyi gerektiriyor. Şirketler saldırıya açık olan kilit alanların belirlenmesi için risk değerlendirmesi yapmalı ve bütçelerini belirlemek için iş durumlarını değerlendirmeliler. Mevcut çalışanlarının teknik yetkinliklerinin olup olmadığına veya yeni birilerini işe almalarının gerekip gerekmediğine karar verip kısa ve uzun dönem hedeflerini belirlemeli. Güvenlik riskleri sürekli değişiyor ve ISMS sistemleri yeni tehditler ile başa çıkabilmek için evrilmeli. İşletmeler risk analizleri için, COBIT, Uluslararası Standartlaştırma Organizasyonu (ISO) 27000 serisi ve Amerika Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800 serisini de kapsayan çeşitli mevcut standartlardan kılavuzluk almalılar.  

İşin en zayıf noktasını belirleyin

Bir ISMS çerçevesi, siber güvenlik olaylarının çoğunun, siber suç tuzaklarına düşen kurbanların farkındalık eksikliğinden kaynaklandığını dikkate alacaktır. Sansasyonel bir örnek, geçtiğimiz yıl 147 milyondan fazla müşterinin verilerini sızdıran kredi raporlama ajansı Equifax'teki büyük güvenlik ihlaliydi. Şirketin CEO'su, bu ihlali insan hatasına bağladı. Her ne kadar tamamen ortadan kaldırılamayacak olsa bile, insan hatası riskini mümkün olduğunca azaltmak için teknolojiye ihtiyaç duyulduğu açık. Çalışanlara küçük hataların nasıl felaketle sonuçlanabileceğini açıklamak için siber güvenlik eğitim programları gerekli.
Önlenebilir hatalar yapmanın da bir insan maliyeti var. Hiç kimse, bir oltalama kampanyasına veya sosyal mühendislik saldırısının kurbanı olan çalışanı görevden almak istemez. 

SİM Çözümleri

Bir bilgi güvenliği sistemi kurmanın bir diğer önemli konusu, güvenlik duvarları, proxy sunucuları, saldırı tespit sistemleri ve antivirüs yazılımı gibi güvenlik cihazlarından gelen tüm verilerin nasıl sıralanacağının belirlenmesidir. Daha iyi bir güvenlik sistemi kurmak alarm verisini azaltmak yerine artıracağından BT ekibi hızla bunalabilir. Şirketler, diğer yazılım parçaları tarafından kaydedilen verileri kaydeden ve sıralayan bir SIM (güvenlik bilgi yönetimi) teknolojisi kurmayı düşünmelidir. 

Daha büyük işletmeler on yıl önce SİM sistemlerini kullanmaya başladı, ancak pazar gelişti ve bunlar artık birçok küçük ve orta ölçekli işletmede güvenliğin ayrılmaz bir parçası. BT güvenlik ekiplerinin veri yığınlarını manuel olarak sıralaması yerine, SIM araç seti işlemi otomatikleştiriyor ve verileri normalleştiriyor. Cisco, Microsoft veya CheckPoint yazılım uyarılarını ortak bir dile çevirebilir. Birçok SIM paketi farklı sorunları ele almak için birden fazla uygulama içeriyor.

Hangi SIM sisteminin satın alınacağına karar verirken, işletmelerin karşılaştıkları risk seviyesini ve sistemin ihtiyaç duydukları kapasiteye sahip olup olmadıklarını göz önünde bulundurmaları gerekiyor. Ölçeklenebilir olması gerektiği için yüzlerce hatta binlerce cihazdan gelen bilgileri gerçek zamanlı olarak kaydediyor. Symantec'in “karma tehditler” olarak adlandırdığı virüs, Truva Atı ve kötü amaçlı kodların özelliklerini birleştirebilecek şeyle başa çıkması gerekiyor. Bazı işletmeler, veriye bağlı olarak SIM sisteminin anında harekete geçtiği aktif yanıt yeteneği isteyecektir. Bu seçenek, çalışanlar masum hatalar yaptığında sunucuların gereksiz yere kapanmasını ve trafiğin durmasını önlemek için her zaman dikkatli bir kurulum gerektiriyor. Bölümler arası politikalar için müzakere edilmesine de özen gösterilmeli. SIM karmaşık uygulama gerektiriyor ve her departman kendilerine uygun erişim ayrıcalıkları hazırladığında gecikmeler olabilir.

Sistem tasarlanıp kurulduğunda süreç sona ermiyor. İşletmenin sistemin etkinliğini izlemek için KPI'ları belirlemesi ve ondan sonra büyük ihlalleri gözden geçirmesi gerekiyor. Kötü aktörler hiç durmadan yeni teknolojilerden ve güvenlik açıklarından yararlanıyor ve bunlara karşı koymak için sürekli yeni araç, beceri ve prosedürler uygulamak şart olacak. Neyse ki, teknoloji şirketleri suçlular kadar hızlı hareket ediyor ve güçlü ve güvenli bir sistem uygulamak için tüm araçlar mevcut.