Birçok uluslararası araştırma şirketinin verilerine göre, siber saldırılar ve saldırı çeşitleri her geçen yıl artıyor. Dell’in yaptırdığı araştırmaya göre, dünya çapındaki kurumların yüzde 73’ü son 12 ayda güvenlik sızıntılarıyla karşı karşıya kaldı. Shellshock, Heartbleed gibi önemli saldırılar ile dev kurumların başına gelen veri sızıntılarının gündeme damga vurmasıyla, hem içeriden hem de dışarıdan gelebilecek saldırılara karşı alınması gereken güvenlik önlemleri tartışılıyor.
Peki, daha çok finanstan sorumlu yöneticilerin (CFO) duymaya alışık olduğu en yüksek kredi notu “AAA” BT güvenliğinde bir standart olsaydı, kurumlar bu standardı nasıl tuttururlardı? Bu sorunun yanıtını Dell Türkiye Yazılım İş Geliştirme Müdürü Özben Miçooğulları, üç ana başlıkta toplayarak veriyor ve kurumlara önerilerini sıralıyor:
Tehditlere göre hareket edebilmeli
Değişen BT altyapılarına uygun güvenlik mimarisi önleyici, sürekli tarayan, geçmişi hatırlayan ve öngörülü olabilmeli. Gartner’ın da belirttiği gibi bağlam ve içerik farkında güvenlik altyapıları oluşturulmalı. Bu bağlamda toplanan verilerle güvenliğin her zaman geliştirildiği mimariler oluşturulmalı.
Kurumların özel ihtiyaçlarını karşılayabilmeli
Kurumlardaki güvenliği sağlayabilmek için bazen onlarca çözüm kullanılırken bazen de tek bir çözümle tüm açıkların kapatılması hedefleniyor. Ancak her iki durumda da yüksek maliyetler, esnek olmayan güvenlik mimarileri, uzun zamana yayılan çözüm süreçleri gibi zorluklar kurumların adım atmasının önüne geçiyor. Kurumlar; sadelik, verimlilik ve bağlantıda kalmayı gözden kaçırmadan uygulanacak kuralları ve ilkeleri belirleyerek, son kullanıcıların kolayca uyum sağlayabileceği güvenlik çözümlerini uygulamalılar.
Son kullanıcıya tamamen uyumlu olabilmeli
Birçok kurumda güvenlik çözümleri uygulansa da alınan önlemlerin çalışanlar tarafından anlaşılmaması ve kurallara uyum sağlanmaması nedeniyle BT birimleri zor durumda kalabiliyor. Ayrıca çalışanlar kendilerini daha üretken hissettikleri BYOD gibi kavramları hızla benimseyerek güvenliği hiçe sayarak hareket edebiliyorlar. Tüm bu sebeplerden çalışanlara özel eğitimler ve yol gösterici içerikler verilmesi, hem çalışanları tehditler hakkında güncel tutacak hem de çalışanlar nedeniyle ortaya çıkan tehditleri düşürecektir.
Florian Malecki’ye göre eğer kurumlar, bu üç ana başlığı göz önünde bulundurarak güvenlik politikalarını oluştururlarsa ekonomideki kredi notu gibi “AAA” güvenlik seviyesine ulaşmış olacaklar. Böylece tehditlere karşı her zaman kurumsal ağlarını güvende tutabilecekleri daha çevik yapıya ulaşacaklar.