Güvenlik Alarmı

Şirketler işin önemini daha iyi anlamaya başladılar. Yurtdışında gerçekleşen dev yatırımlar da bunu doğruluyor. Çalışan kart bilgileri, hacker saldırıları, milyonlarca dolarlık hayati bilgiler ve artan risk… Dünyada veri güvenliği yatırımları 2001 yılında 66 milyar dolardı, 2002’de 88 milyar dolara ulaştı. Gelecek yıllarda da artışın devam etmesi bekleniyor. Türkiye’de ise rakamlar kesin değil. Ancak, benzer bir eğilimin yaşanacağı dikkati çekiyor.

Geçtiğimiz günlerde ajanslar, yine bir hacker (saldırgan) haberi geçtiler. Haberde, bir saldırganın, ABD’de, bir bankanın sistemlerine girdiği ve müşterilerine ait 2.2 milyon adet kredi kartı bilgisi çaldığına yer veriliyordu. Bankacılık ve teknoloji alanında büyük yankı uyandıran bu haber, bir anda yeniden “güvenlik” olgusunu gündeme getirdi. Milyonlarca insanın, milyarlarca doları tehlike altında mıydı? Üstelik tehlike, kredi kartıyla da sınırlı değil. Özel bilgilerden, formüllere; şirket hesaplarından, kişisel bilgilere onlarca bilgi de aynı kapsama girebilirdi.

Türkiye’de güvenlik konusunda uzman IT danışmanlarından biri olan Murat Lostar’a göre, yüzde 100 güvenliğe erişmek hiçbir zaman mümkün değil. Her zaman çok küçük de olsa güvenlik açıkları bulunuyor. Ancak, Lostar, güvenlik açıklarının bu kadar büyük zararlar vermesinin doğru tasarlanmış bir güvenlik altyapısı, risk analizi ve operasyonel güvenlik çözümleri ile mümkün olabildiğini de söylüyor.

Bilgisayarların ve internetin hayatımıza girmesiyle verilere erişim hızlandı. Bilgi değer kazanmaya başladı. Aynı bilgi işlem altyapısı sayesinde bilgilerin kolayca el değiştirebilmesi güvenlik ihtiyacının son on yılda artmasına neden oldu. Bu süreçte yukarıda sözü geçen haberdeki gibi olayların sıklığının artması da, tüm dünyada BT sistemleri ve veri güvenliği konusuna verilen önemi kaçınılmaz olarak etkiledi.

Dünyada bilgi güvenliği harcamaları 2001 yılında 66 milyar dolara ulaştı. Bu yıl bu rakamın 88 milyar dolar olarak gerçekleşmesi bekleniyor. Uluslararası araştırma şirketleri META ve IDC’nin verilerine göre, 2006 yılında ise bilgi güvenliği harcamalarının yaklaşık 155 milyar dolar olacağı tahmin ediliyor.

Tüm dünya ekonomisini yönlendiren ABD’de, eskiden "Olsa da olur, olmasa da" veya "İsteğe bağlı" olarak düşünülen bilgi güvenliği, 11 Eylül saldırılarından sonra "temel ihtiyaç" halini almış durumda. Türkiye’de ise mevcut bir araştırma olmadığı için pazar büyüklüğüne ilişkin net bir rakamdan söz edilemiyor. Uzmanlar, sadece, önümüzdeki dönemde dünyada beklenen artış oranının Türkiye’ye de yansıyabileceğini belirtiyorlar. Bugün için, ihtiyaçlar belli olsa da, piyasadaki durgunluk nedeniyle kurumlar bütçelerinden yeterince harcama yapamıyorlar.

Türkiye’de bilgi güvenliği

Türkiye'de bilgi güvenliği konusunda ilk ihtiyaç, daha internetin yaygınlaşmasından önce, kopya programların disketler aracılığıyla yaygın kullanımından kaynaklanan virüsler sayesinde oldu. Daha sonra internet kullanımı ile birlikte, hacker saldırıları da gündemimize girmeye başladı. Murat Lostar, Türkiye’nin bu konuda, genel kanının aksine, oldukça ileride olduğunu söylüyor.

Güvenlik yazılımları üreten Symantec firması tarafından satın alınan Riptech'in geçtiğimiz yıl gerçekleştirdiği bir araştırmanın sonuçları ilginç bir tablo ortaya koyuyor. Buna göre,Türkiye,  saldırgan (hacker) oranında dünyada 6’ıncı sırada yer alıyor.

Bugün Türkiye’de bilgi güvenliği yatırımları daha çok ürünler üzerine yoğunlaşmış durumda. Antivirüs yazılımları, güvenlik duvarları (firewall) ve ağ alarm sistemleri (IDS) kullanılan ürünlerin başında geliyor. Ürün bazında güvenlik dünyada da önemli bir yer tutmasına karşın, uzmanlar önceliğin risk yönetimi ve güvenlik politikalarına verildiğini söylüyorlar.

“Güvenlik açıkları, zayıf noktalar ve tehditler gibi riskler belirlenmeden yapılan ürün ve çözüm harcamaları yeterince verimli olamıyor” diyen Murat Lostar, belirlenecek politikaların, “Nasreddin Hoca'nın türbesi” gibi, sadece kapısı kilitli, duvarları olmayan sanal güvenlik hissi oluşmasını engellediğini söylüyor. Lostar, Türkiye’de güvenliğe bakışı şöyle özetliyor:

“Güvenlik çözümlerinde amaç bilgilere üç özelliğin kazandırılmasıdır. Bunlar; gizlilik, tutarlılık ve elde edilebilirlik olarak sıralanıyor. Bilgi güvenliğine yapılan yatırım, net bir kazanç değil, daha çok sigortaya benzetilebilir. Yapılan çalışmalar, mevcut kayıpları azalttığı gibi, ani iş ve müşteri kayıplarını engeller. Tüm dünyada olduğu gibi, Türkiye'de de bilgi güvenliğine verilen önem, bilginin değeri ile birlikte önümüzdeki yıllarda artacaktır”.

En çok yatırımı kim yapıyor?

Tüm dünyada olduğu gibi, Türkiye'de de güvenlik yatırımlarında öncülüğü bankalar üstlendi. Siemens Business Services (SBS) Türkiye’den Can Orhun, bankacılık sektörünün güvenliğe çok iyi yatırım yapan sektörlerden bir tanesi olduğunu belirtiyor ve “Bankalar Türkiye’de özellikle internet bankacılığı tarafında çok fazla güvenliğe ihtiyaç duyuyorlar. Genel olarak müşterileri ile aralarındaki iletişimin güvenli olmasına ihtiyaçları var. Bu, güvenlik yatırımlarının artmasına sebep oluyor.” diyor.

Bankaları, tüm müşterilerini internetten gelen saldırılara karşı korumayı amaçlayan İnternet Servis Sağlayıcılar (ISS), diğer finans kuruluşları ve internet üzerinden alışveriş hizmeti veren (B2C) e-ticaret şirketleri izliyor.

Checkpoint Türkiye Müdürü Coşkun Göktan, “Finans sektöründe herhangi bir tehdit ya da bir atak para kaybı anlamına geliyor. Bilgiden kaynaklı ikinci adımda değil daha ilk adımda para kaybı söz konusu olduğu için güvenlik bu sektör için hayati bir önem taşıyor” diyor.

Dünyada ise tablo biraz farklı… Vergi güvenliğine yatırımda finans sektörünü, sağlık hizmetleri izliyor. Sigorta şirketleri de, sağlık kuruluşları ile birlikte anılıyor. Çünkü, dünyada sağlık sektöründe güvenlik her iki gruptaki şirketleri de ilgilendiren bir nitelik taşıyor.

Örneğin, özellikle Batı’da hasta bilgileri, her yerden erişilebilir şekilde tutuluyor. Burada mahremiyet kritik bir unsur teşkil ediliyor. Sizin ne tedavisi gördüğünüzü başka birinin bilmemesi gerekiyor. Bu nedenle sağlık kuruluşlarının sigorta şirketlerine açık tuttukları hasta bilgileri son derece güvenli bir biçimde dolaşıyor. Coşkun Göktan, bu sistemin verimin yanında tasarruf da sağladığını ifade ediyor ve “Örneğin, hasta bir kentte başladığı tedavisine başka bir kentte devam etmek istiyor, bu durumda hasta bilgilerine hemen ulaşılıyor”diyor.

Kamuda yatırım kaçınılmaz

Dünyada güvenlik konusunda ciddi yatırımlar yapan bir başka sektör de kamu sektörü. Kamu sektöründe hizmetlerin kesintisiz olarak verilmesi gerekiyor. Örneğin, hepimiz vatandaş olarak vergi ödüyoruz. Ödememizi yaptığımız kamu kuruluşunun, “Server’da arıza oldu, verginizi ödeyip ödemediğinizi bilemiyoruz” gibi nedenlerle karşımıza çıkması olanaksız…
Bu nedenle kamuda bilgilerin güvenle saklanması, yedeklenmesi büyük önem taşıyor.

Checkpoint Genel Müdürü Coşkun Göktan, diğer sektörlerde de rekabet nedeniyle bilgilerin güvenli dolaşımının önem taşıdığına dikkat çekiyor. Göktan şöyle diyor:

“Şirketlerin rakiplerine bilgi kaptırmama gibi problemleri var. Örneğin, ilaç şirketlerinde ya da otomotiv şirketlerinde tasarım bilgilerinin gizliliği büyük önem taşıyor. Bu şirketler ufacık bir dosyayı bile kaybettiklerinde çok stratejik bir problem içerisine girmiş oluyorlar. Bu tip şirketler için gizli bilgilerin olduğu bir dosyaya virüs bulaşması, bu dosyanın rakiplerinin eline geçmesinden daha az önemli olabiliyor”.

Telekom da güvenliğin çok önemli olduğu sektörlerden. Bugün milyonlarca müşteriye sahip olan operatörler, müşterilerinin bilgilerinin korunmasına, verdikleri hizmetin kesintisiz olmasına çok önem veriyorlar ve güvenlik konusuna ciddi yatırım yapıyorlar. CA Türkiye Teknik Müdürü Sevi Tüfekçi, güvenlik yatırımlarının, ayrıca askeri teşkilatlar da yoğun biçimde gerçekleştirildiğini ifade ediyor.

Hangi çözüm kullanılıyor?

Türkiye’de güvenlik çözümlerine yapılan yatırımlar, şirketlerin büyüklüklerine ve faaliyet alanlarına göre değişiklik gösteriyor. Büyük ölçekli şirketlerin tamamında hem antivirüs hem de firewall güvenlik halkaları kullanılıyor. KOBİ’ler ise çoğunlukla henüz sadece antivirüs çözümlerine yatırım yapıyorlar.

Check Point Genel Müdürü Coşkun Göktan, Türkiye’de KOBİ’lerin neyi yaşarlarsa ona yönelik yatırım yaptıklarını söylüyor ve devam ediyor:

“Virüsle başları derde girmişse virüs yazılımına yatırım yapıyorlar. Bunun dışında güvenliğin diğer halkaları ile ilgilenmiyorlar. Çoğunlukla da bu halkaların neler olduğunu bilmiyorlar”.

Gökhan, tüm dünyada olduğu gibi, Türkiye’de de kurumların antivirüs yatırımlarının hemen arkasından firewall yatırımı yapmaları gerektiğine dikkat çekiyor. Göktan, “Bugün büyük kurumlar bunu yapmış durumdalar, küçük ve orta büyüklükteki işletmelerin de çoğunun bir sonraki yatırım planlarına aldıkları görülüyor” diyor.  Ancak, antivirüs ve firewall’dan sonra gelen URL bloklama gibi sistemlerin ise Türkiye’de henüz kullanılmadığını söylüyor.

CA Türkiye Teknik Müdürü Sevi Tüfekçi ise Türkiye’de yazılım güvenliğinden çok fiziksel güvenliğe önem verildiğine dikkat çekiyor:

“Bugün girdiğimiz hemen her mekanda güvenlik kapılarından geçiyoruz, çantalarımıza kadar aranıyoruz. Yazılım tarafına bakıldığında ise halen ağırlıklı olarak kullanıcı bazında antivirüs yazılımları, şirketler bazında ise firewall korumaları kullanılıyor”. 

Yazılımın büyük oyuncuları

Güvenlik pazarında dünyada en yüksek pazar paylı güvenlik şirketlerin başında Symantec ve Checkpoint geliyor. Cisco, IBM, NAI ve CA gibi firmalar da diğer ürün ve hizmetlerinin yanı sıra, güvenlik konusunda da çözüm üretiyorlar.

Uluslararası araştırma şirketi Gartner’ın verilerine göre, 2001 yılında Avrupa güvenlik yazılımları pazarında 206 milyon dolarlık satış hacmi ve 20.5’lik pazar payı ile IBM birinci sırada yer alıyor. IBM’i yüzde 15.6 ve yüzde 11.6’lık pazar paylarıyla Symantec ve Check Point izliyor. RSA Security, Network Associates, Trend Micro, Computer Associates, Baltimore Technologies, Panda Software ve Novell ise Gartner’ın Avrupa pazarı oyuncuları sıralamasında yer alan diğer büyük oyuncular.

Veri bütünlüğü güvenliğini korumak için uzun bir zincir gerekiyor. Bu zincirin her bir halkasında ayrı üreticilerle karşılaşmak mümkün. Bu firmaların hepsi “Open Platform For Security” adı verilen bir açık güvenlik platformunda buluşuyor. Şirketler güvenlik çözümlerini bu platformda yer alan şirketlerden ayrı ayrı satın alıyorlar. Örneğin, antivirüs yazılımı üreten firmadan antivirüs yazılımı, URL bloklama çözümleri sunan bir firmadan URL bloklama çözümü, başka bir firmadan başka bir güvenlik çözümü alınıyor ve bu güvenlik halkalarını bir araya getirerek şirketler kendi güvenlik çözümlerini oluşturuyorlar.

Pazarda genellikle toplam çözüm sunan bir üretici olmuyor. Bazı firmalar, bu konuda zaman zaman çeşitli atılımlar yapıyorlar. Ancak, yine de şirketlerin pek çoğu güvenlik zincirlerini çeşitli firmalardan aldıkları güvenlik çözümlerini bir araya getirerek oluşturuyorlar.

Donanımda kimler var?

Güvenliğin yazılımın dışında bir de donanım tarafı var. Bu alanda da HP, IBM ve Nokia gibi firmalar ön plana çıkıyor. Nokia’yı bu kategoride görmek hayli ilginç. Uzmanlar, cep telefonu devi olarak tanıdığımız firma için, güvenlik donanımı teknolojilerinde dünyanın bir numaralı firması olarak söz ediyorlar. Bugün Nokia bünyesinde bir departman sadece güvenliğe yönelik donanım üretiyor. Nokia’nın bu alanda ayrıca çok iddialı bir vizyonu var. Nokia, internetin çok kısa süre sonra telli ve telsiz ortamın birleşmesinden oluşacağını iddia ediyor.

Bugün dünyada yaklaşık 500 milyon GSM kullanıcısı, 500 milyon da internet kullanıcısı olduğunu söyleyen Nokia yetkilileri, bu rakamları üst üste koyduğumuzda çok daha büyük bir grupla karşı karşıya kalıyoruz diyorlar. Telli telsiz internet teknolojik olarak birleşebilirse ortaya  dijital ortamı verimli bir şekilde her noktaya ulaştırabildiğimiz bir platform çıkacak. İşte Nokia’da bu konuda öncü olmayı planlıyor ve internet güvenliğine yatırım yapıyor.

ŞİRKETLER GÜVENLİK İÇİN NE YAPIYORLAR?

DHL: Uluslararası hızlı hava taşımacılığı sektöründe faaliyet gösteren DHL, bilgi teknolojileri ile iç içe yaşayan bir yapıya sahip. Şirketin müşterileri giderek daha çok oranda elektronik ticareti kullanıyorlar. Bu nedenle DHL, bilgi güvenliği ve bilginin paylaşılmasına büyük önem veriyor. DHL'in bilgi işlem yapısı çerçevesinde bilgiler segmentlere göre depolanıyor. Örneğin; bölge ofisleri sadece kendi bölgelerine ait bilgilere erişebiliyor ya da Avrupa Bölgesinin Başkanı sadece kendi sorumluluğunda bulunan ülkeleri görüntüleyebiliyor. E-mailler, firewall filtrelerinden geçerek merkezi olarak yönlendirilip yönetiliyor. Bu kapsamda ülke bazında lokal uygulamalar da söz konusu oluyor. DHL’in güvenlik yatırımlarının tamamı merkezi Londra'da bulunan DHL bilgi işlem merkezi tarafından yapılıyor.

DOĞUŞ OTOMOTİV: Volkswagen, Audi, Porsche, Seat, Scania olmak üzere dünyanın önde gelen birçok otomobil markasının Türkiye distribütörlüğünü üstlenen Doğuş Otomotiv’in bünyesinde dört ayrı distribütör şirket faaliyet gösteriyor. Ayrıca distribütörlüğünü yaptığı tüm bu markalara ait yaklaşık 80 yetkili satıcısı var.

DOHAŞ bu geniş yapılanma içerisinde güvenlik konusunda uluslararası standartları uyguluyor. Uygulanan güvenlik standartları  düzenli aralıklarla şirket iç denetim ve bağımsız firmalar tarafından sürekli olarak denetleniyor. Virüs güvenliği, erişim güvenliği, ortak dosya ve kaynakların güvenliği, merkezi yönetim, lisans güvenliği, bilgi yedeklemeleri, internet güvenliği ve felaket önlemleri ile felaket sonrası geri kazanım planlaması DOHAŞ’ın güvenlik zincirinin halkaları olarak sıralanıyor. DOHAŞ, IT gelirlerinin yaklaşık yüzde 20’sini güvenlik çözümlerine ayırıyor.

SHELL TÜRKİYE: Shell Grubu’nun 120’ye yakın şirketinin bir parçası olarak güvenlik sistemlerini kullanıyor. Şirket içi gizli-bilgilerin korunması ve e-mail güvenliği konularında grup IT politikalarının tümü eksiksiz hayata geçiriliyor. Özellikle üçüncü parti şirketlerle kurulan B2B bağlantılarda özel anlaşmalar yapılarak, güvenli IT standartları uygulanıyor. İnternet erişimi firewall'lar üzerinden ve belli standartlarda sağlanıyor. 

Shell genel olarak IT anlamında kapalı bir şirket. Çalışanların internet erişimleri belirli standartlara bağlı. Tüm çalışanların kendilerine özel smart kart adı verilen kartları var. Bu kartlar sayesinde dünyanın neresinde olurlarsa olsun herhangi bir bilgisayardan kendi bilgisayarlarına ulaşabiliyorlar. 2002 yılında tüm IT altyapı sistemlerine yaklaşık 75 milyon dolar yatırım yaptı. Shell, güvenlik yatırımlarına harcanan parayı ayrı bir yere koymuyor.

Çünkü, tüm yapılan her IT yatırımında güvenliği de beraberinde görmek mümkün.

XEROX: Xerox Türkiye, güvenlik konusunda tüm dünyada geçerli olan politikaları ve etik prosedürleri uyguluyor. Özellikle uzaktan erişim, password güvenliliği ve yetkilendirme konularına oldukça hassas davranılıyor. Xerox, BT sistemlerinin ve verilerinin güvenliği için firewall, “data encription” gibi birden fazla korunma tekniğini aynı anda kullanıyor. Şirket kendi içinde tüm server ve müşterileri için farklı virüs programlarını haftada bir otomatik olarak güncelliyor ve bir virüs tehlikesi anında merkezden uyarılar sorumlu kişilere iletiliyor.

Bu durumda gerekiyorsa tüm corparate bazında network kontrol ediliyor, hatta trafik kesiliyor. Tüm ülkelerde VPN veya leased line üzerinden maximum data encription (3des, IPSEC) metodları kullanılarak WAN bağlantıları gerçekleştiriliyor.

GARANTİ BANKASI: Garanti Bankası, IT sistemleri içinde üretilen, saklanan ve iletilen veritabanı, e-posta, şifre ve rapor gibi verileri kategorilere ayırarak koruyor. Gerekli güvenlik seviyesi için süreç açısından birbirini tamamlayan teknik çözümler devreye sokuyor.

Garanti Bankası için müşteri bilgileri, organizasyonel ve finansal veriler kritik önem taşıyor. Garanti’nin IT sistemlerinde bu kriterler doğrultusunda farklı güvenlik seviyeleri oluşturulur. Bu seviyeler kimi zaman basit bir dosya erişim kontrolü olabileceği gibi, ileri seviyede kullanıcıyı doğrulamaya dayanan yöntemlerin uygulanması da olabiliyor. Hedeflenen güvenlik seviyelerine Garanti Teknoloji bünyesinde geliştirilen uygulamalar ya da endüstri standardı kabul edilen ürünlerin kullanımıyla ulaşılıyor. 

GİMA: Gima'da sistem ve veri güvenliği bir bütün olarak ele alınıyor. Tüm sunucular ayrı bir sistem odasında ve fiziki erişimin kısıtlandığı bir ortamda tutuluyor. İçeriden erişim kullanıcı kimlikleri ve şifre ile denetleniyor. Dışarıdan erişimde veya dışarıya çıkışta firewall kullanılıyor. Gelen e-posta'lar “virüs” ve “sakıncalı dosya” taramalarından geçtikten sonra sahibine iletiliyor.

Güvenliği, yatırımdan çok “kurum kültürü” olarak gören Gima, önümüzdeki dönemde donanım ve yazılım alanında belirlediği ufak eksikleri tamamlamayı planlıyor.

“YATIRIMLAR TEK BİR ŞEMSİYE ALTINDA TOPLANACAK”

Can Orhun / SBS Türkiye Teknik Ürün Yöneticisi

Siemens Business Services teknik ürün yöneticisi Can Orhun, Türkiye’de ve dünyada BT sistemleri ve veri güvenliği konusundaki gelişmeleri şöyle değerlendiriyor:

GÜVENLİK STRATEJİ KONUSUDUR

SBS olarak biz işe, iş stratejisi tarafından yaklaşan bir şirketiz. Şirketlerin öncelikle stratejilerini belirleyip ondan sonra yatırım yapmalarını öneriyoruz. Şirketlerin iş stratejilerinin belirli katmanları vardır. Bir konudaki iş stratejinizi belirledikten sonra iş süreçlerini de belirlemiş olursunuz. Bir alt katmanda bunun işle ilgili uygulamaları vardır.

Bir alt katmanda veri tabanları, bir başka alt katmanda sistemler, bir başkasında altyapı ya da network vardır. Şirketler için şu ya da bu katmanda veri güvenliği daha önemlidir demek doğru olmaz. Hangi katmanda güvenliğin daha fazla önemli olduğu şirketlerin kendi stratejilerine bağlı olarak değişir. Ama aslında her katmanda güvenlik çok önemlidir. Sonuçta güvenliği bir zincir gibi düşünmek gerekiyor. Bu zincirde her hangi bir halkayı daha zayıf tutuyor olmak bütün zincirin sağlamlığını riske eder.

DÜNYADA ÖNEMİ ARTIYOR

Şu anda Türkiye’de güvenlik yatırımı aslında dünya ile paralel seyrediyor. Dünyada son dönemde 11 Eylül gibi güvenlik atlamaları tüm dünyada olduğu gibi Türkiye’de de güvenlik konusunda bir takım tetiklemelere yol açıyor. Bu tetiklemeler de güvenlik yatırımlarının artmasına sebep oluyor.

Türkiye’de güvenliğe olan yatırımın geçen senelere göre artık çok daha büyük bir ivmeyle artığını görüyoruz. Hem dünyada hem Türkiye’de güvenlik altyapısına olan yatırım bir sene öncekine göre 4 kat artmış durumda. Önümüzdeki dönem de aynı ivmeyle devam edilecek gibi görünüyor.

TEK ÇATI ALTINDA GÜVENLİK 

Güvenlik yatırımları konusunda dünyada ve Türkiye’de iki tür gelişmeden söz etmek mümkün. Bunlardan bir tanesi, çok doğru olmayan bir gelişim yönünü gösteriyor. Şirketler e-mail güvenliği için bir yatırım yapıyorlar. Veri tabanı güvenliği için ayrı yatırım yapıyorlar ya da kendi sistemleri için ayrı bir yatırım yapıyorlar. Ortaya her birime farklı bir yatırım yapılan bir sistem ortaya çıkıyor. Bugüne kadar şirketler güvenlik konusunda hep böyle hareket ettiler ancak artık ikinci tür yatırım şekline yöneliş var.

İkinci tür gelişme, yani olması gereken tarafında her bir uca ayrı güvenlik mantığı ile yatırım yapmak yerine tek bir şemsiye altında yatırım yapma anlayışı var. Bu şirketlere daha düşük yatırımla güvenlik açıklarını kapatma fırsatı veriyor. Türkiye’de pek çok şirket kısa süre içinde tüm güvenlik yatırımlarını tek bir şemsiye altında toplama yoluna gidecek”.

GÜVENLİKTE İKİ KRİTİK UNSURA DİKKAT

Coşkun Göktan/ Check Point Türkiye Genel Müdürü

Dünyanın en büyük güvenlik çözümü üreticilerinden Check Point’in Türkiye Genel Müdürü Coşkun Göktan, güvenlik konusunda şirketler için çok kritik iki konuya dikkat çekiyor.

Bunlardan bir tanesi, şirketlerin güvenlik politikalarını yönlendirecek uzmanların bulunması, diğeri ise yatırımın maliyetlerinin sanıldığının aksine düşük olması. Göktan bu iki kritik konuya ilişkin şunları söylüyor:

“CSO’YA TALEP ARTACAK

Güvenlikte sorun sadece para harcamak ya da ürün almak değil. Aldığınız ürünün ya da yaptığınız teknolojinin başına onu yönetecek birini koyabilmeniz gerekiyor. Bugün Fortune 500 şirketlerinde CSO (Chief Security Officer) diye bir pozisyon var. Şirketlerin güvenlik politikalarını belirleyecek, bu politikaların uygulanmasını sağlayacak bu pozisyonda kişilere ihtiyaçları var. Bugün şirketler çoğunlukla ya kendi bünyelerinde uzman güvenlik personeli bulunduruyorlar ya da yönetmen güvenlik personeli kiralıyorlar. Aslında IT işini outsoruce etmek çok sıcak bakılan bir konu değil. Bir ara herkesin IT işlerini outsource edileceği varsayılıyordu, derken yavaş yavaş buradan geri dönüldü. Ancak, güvenlik işi farklı bir iş.

Güvenlikte sürekli yenilikleri takip edebilmek gerekiyor. Örneğin, geçenlerde bir slammer problemi yaşandı. Bu yeni bir şey değildi ama pek çok firma bünyelerinde güvenlikle ilgili bir uzman barındırmadıklarından ya da bir yerlerden güvenlik hizmeti almadıkları için bu problemden ciddi ölçüde etkilendiler. Oysa uzmanları olsaydı, bu problemi hiç yaşamayacaklardı. Microsoft SQL serverda böyle bir açık var bunun yaması da bu pack denmişti. Yapılacak tek şey bu yamayı o açığın üstüne koymaktı. Ancak bilmedikleri için bunu yapamadılar.

MALİYETLER ÇOK DÜŞÜK

Güvenlik konusunda yatırım yapmak için büyük paralara ihtiyaç yok. 300 dolardan başlayan çözümler söz konusu. Kurum büyüdükçe yatırımın miktarı da artıyor.

Bugüne kadar Türkiye’de güvenlik konusunda en büyük sorunu KOBİ’ler yaşadı. Güvenlik konusunda bilgi sahibi olmadıklarından, ya da bu konuda onlara bilgi verecek kimse olmadığından yanlış ya da eksiz yatırım yaptılar. Ancak bugün onlar için 299 dolar gibi küçük rakamlara güvenlik çözümleri sunuyoruz. Bu çözümleri kiralıyorlar ve kullandıkları kadar ödüyorlar. Ayrıca, sürekli güncelleme hizmeti alıyorlar. Her yeni teknolojiden yararlanıyorlar.

Bir virüs için aldıkları çözüme yeni bir tane ortaya çıktığında o da ekleniyor. Sonuçta bu şirketlerin güvenlik için toplam IT bütçelerinin yüzde 3-4’ü gibi bir yatırım yapmaları gerekiyor. PC’lere serverlara işletim sistemlerine harcanan paralara göre çok güvenlik için gereken çok küçük bir meblağ. Güvenlik ayrıca o kadar önemli ki, güvenlik için herhangi bir yatırımınız yoksa diğer tüm yatırımlarınız da tehdit altında oluyor”.