koyu
En Çok Okunan Haberler
Öne Çıkan Etiketler

Dijital Dönüşüm ve Güvenlik

Süleyman Özarslan
14 Şubat 2020
Picus Security Kurucu Ortağı Dr. Süleyman Özarslan, dijital teknolojiler ve güvenlik hakkında yazıyor.
Total
0
Shares
0
0
0
0
0
0

Dijital teknolojilerin günlük hayatımızın tüm alanlarında giderek daha büyük bir rol oynaması, şirketlerin zamana ayak uydurmak için dijital dönüşüm geçirmesine neden oluyor. Şirketler bu dönüşüm ile süreçlerine dijital teknolojiyi entegre ederek çalışma şeklini değiştiriyor ve bu sayede müşterilerine daha fazla değer sağlamayı amaçlıyor. 

Elbette bu entegrasyon sırasında yeni güvenlik riskleri de ortaya çıkıyor. Veri sızıntısı, veri kaybı, yasal uyumlulukların ihlali, hizmet kesintisi ve güvenlik olayı sonucu itibar kaybı bunlardan bazıları diyebilirim. Bu risklerin temel nedeni, dijital dönüşümle birlikte hibrit ve çoklu bulut yapıları, mikro servis mimarisi, konteynerler, nesnelerin interneti (IoT), bulut veri depolama çözümleri gibi sistemlerin kullanılmasına ve bu sistemler ile işlenen veri miktarının artmasına bağlı olarak saldırı yüzeyinin genişlemesi ve yeni saldırı vektörlerinin ortaya çıkmasıdır. 

Bu düzeyde bir değişim sonucunda ortaya çıkan riskleri azaltmak için güvenlik anlayışının da değişmesi gerekiyor. Artık güvenlik, kurumsal süreçlerin son aşamasında uygulanan, bir ekibin sorumluluğunda olan, iş akışını yavaşlatan ve herhangi bir getirisi olmayan bir masraf kalemi olarak görülmekten çıkıp bütün süreçlerin başından sonuna kadar göz önüne alınması gereken ortak bir sorumluluk olarak kabul edilmelidir. Güvenlikteki bu dönüşüm sadece yeni güvenlik cihazları ve yazılımları almak olarak görülmemeli, aynı zamanda güvenlik takımları da güçlendirilmeli.

Dijital dönüşümün beraberinde getirdiği güvenlik risklerinden dolayı zamana ayak uydurmaktan vazgeçmemek gerekir. Güvenlik risklerini tamamen ortadan kaldırmak olası olmasa da bu riskleri etkin bir şekilde yönetmek mümkündür. Bunun için alınabilecek on temel önlem şunlardır:

  • Güvenlik politikalarının belirlenmesi: Riskleri azaltmak için gerekli güvenlik politikaları belirlenmeli ve uygulanmalıdır. Çalışanlar bu politikalar hakkında bilgilendirilmeli, güvenlik farkındalığını artıracak eğitimler verilmelidir.
  • Güvenlik düzeyinin ölçülmesi: Peter Drucker’ın “ölçemediğiniz şeyi yönetemezsiniz” sözü siber güvenlik için de geçerlidir. Risk seviyesinin belirlenmesi için saldırı yüzeyinin belirlenmesi, sızma testleri, zafiyet taramaları ve güvenlik cihazlarının etkinliğinin ölçülmesi gerekmektedir.
  • Saldırı yüzeyinin küçültülmesi: Dışa açık sistemlerde saldırı yüzeyini ortadan kaldırmak mümkün olmasa da dönüşüm sırasında yapılacak her yeni operasyonun güvenliği nasıl etkileyeceği analiz edilmeli ve riski azaltmak için kullanılabilecek mekanizmalar araştırılmalıdır.
  • Derinlemesine savunma: Riskleri azaltmak için ağ, uç nokta, uygulama gibi farklı katmanlarda çalışan farklı güvenlik kontrolleri entegre bir şekilde kullanılmalıdır. Ne kadar derin bir güvenlik sağlanırsa olası bir güvenlik açığından yararlanılması da o kadar zorlaşır.
  • Tehditlerin izlenmesi: Yeni tehditler ve tehdit aktörleri izlenmeli ve güvenlik sistemleri bu tehditleri engelleyecek şekilde yapılandırılmalıdır.
  • Güvenlik olaylarının izlenmesi: Güvenlik açısından önemli olaylar kaydedilmeli ve analiz edilmelidir. Engellenemeyen bir saldırı en azından en erken safhada tespit edilmelidir.
  • En düşük yetki: Her bir kullanıcı hesabına bir iş sürecini yürütmek için gereken en düşük erişim yetkisi verilmelidir. Böylece bir saldırgan o hesabı ele geçirse bile yapabilecekleri sınırlı olacaktır.
  • Sorumlulukların ayrılması: İş süreçleri için farklı kullanıcı türlerinin (süreci onaylayan, yürüten ve izleyen) oluşturulması hesabın kötüye kullanılması sonucunda ortaya çıkabilecek riski azaltır.
  • Basit çözümlerin tercihi: Yönetilmesi zor olan kompleks çözümler saldırı yüzeyini genişletir ve risklerin de yönetimini zorlaştırır. Mümkün olan en basit çözümler tercih edilmelidir.
  • Üçüncü taraf hizmetlerin güvenliği: Bu hizmetlere koşulsuz güvenmek yerine bu güven sağlamak için şeffaf ve denetlenebilir bir süreç tanımlanmalıdır.

Dijital dönüşümün getirdiği güvenlik riskleri hiçbir zaman sıfıra inmeyecektir, ancak bu risk rakiplerinizin yenilik yaparak dijital trendleri yakalarken hiçbir şey yapmama riskinizden daha az olacaktır. Buradaki çözüm dönüşüme direnmek yerine güvenlik uzmanlarıyla birlikte risk değerlendirmesi ve planı yapmak, riskleri izlemek ve yönetmek, yukarıdaki önlemleri de uygulayarak mümkün olduğu kadar azaltmak ve kabul edilebilir bir düzeyde tutmak olmalıdır.

Total
0
Shares
Share 0
Tweet 0
Share 0
Share 0
Share 0
Önceki haber

Bilkom Fitbit Ürünlerinin Türkiye’deki Yetkili Distribütörü Oldu

13 Şubat 2020
Sonraki haber

Toyota, Müşteri Memnuniyetinde Hedefine Teleperformance ile Ulaşacak

14 Şubat 2020
İlginizi çekebilir

Okula Dönüş Döneminde Trafiği Yapay Zekâ Çözecek

Milli Eğitim Bakanlığı tarafından alınan karara göre 12 Ekim tarihinde yüz yüze eğitim süreci belirli sınıflar için başlıyor. Daha fazla aracın yola çıkmasıyla büyük şehirlerde trafiğin de gündeme geleceği okula dönüş sürecinde, akıllı trafik sistemleri trafik akışını yönetmeye ve yaşam kalitesini artırmaya yardımcı olabilir.
13 Ekim 2020
Devamını oku