Siber Çağda Kurum İtibarını Korumak

26 Temmuz 2016, Salı

Teknoloji ve bilginin hüküm sürdüğü siber çağda yaşıyoruz. Kurumlar için teknoloji bir araç olmaktan çıkıp, işin kendisi haline gelmiş durumda. Bilgiye eskisine göre daha kolay erişiliyor ve sadece geçmişi yorumlamak için değil kurumun geleceğine yön vermek için de kullanılıyor. Ne yazık ki içinde olduğumuz siber çağ beraberinde sadece kolaylık ve yenilikler değil, siber güvenlik tehditleri de getirmiş durumda.  

Kurumlar siber güvenlik sorunları ile ilk olarak virüsler sayesinde tanıştı. Geçmişte çok büyük zararlar vermiş olsa bile,  IT ekipleri antivirüs programları kurup güncel tutarak ve dışarıdan erişimleri kısıtlayıp kontrol ederek bu tehdidi kontrol altına almayı başardılar. Ancak günümüzde tehlike sadece IT ekiplerinin müdahalesi ile çözülemeyecek kadar organize ve güçlü. Artık saldırılar bütün bir ülkenin tüm siber sistemini etkileyecek boyutta yapılıyor.  Pek çok ülke bunu ayrı bir savaş cephesi olarak kabul edip kendi güvenlik önlemlerini alıyor, hatta Nato içerisinde ortak müdahale ekipleri bile oluşturuldu.  

Kurumların siber güvenlik konusuna verdikleri önem zaman içerisinde artıyor. Pek çok kurum için riskler sıralamasında bu siber tehditler en üst sıralarda yer buluyor. Bu tehditlerin kurumlar üzerinde oluşturduğu en yaygın riskler aşağıda sıralanmıştır.  

Finansal kayıplar: En önemli etki, atak altında olan kurumun hizmetlerinde kesinti olmasıdır. Kesinti uzadıkça finansal etki o anki iş kaybından ibaret kalmayarak, potansiyel müşteri kaybına de neden olur. Yani sadece kesinti anı değil gelecekte elde edilecek kazanç da etkilenebilir. Ayrıca kurumun tekrar hizmet vermeye başlaması için harcanacak çabaların da maliyeti olacaktır.

Ticari sırlarının kaybedilmesi: Ticari sırlar söz konusu olduğunda, bunu sadece bir icat ya da yeni bir ürün hakkındaki bilgilerin kaybedilmesi olarak düşünmemek gerekir. Bilginin önemini hepimiz biliyoruz, hem daha çok bilen hem de daha iyi yorumlayan, rekabette avantaj kazanıyor. Dolayısıyla bir kurumun veri üzerinde yaptığı her türlü çalışma, hatta küçük bir tablo ya da sunum bile çok önemli.  

İtibarın kaybedilmesi: Siber güvenlik atağı sonucunda maddi kayıp ya da dışarı sızan verinin olmaması durumunda bile, bir atağa maruz kaldığının duyulması kurumun itibarını etkileyecektir. Bu durumu sadece müşterilerin güvenini kaybetme riski olarak da düşünmemek gerekir, kurumun itibarı çalışanları bile etkileyecektir.  

Peki siber tehditlere karşı korunmak için nasıl önlemler alınmalıdır ?  

Güvenlik politikaları: Her kurumun kendi çalışma koşullarına göre düzenlediği güvenlik ve gizlilik politikaları olmalıdır. Bu politikalar olası tehditleri azaltacak standartları ve alınacak önlemleri içermelidir. Örneğin gizli bilgilerin hangi ortamda nasıl saklanacağından, kullanıcıların şifrelerinin ne kadar karmaşık olması ve ne sıklıkta değiştirilmesi gerektiğine kadar her türlü uygulama bir kural haline getirilip yayınlanmalıdır. Güvenlik politikaları mümkün olduğunca kurum çalışanlarının anlayacağı basitlikte olmalıdır. Siber güvenlik ile doğrudan ilgilenecek olan teknik ekiplerin kendi politikaları ile karıştırılmamalıdır. (Teknik politikalar mümkün olduğunca ilgililer dışında kimsenin erişmeyeceği kadar gizli tutulmalıdır.)  

İnsan faktörü: Siber tehditlerin bir kuruma en çok, insanların bilerek ya da bilmeyerek oluşturduğu açıkları kullanarak sızdıkları bilinmekte. Bunu en aza indirmek için kurumun her çalışanının işe ilk başladığı andan itibaren siber tehditlere karşı eğitilmesi ve güvenlik politikalarını öğrenmesi gerekir. Kurum kültürün bir parçası haline gelmesi gereken güvenlik politikalarının bilinip uygulandığının kontrolü de yapılmalıdır.  

Envanter: Kurumların, kullandıkları teknoloji altyapısı ve bilgi akışlarına dair detaylı bir envantere sahip olmaları gerekir. Bu envanter mümkünse önem derecesi ve etki alanına göre sınıflandırılmalıdır. Kurum içerisinde kritik bilgi akışının da bir haritasının çıkarılması çok faydalı olur. Bu sayede bilginin hangi noktalarda korunması gerektiği çok daha kolay anlaşılır.

Risk analizi: Kurumun olası tehdit ve risklerini önceden analiz etmiş olması gerekir. Bunun için her bir uygulama ve verinin ne tür tehditler altında olduğu, bu tehditlerin olma olasılığı ve oluştuğunda ne kadar yaygın bir etki yaratacağı önceden saptanmalıdır. Risklerin etki alanı düşünülürken sadece teknik değil işe olan etkisini de planlamak gerekir. Ayrıca sorunun ne kadar sürede bertaraf edilip servisin ayağa kaldırılabileceğine yönelik önlem ve öngörüler de riskin belirlenmesinde önemlidir. Bu tür bir risk analizi çalışması bir sorun anında önceliklerin belirlenmesi adına da çok işe yarayacaktır.  

Şifrelemek ve kısıtlamak: Kritik verileri her noktada şifreli olarak saklamak ve erişimlerini kısıtlamak gerekir. Veri çoğunlukla sabit durmaz ve kurum içinde dönüşüp yer değiştirirdiği için (örneğin excel tablolarına aktarılıp, e-posta ile kolayca taşınabilirler) sadece veritabanını şifreleyerek korumak yetmez. Ayrıca verinin dolaşımının izlenmesi ve kurum dışına çıkmasını engelleyecek önlemler alınması gerekir.  

Uzmanlarla çalışmak: Siber güvenlik önlemlerine yatırım yapmak pek çok kurumda bulunmayan uzmanlıklar gerektirir. Her geçen yıl, ataklar çok daha organize ve iyi planlanmış olarak yapılmaktadır. Bu kadar profesyonelce yapılan saldırılar karşısında kurumun kendi IT ekibine güvenmesi ve tek başına mücadele etmeye çalışması çoğu zaman yetersiz olacaktır. Siber güvenlik ürünleri konusunda uzmanlaşmış, ataklarla mücadelede tecrübeli dış uzmanların desteğini almak hem daha kaliteli önlemler alınmasını sağlayarak riski azaltacak, hem sorun anında çözüm süresini kısaltacak, hem de maliyet avantajı sağlayacaktır.  

Tatbikat yapmak: Siber güvenlik için ne kadar önlem alırsak alalım, olma ihtimalini ortadan kaldıramayız. Bu durumda yapılacak en doğru şey, bir atakla karşılaşıldığında yapılması gerekenlere önceden hazırlıklı olmaktır. Oluşma ihtimali yüksek riskleri birer senaryo haline getirip detaylı planlama yapmak, rolleri ve uygulanacak prosedürleri önceden belirlemek doğru bir ön hazırlık olur. Hatta mümkünse hazırlanan senaryolar için tatbikatlar yapmak hem ekibin koordinasyon becerisini artıracak, hem de kurumun yetkinliklerini görmesine yardımcı olacaktır.

Paylaş:

Bu içeriği beğendiyseniz daha fazlası için ücretsiz üye olun!

SEÇENEKLERİ GÖRÜNTÜLE

Sınırsız Erişime Sahip Olmanın Tam Zamanı

HBR Türkiye içeriğine bir yıl boyunca tüm platformlardan erişin!
ABONELİĞİMİ BAŞLAT

Tüm Arşive Gözatın

Paylaş