SİBER GÜVENLİK HAKKINDA DOĞRU BİLDİĞİMİZ YANLIŞLAR

Siber güvenlik deyince doğru bildiğimiz yanlışlar nelerdir?

1. Siber güvenlik yalnızca Bilgi Teknolojileri (IT) bölümüyle ilgilidir. 

Diyelim ki kırgın bir sistem yöneticiniz çekirdek uygulamanızı etkisiz hale getirdi ve en önemli veri tabanınızı iptal etti. Bu bir Bilgi Teknolojisi (IT) sorunu mudur?

Hayır. Daha çok İnsan Kaynakları Departmanı’nın sorunudur.

Peki BT güvenliği tarafından engellenebilir mi?

Hayır. Çünkü bu görevdeki bir kişinin tüm sistemlerinize giriş izni vardır. Öyleyse bu tip bir senaryoyu engellemek, dönüp dolaşıp, elemanların nasıl seçildiği, onlara nasıl danışmanlık yapıldığı, ne tür resmi belgelerin imzalandığı ve firma içinde bu kişiye nasıl davranıldığı noktasına gelir.

2. Siber Güvenlik Üst Yönetimin İşi Değildir.

Güvenlik sistemlerinin yatırım ve işgücü olmaksızın kurulması mümkün değildir. Ancak, firmanın üst yönetimi bu yatırımın gereksiz olduğunu düşünürse gerekli kaynakları sağlamayacaktır. Ayrıca üst yönetim güvenlik kurallarına uymazsa, örneğin bir yönetici dizüstü bilgisayarını havaalanında açık olarak bırakırsa tüm güvenlik çabalarını sıkıntıya sokacaktır.

3. Yatırımın çoğu teknolojiye yapılacaktır.

Çoğu IT firmasının teknolojisi oldukça iyi seviyededir. Eksik olansa kurallar ve bu teknolojiyi güvenli bir şekilde kullanmanın yollarının bilinmemesidir. Bu bir IPhone alıp, arama ve mesaj göndermeden başka bir özelliğini kullanmamaya benzer.

4. Güvenliğe yapılan yatırımın geri dönüşü yoktur.

Güvenliğin maliyeti olduğu doğrudur. Ve size ek gelir sağlamayacağı da açıktır. Siber güvenliğin tüm amacı güvenlik problemlerine ilişkin maliyetleri düşürmektir. Güvenlik sorunlarından kaynaklı kesintileri azaltabilirseniz kayıplarınız da azalacaktır.

5. Siber Güvenlik bir defaya mahsus bir projedir.

Siber güvenlik sürekli bir projedir. Örneğin çalışanlarınızın her güvenlik olayında IT Yöneticisini aramasını gerektiren bir Olay Yanıt prosedürü geliştirirseniz ve yöneticiniz işten ayrılırsa, sistemin doğru işlemesi için aramaların artık ona yönlenmesini istemezsiniz. Prosedürlerinizi, iletişim listenizi, yazılım ve donanımınızı güncellemeniz gerekir ki bu sona ermeyen bir süreçtir.

6. Dokümantasyon 

Bir dizi politika ve prosedür yazmanız demek, elemanlarınızın onu hemen uygulamaya başlayacağı anlamına gelmez. Teknoloji değişimi önemli bir değişimdir ve çoğu kimse değişime kolaylıkla uyum sağlayamaz. Örneğin “1234” gibi bir şifre koymak varken birdenbire her 90 günde bir 8 karakterli şifre oluşturulması gerekecektir. Elemanlarınız değişime direnebilirler ancak iyi bir değişim yönetimiyle bunun üstesinden gelinebilir.

Nilüfer Şen

Kaynak: https://vericert.wordpress.com/2014/01/