Siber Güvenli Olmak

17 Eylül’de taşınabilir iletişim cihazları üzerinden gerçekleştirilen siber saldırı, siber güvenlik alanında tehdit ve risklerin sınır tanımaz, topyekûn herkesin hedef teşkil edeceği yeni bir dönemin kapısını araladı.
 

Taşınabilir iletişim cihazı olan herkesin birer siber saldırı hedefi haline gelebileceğini gördük.
 

2001 yılında yaşanan 11 Eylül saldırısı sonrası bugün yaşadığımız 17 Eylül saldırısının da bireysel, kurumsal ve toplumsal güvenliğimiz için yeni bir milat teşkil edeceğini ifade edebiliriz.
 

Kurumsal hayatta, iş dünyamızda siber güvenlik konusunda 10 yıl önce kaleme aldığım “Siber Güvenli Şirket Olmak” yazımı tekrar gözden geçirdiğimde o gün gündeme getirdiğimiz konuların bugün güncelliğini koruduğunu gördüm. Kısa vadede fayda sağlayacağını düşünerek tekrar paylaşıyorum.
 

Siber Güvenli Şirket Olmak

İş dünyamızın kurumsal varlıkları olan şirketlerimizin akıllı teknoloji ile donatılmış çalışma ortamı sayesinde şirket yönetici ve çalışanlarının bilgiye erişimi ve iletişim konforu her geçen gün hızla gelişmektedir. Bu gelişimin hızı gün geçtikçe artmakta; ölçeğimiz ve sektörümüz ne olursa olsun bizi etkilemektedir.
 

Bulut bilişimin olanakları ile verilerin dijital ortamda depolanabilmesi, uzaktan erişim, hızlı ve kolay transfer ile dünyamız üzerinde güneşin batmadığı bilgi toplumuna dönüşmüştür. Dijital devrim 7/24 yaşayan bir iş dünyası yaratmıştır.
 

Teknolojinin nimeti olan bilgi toplumunda mobil iletişim araçlarının akıllı teknolojilerle sağladığı akıl almaz iletişim imkânları sayesinde zaman ve mekân sınırlamaları olmaksızın iş ve sosyal yaşamımızı sürdürüyoruz.
 

Sosyal yaşamı hareketlendiren, iletişimin dilini değiştiren gelişmeler, iş yaşamında da değişim ve dönüşüm yarattı. İş yapış biçimi ile birlikte iş süreçleri değişti. Çalışma ortamının şirket duvarları ile sınırlı mekân anlayışı, yerini her yerden erişimin olduğu mobil çalışma ortamına bıraktı.
 

Söz konusu değişim ve dönüşüm, iş dünyası ve şirketler için yeni iş fırsatları, yeni ürün ve hizmet tasarımı, hızlı büyüme ve rekabet avantajı imkânları sağlarken tehdit oluşturabilecek önemli riskleri de beraberinde getirmektedir.
 

Değişimi Güvenli Yaşıyor muyuz?

Stratejik kararlarımız için kullandığımız rapor bilgilerimiz; müşteri, fiyat, maliyet bilgilerimiz; satış bilgilerimiz, ticari sırlarımız, şirketimize özel bilgi ve raporlarımız bir zamanlar kilit altında kasa ve evrak dolaplarında saklanarak fiziksel güvenliği sağlanırdı. Günümüzde bu bilgiler fiziksel ortam yerine elektronik ortamda saklanmakta, şirketlerin iletişim ağında bulunan kullanıcılara tanınan erişim yetkileri çerçevesinde güvenliği sağlanmaya çalışılmaktadır. Şirketimizin iletişim ağındaki güvenlik uygulamalarının güçlü olması tehdit altında olmadığımızı göstermez. Siz bu satırları okurken birileri iletişim ağınızdaki zayıflıkları araştırıyor, şirket verilerine sızmak için çalışıyor olabilir.
 

Teknolojinin hızla gelişim, sunduğu iletişim fırsatları ile büyüme ve rekabet avantajları sağlanırken, bu gelişim aynı zamanda şirket verilerine kötü niyetli erişim için riskler de taşımaktadır. Güvenlik zincirimizi kırmaya, iletişim ağımıza sızarak bilgilerimize erişmeye imkân sağlayan virüs ya da casus yazılımlar, şifre dolandırıcılığı, internet sitelerinin çökertilmesi gibi sonuçları yıkıcı, maddi zarar ve itibar kaybı doğuran tehdit konuları, nimetlerinden yararlandığımız teknolojinin külfetini oluşturan riskleri olarak karşımıza çıkmaktadır.
 

Siber güvenlik uzmanları, kötü niyetli kişilerin cep telefonumuzdaki ve tablet bilgisayarımızdaki e-postalarımızı görüntüleyebilecekleri, şifrelerimize ve şirketimizin değerli bilgilerine erişebilecekleri, telefon kameramızın uzaktan yönetilmesini sağlayabilecekleri yazılımlara dikkat çekmektedirler. Siber güvenlik zincirindeki en zayıf halkanın ise şirket çalışanları olduğunu tecrübelerimiz göstermektedir.
 

Şirketlerimizin stratejik yönetim kararlarının alındığı yönetim kurulu seviyesinde de kritik bilgilerin bulunduğu dosya ve raporların güvenliğinin tam olarak sağlandığından emin miyiz?
 

Şirket yönetim kurulu üyeleri konumları gereği şirketin en hassas bilgilerine sahip olmalarının yanı sıra işleri gereği şirket dışı mekân hareketlilikleri, akıllı mobil iletişim araçlarını kullanma sıklıkları nedeniyle güvenlik zincirinin riski yüksek halkasını oluşturmaktadır.

Söz konusu riskin yönetilmesi, siber güvenliğin sağlanarak şirket bilgilerinin korunması için gerekli görülen kritik önlemler aşağıda açıklanmaktadır.
 

1.    Şirketlerin siber güvenliği için öncelikle yönetim kurulu seviyesinde bilgi güvenliğini sağlamak üzere riskleri ve kilit kontrolleri anlamak için çalışmalar yapılması gerekmektedir. 

2.    Siber güvenlik için kurumsal yönetim politikaları oluşturulmalıdır. 

3.    Şirket için hassas bilgilerin bulunduğu dosya ve raporlar envanterinin oluşturulması, kimlerin erişimine açık olduğunun değerlendirilmesi, kontrol ve güvenlik prosedürlerinin gözden geçirilmesi sağlanmalıdır. 

4.    Hassas bilgilerin yer aldığı dosya ve raporlara erişimin kontrol ve yönetimine ilişkin politika ve prosedürler geliştirilmelidir. 

5.   Konuya ilişkin uzmanlar yardımıyla sızma testleri ve güvenlik denetimleri yaptırılmalıdır.
 

Yukarıda önerilen hususların yanı sıra şirket yönetici ve çalışanlarının bilgi güvenliği konusunda sürekli bilgilendirilmesi ve eğitimi sağlanmalıdır.
 

Uzun lafın kısası;

Teknolojinin başını çektiği, baş döndürücü bir değişim çağındayız. Bu değişimi takip etmemiz, kurumlarımıza ve günlük yaşantımıza taşımamız gerekiyor. Kurumlarımızda yaşanan bu gelişimin sağladığı konforu yaşamamız, çağın olmazsa olmaz bir gerekliliğidir. Bu konforu yaşarken, değişim getirdiği belirsizlikleri önceden en aza indirmemiz gerekiyor.  Bunu sağlamanın ilk koşulu ise, şirket yönetim kurullarının bilgi güvenliklerini tehdit eden siber risklere odaklanarak şirket yönetici ve çalışanlarını bu konuda yönlendirmeleridir.