/scan_logo/BT_HABER.gif){kind=logo}
Tarih: 28 Nisan 2008
/large_scans/200805_bthaber_1.jpg)
/large_scans/200805_bthaber_2.jpg)
/large_scans/200805_bthaber_3.jpg)
Haberin İçeriği (txt)
Kendinizi güvende hissediyor musunuz?
- Genel geçer güvenlik kuralları ve standartları her sistem için yeterli güvenliği sağlar mı?
Ağ güvenlik politikaları ya da kuralları, kurumların yapılarına ve gereksinimlerine göre değiştiğinden bir şablondan söz etmek mümkün değildir. Herşeyden önce bilginin sahip olduğu gizlilik derecesi, kullanılması gereken kural ve standartlar için belirleyici olacaktır. Ayrıca politikalarca referans verilen yönerge, talimatname ve benzeri kurallar da kurumdan kuruma değişebilir. Bu nedenle edinilen güvenlik çözümlerinin esnek yapılandırılabilir olması önemlidir. Uç gereksininimler için, edinilen çözümün ARGE'sini müşterilerin ne kadar ve nasıl yönlendirebildiği, kurumun güvenlik politikalarındaki eksiklerin güvenlik çözümü sağlayıcısının güçlü desteği ile hızlı bir şekilde kapatılıp kapatılamadığı soruları da, güvenlikçiler tarafından sorgulanacak en temel başlıklardan olmalıdır.
- Bir kurum için iç tehditler mi, dış tehditler mi daha dikkate alınmaya değer?
Bilgisayar sistemleri, ağ ve verilerine en büyük ve en etkili tehlike kurum içinden gelmektedir. Ancak son yıllarda yapılan araştırmalar özellikle dış tehditlerin artış gösterdiğini bize raporlamakta. Korunan verinin cazibesi, bunu yetkisiz edinmek, değiştirmek için kullanılan yöntemlerin iç ya da dış karakteristiğini etkileyecektir. İşte bu nedenlerle, daha iyi konumlandırılmış saldırı önleme sistemleri, güvenlik duvarları ve web filtreleme politika uygulayıcı sistemleri ile daha çok dış güvenliğe yönelen odak, iç güvenliği içerecek şekilde genişletilmeli, örneğin topolojilerdeki güvenlik çözümleri gözden geçirilmeli ve daha önceden korunması düşünülmeyen alanlar da koruma altına alınmalıdır.
- Bir kurum/kullanıcının ne tip ve seviyede bir güvenliğe gereksinim duyduğu nasıl tespit ediliyor?
Güvenlik seviyesi belirleme işi tam anlamıyla optimuma ulaşma işidir. Güvenlik politikası çalışmalarında öncelikli olarak bilgi değeri olan varlıklar sınıflandırılır, bunlarla ilgili tehditler ve tehditlerin yaratacağı zararlar da göz önünde tutularak risk seviyeleri belirlenir. Kabul edilemeyecek riskler içinse güvenlik araçları konumlandırılır. Bu araçlar en temel anlamda güvenlik politikaları olabileceği gibi yüksek güvenlik için güvenlik duvarı, saldırı önleme sistemi ve benzeri ağ sistemleri de olabilir. Bunlar konumlandırılırken, kullanıcıların hangi bilgiye ne zaman ve ne şekilde ulaşmaları gerektiği göz önünde bulundurulacaktır.
- Mahremiyet (privacy) nedir? Güvenlik çözümleri mahremiyeti destekler mi, engeller mi?
Mahremiyet kavramı ilk kez 19. yy da "bireyin özgür bırakılma hakkı" olarak tanımlanmıştır, günümüzde ise "bireylerin, devletin ve diğer kişilerin müdahalesinden muaf olarak hareket edebileceği, yaşamsal faaliyetlerini sürdürebileceği bir alanın ve kişilik haklarına bağlı olan tüm unsurların bütününe verilen ad" şeklinde tanımlanmaktadır. Enformasyon mahremiyeti ( information privacy), bireyleri tanımlayabilir nitelikteki kişisel bilgilerin açıklanması, elde edilmesi ve kullanılması üzerinde, bireylerin hukuken kontrol ve denetim hakkının bulunması olarak tanımlanmaktadır.
Güvenlik çözümleri her zaman olduğu gibi üzerinde yapılandırmaları ve politikaları ile bir bütündür. İşte bu yapılandırma ve politikalar da bu sistemlerin ne kadar kişi mahremiyetini destekleyici ya da engelleyici kullanıldığını belirlerler. Bu noktada şu unutulmamalıdır ki, güvenlik çözümleri ilk çıkışları ve tanımları itibariyle enformasyon mahremiyetini destekleme amacındaki sistemlerdir. Mahremiyeti azaltıcı amaçla kullanılmaması için yasaların bilinçli ve eksik nokta bırakmaksızın hazırlanması, bilgi işlem ve sistem yöneticilerinin, kişilerin mahremiyet hakkı üzerine bilgilendirilmesi gerekmektedir.
- Kurumsal yapılardaki kullanıcıların da birer son kullanıcı oldukları kabul edildiğinde, oluşturulan kurumsal güvenlik politikaları son kullanıcıların haklarını kısıtlamış olmuyor mu?
Bilgisayar ağlarında güvenlik politikasının uygulanması kritik önem taşımaktadır. Güvenlik politikası olmadan güvenli bir bilgisayar ağı gerçekleştirilemez, kurumun asli işlerini yapmasıda dolaylı olarak engellenir. Bu sanal dünyada saldırganlar, bilgiye ulaşmada ağların zayıf noktalarını kullanarak yasadışı yollar denemektedirler. Sadece yapılan saldırılarla değil, aynı zamanda kullanıcıların bilinçsizce yaptıkları hatalar nedeniyle birçok bilgi başka kişilerin eline geçmekte veya içeriği değiştirilmektedir. Kurumlarda oluşan kayıplar maddi olabileceği gibi güven yitirme gibi manevi zararlar da olabilmekte. İşte, bu tür durumlarla başa çıkabilmek için bazı kuralların belirlenmesi gerekmekte. Ayrıca kurum internet ve bilişim sistemlerinin ana amacının, kurum işleri olduğu tartışılmaz bir gerçek.
- Güvenlik çözümlerinde kişiselleştirme talebi gün geçtikçe artmakta. Bu yönde çözüm sağlayıcılar ne gibi bir çalışma yürütüyorlar?
Farklı kullanıcı ve kullanıcı tiplerine kişiselleştirilmiş güvenlik kuralları uygulanması ihtiyacı gerçekten artmaktadır. Doğrudan bir çözüm üretici ve sağlayıcı olarak konuşursam; bu noktada biz de Labris Teknoloji olarak ürünlerimizde bu noktaya en önde tutarak, kişiselleştirmenin tabanını oluşturan aktif dizin gibi sistemlerle tam entegrasyonu da sağlayarak, her bir güvenlik aracımızda kişiselleştirmeyi gerçekleşir kılan özellikleri içeriyoruz. Diğer yandan özelleştirilebilir altyapımızla farklı kurumların kişiliklerine ve ihtiyaçlarına uygun çözümleri de ürünlerimizle doğrudan sunmuş oluyoruz.
- Bugünlerin popüler güvenlik konuları ve en sıklıkla karşılaşılan saldırılar nelerdir?
Özellikle elektronik posta ile giriş ve ardından özel hazırlanmış web sayfaları üzerinde sistemlere alınan kurtçuk ve truva atları, buna ek olarak Türkiye’de yayılmaya başlayan olta (phishing) benzeri siber tehditler gittikçe önemini artırmaktadır. Bu noktada URL/İçerik Filtreleme ve Antivirus/Antispam sistemlerimizde tam bir Türkçe içerik hakimiyetini sunarak erişilmesi çok zor olan seviyede yüksek bir başarıma erişebiliyoruz. Diğer yandan özellikle devlet kurumları ve de firmaları ilgilendiren, gittikçe daha ileri, daha hedefe odaklı ve daha güçlü hale gelen yetkisiz kontrol, sistem işleyişini durdurma, diğer genel amaçlı saldırılar ve göz dağı faaliyetleri de revaçta görünmekte. Takip ettiğimiz üzere de belli ülkeler siber tehditlere karşı milli savunma sistemlerini oluşturmakta. Ülkelerin milli çözümlere yönelmelerinin önemi de bu alan hakimiyeti çabasında önem taşımaya başlamıştır.