Bilişim Evreni İşletmelerde artan veri ihlalleri ve siber saldırılar karşısında, işletmelerin çaresiz kalmalarının arkasında birçok faktör bulunuyor. Ana faktörlerden birisi yasal eksiklikler iken bir diğeri işletmelerin bakış açılarından kaynaklanan hatalar olarak değerlendiriliyor. Gelişmiş ülkelerde genellikle yasalar sıkı ve kapsayıcı şekilde uygulanırken, işletmelerin telafiden çok önlem amaçlı bilinçli yönetimleri de dünya genelinde siber saldırılara karşı büyük bir set oluşturmaktadır.
Türkiye’deki birçok şirket, verilerin korunması konusunda yasal zorunluluklar dışında gerçek bir farkındalık geliştirmemiştir. Yasal zorunlulukların eksikliği zaten başlı başına bir konuyken kullanıcı verileri hala erişimi kolay veritabanlarında tutulmakta, şifreleme veya erişim kontrol mekanizmaları yeterince uygulanmamaktadır. Bu durum, hackerlar için kolay hedefler yaratmaktadır.
Üzerinde durulması gereken önemli konulardan birisi, dijital güvenlik kavramı hala birçok kurumda “yüksek gider kalemi” olarak görülmekte, riskler gerçekleşmeden önce yatırım yapılmamaktadır. Güvenlik duvarları, izleme sistemleri, saldırı tespit sistemleri gibi altyapılar ya eksik ya da güncel değildir. Küçük ve orta ölçekli işletmeler, güvenlik için ayıracakları bütçeyi yok sayarak ya da en aza indirerek aslında büyük riskler almaktadır.
Yeni çıkan Siber Güvenlik Kanunu, KVKK ve benzeri regülasyonlar bulunsa da, uygulama ve denetim süreçleri yeterli derinliğe sahip değildir. Denetimlerin yüzeysel kalması ya da yaptırımların caydırıcı olmaması, şirketleri daha gevşek davranmaya yöneltmektedir. Ayrıca regülasyonlar sadece “yüzeysel bir uyum” için takip edilmekte, gerçek anlamda bir güvenlik kültürü yaratılmamaktadır.
Önemli Faktör: Uzmanlık
Sektörde yaygınlaşan bir diğer sorun da yalnızca birkaç aylık eğitimlerle alınan sertifikaların yeterli görülmesidir. Bu kişiler, sistemlerin gerçek ihtiyaçlarını analiz edecek mühendislik altyapısından yoksun olabilmektedir. Bu da “güvende sanılan ama aslında deliklerle dolu” sistemlerin ortaya çıkmasına neden olmaktadır.
Sistem yöneticiliği veya altyapı mühendisliği gibi geçmişi olan uzmanlar, bir sistemin baştan sona nasıl işlediğini ve nerelerde açıklar oluşabileceğini bilir. Bu kişiler, yalnızca teorik değil, aynı zamanda pratik düzeyde güvenlik çözümleri üretebilirler, analitik düşünce ve yönetsel kabiliyetleri ile süreci yürütübilmek bu sektörün esaslarındandır . Genellikle sadece araç bilen değil, sistemi bilen insanlar daha başarılıdırlar.
Bilgisayar Mühendisliğinde ya da Bilgisayar Bilimlerinde eğitim almış bir uzmanın; sistem analizi, mimari tasarım, zayıf noktaların tahmini ve çözüm üretme konularında çok daha sağlam bir temeli vardır. Bu durum, sistem güvenliğini baştan sona düşünme yeteneği kazandırır. Lisans seviyesinde mezunlar analitik düşünmeyi ve uygulamayı öğrenirler.
Vücudunuzu bir hekim, davalarınızı bir avukat ya da ilaçlarınızı bir eczane yerine bu alanda sadece sertifika almış kişilere bırakır mıydınız? Bu sebeple siber güvenlik uzmanlığı, çoğu zaman bir “zanaatkar” yaklaşımı gerektirir. Her uzmanın olaylara yaklaşımı, analiz tarzı ve güvenlik felsefesi farklıdır.
IT (BT) sektöründe yaşanan liyakatsız oluşumlar ne yazık ki ülkemiz teknoloji sektöründe bir kırgınlık yaratmakta ve çoğu mühendis yurtdışına çıkmakta ya da alanı dışında başka bir işte çalışmaktadır. Gözlemlere dayanarak söylemeliyiz ki yazılım dışında çoğunlukla sistem ve güvenlilk tarafında bilgisayar bilimlerinden mezunları görmek biraz zor. Bu da sektörün kalitesine yansıyor. Yukarıda dediğimiz gibi hekim ve avukat tercihlerinden yola çıkarsanız hangisinin daha başarılı olacağı konusunda tahminde bulunabilirsiniz.
Siber Güvenlikte Düşülen Yanılgı
Şirketler, gerek siber savunma olsun gerekse siber güvenlik testleri olsun, genellikle aynı şirketleri tercih ederek aslında bir yanılgıya düşmektedir. Bu yaklaşım, “herkese aynı reçete” ile müdahale eden bir sağlık sistemine benzetilebilir; oysa her şirketin altyapısı, zafiyetleri ve ihtiyaçları farklıdır.
Bu durumu bir avukatın dava yönetme tarzına da benzetebiliriz. Büyük hukuk büroları, genellikle süreçleri standartlaştırılmış yöntemlerle yürütürken; bireysel olarak öne çıkan veya kendi ismini markalaştırmaya çalışan avukatlar, davalara daha özgün ve derinlemesine yaklaşabilmektedirler. Bu avukatlar, deneyimleri ve kişisel metodolojileri sayesinde olaylara farklı açılardan bakabilir ve daha etkili çözümler üretebilir. Çoğu davayı kazanma sebeplerinin arkasında da bu yatar.
Siber güvenlik dünyasında, her firmaya aynı metadolojiyi uygulayan, hatta tecrübe eksiliği olan gençlerin kritik noktalarda inceleme yapmasına, savunma mekanizmaları oluşturmalarına olanak tanınması camia içerisinde eleştirilen konulardan birisidir. Fakat araba üretimi yapan ya da ilaç üreten isim yapmış firmaların sistem ve güvenlik işine girmesi ve bu isimlere güvenilmesi traji komiktir.
Genel hatlarıyla toparlarsak, bir siber güvenlik uzmanının başarısında tecrübe, eğitim, kişisel etik, sorumluluk duygusu ve sistem vizyonu belirleyici faktörlerdir. Güvenlik açıklarının, şirketin maddi zararlarının ötesinde itibarını da sarsabileceği ve hatta şirketin geleceğini riske atabilecek düzeyde etkili olabileceği düşünüldüğünde, bu alanda görev alacak kişilerin ya da şirketlerin seçiminde son derece titiz olunması gerekmektedir. Son söz olarak bir tavsiyede bulunmak gerekirse, siber uzayda firmalardan çok isimlere (uzmanlara) önem verilmesi gerekir.
