Bilgi Guvenliginin Neresindeyiz?

Gecen gun benim daha cok IT  audit yonu ile tanidigim danismanlik firmasi Ernst & Young 11. ‘Küresel Bilgi Güvenliği Anketi‘ nin sonuclarini yayinladi.

Anketteki sonuclar sektordeki bir guvenlikci tarafindan da tahmin edilebilecek seyler. Yine de bunun bir araştırma ile ortaya dökülmesi güzel. Yazıda başlık olarak kabul ettiğim fakat içerik olarak katılmadğım noktalar var.

Bu yazi ile dikkat cekmek istedigim  konu Turkiye olarak Bilgi guvenliginin neresindeyiz? Ilerliyor muyuz , geriliyor muyuz ya da ilerliyor gorunup aslinda yerimizde mi sayiyoruz.

Öncelikle bu konuya bircok guvenlikcinin aksi yonde baktigimi belirtmek isterim.  Bunun sebebi de aslında piyasadaki “güvenlikci” arkadasların çoğunun temelinin teknik olmaması ya da güvenlik sektörüne sonradan ihtiyac olundugu icin ve/ya heyecan verici oldugu icin katılmıs olmaları .

Genel bakis acisi sudur: firmalara awareness olusturduysak, ilgili guvenlik urunlerini aldirmayi basardiysak bu bizim ilerledigimiz yonunde bir isarettir. Evet bu gorus bazi eksik yonlerine ragmen dogrudur.

Fakat bu gorus sunu aciklayamamaktadir. Neden hala buyuk olcekli ve guvenligi önemli olarak degerlendiren kurumlarda cok ciddi acikliklar cikmaktadir? Bunun cevabına eger klasik mantıkla “Güvenlik bir süreçtir” ya da “tam manası ile Güvenlik” olmaz diyorsanız güvenliğin ne olduğunu en basitinden öğrenmek üzere  Security Engineering kitabini okumanizi tavsiye ederim.

Umulan şudur ki bir firma Firewall’unu alip IPS’ini yerlestirsin, bu da yetmesin onunde-arkasina bir yerlere Web Application Firewall, vs  koysun ve sonra rahatına baksın. *

Malesef teoride kulaga hos gelen bu yaklasim pratikte dönmüyor. Çok uzaklarda örnek aramadan kendi gördüğüm ortamlardan örnek verebilirim. Her üçünün de kurulu olduğu
sistemler orta-ileri düzey bir hacker tarafından “rahatlıkla” hacklenebiliyor. Ve bu hacklenmenin tek mesulu ortamda kurulu olan sistemler değil o sistemleri yöneten
adminler/güvenlikciler.

Bunun sebebi -benim izlenimlerime göre- özde değil sözde bir anlayışla hareket edilmesi. Diğerlerini bilmem ama güvenlik sektörü pek öyle klasik mantıkla ele alınabilecek bir sektör değil. Bazı arkadaşlar ben bu şekilde konuşunca hemen karşı atağa geçip kendi sektörünle ilgili yorum yaptığın için yanılıyorsun vs diyorlar.

Yanılma payım olsa da güvenlik sektörü diğerlerine göre farklıdır ve daha fazla ilgi ister. Bugün silah kullanmayı kılavuzunda okuyarak  öğrenebilirsiniz ama heran yanlışlıkla ayağınıza sıkma riskiniz vardır. Güvenlik ürünleri de böyledir, sadece kullanma kılavuzuna bakarak yönetilecek ürünler olarak görülürse cok ciddi tehlikeleri es geçmiş olursunuz.

Bugun Türkiye ortamı da buna benziyor. Google üzerinden yapılacak kısa bir araştırma ile 2000-2005 yılları arasında e-posta listelerinde sorulan  sorularla 2006 yılından sonra sorulan soruları karşılaştırabilirsiniz. Göreceğiniz garip bir şekilde 2000-2005 arassı sorulan soruların daha teknik, daha işin nasıl çalıştığını anlamaya yönelik olduğunu görürsünüz. Bu ne demek oluyor? Kısaca artık insanların işin teknik kısmına pek önem vermediğini alınan güvenlik ürünlerinin tak-çalıştır mantığında kullanıldığı manasına gelir.

Kendimizi, çalışanlarımızı teknik olarak ilerletmedikçe bilgi güvenliği konusunda ilerleyemeyiz. Öyle standartlara uyma adına politika, prosedür yayınlayarak güvenlik malesef olmuyor. Zira o politikalarda yazılanları uygulayacak ya da test edecek kapasitede eleman bulmak ne yazik ki zor. Hic unutmam bir firmanın bilgi güvenliği politikasında şöyle yazıyordu “X firmasında trafik izleme/sniffing işlemleri sadece Y makinesinden ve izne bağlı olarak yapılabilir” ve bu firmada sniffing kavramını detaylı bilen arkadaş yoktu. Detaydan kastım ortamda bir snifferin çalıştığını kontrol edebilecek kapasitede teknik bilgiye sahip olmak. Öyle ya politika, proseedur yazdıysak bunların bir şekilde kontrolü de lazım yoksa yazılı olduğu yerde kalır.
Kısacası bilgi güvenliği konusunda gerçekten ilerlemek istiyorsak bazı şeylerin kağıt üzerinden kalkıp zihnimize yerleşmesi lazım. Para harcamak, birilerine güvenlik bilinirligi saglamak kolay ama gerçek güvenliği sağlayacak teknik elemanların yetişmesini sağlamak, buna ön ayak olmak zor.Zora talip olmak lazim.  Yoksa hep birileri yapar biz de onların yaptığını haberleştirir, eş dost muhabbetinde “adamlar yapıyor ya” şeklinde repliklerle çenemizi yorarız.
…’
* Orneklemeyi sinir guvenligi uzerinden verdim. Zira sınır guvenligi hala en onemli konulardan birisi.

This entry was posted in Compliance and tagged . Bookmark the permalink.

4 Responses to Bilgi Guvenliginin Neresindeyiz?

  1. Bora says:

    Yazıyı yorumlamadan şöyle bir küçük soru yönelteyim. Peki bu manzarada “güvenlikçi” firmaların yeri/rolü nedir?

  2. Huzeyfe ONAL says:

    Rolunu bilmem ama gunahi buyuktur:). Saka bir yana guvenlik firmalari ticaret icin varlar ve onlarin isi olabildigince fazla urun satmak, danismanlik yapmak vs.
    Guvenlik firmalarina dusen kisim saglam teknik eleman barindirmak ve satiscilarina deger verdigi kadar teknik elemanlarina da deger vermek. Yoksa is kagit uzerinde kalir ve benim onlari patates saticisi manav ile ayni kefeye koymama sebep olur.

  3. Bora says:

    Yine kısa bir soru, bu “güvenlikçi” firmalardan satış-ciro yapmak uğruna gayrı ahlaki sayılabilecek davranışlarda bulunanlar var mıdır var ise bu davranışlar nelerdir?

  4. Huzeyfe ONAL says:

    Olmadigini dusunuyorum ya da umid ediyorum. Ama sadece satmak icin ugrasilan ve gereksiz oldugu halde satilan cok fazla urun gordum.

Leave a Reply

Your email address will not be published. Required fields are marked *

seventeen − seven =