Güvende Hissetmek

Gerekli güvenlik önlemlerini alıp kendimizin, altyapımızın, sistemlerimizin güvende olduğunu zannediyoruz değil mi? Cisco, Sony, RSA, TJX, Bank of America, HSBC, CitiBank, Lockheed Martin, sayısız kamu kurumu ve büyük hacimli özel kuruluş da öyle zannediyordu ve sizden çok daha fazla güvenlik yatırımına sahipti.

Sonuç olara bir çoğu hem hack edildi, hem ciddi veri sızıntıları yaşadı hem de onca kayıt mekanizmasına rağmen gerçek failleri asla tespit edemediler.

Güvenlik söz konusu olunca en büyük hata, kendini güvende zannetmek, sabit kalmak, statik kalmak. Önemli olan, toplam sistemin yaşayan bir organizma olduğunu bilerek, güvenlik önlemlerini statik olgular olmaktan çıkartıp hayat döngüsü haline getirebilmek.

Güvenlik önlemi bir sefer alınmaz, sürekli güvende olmak için kendini sürekli yenileyen sistem tasarlanır.

Denetim senede bir sefer yapılmaz, daimi denetim yapılmalıdır. Denetmenler dahi mesleki körlük sebebiyle hata yapmamaları için değiştirilmelidir.

Planlama senede bir sefer yapılmaz, her türlü değişen tehdit için olası planlar sürekli güncellenip yaşatılmalıdır.

Afet planlaması bir sefer yapılıp bırakılmaz, sistemin gelişen ve değişen her parçasıyla beraber gözden geçirilip revize edilmelidir.

Acil durum müdahale planı bir sefer yapılıp tozlu raflara bırakılmaz, gizliliği ve önemi dereceli olan bilgiler üreten her yeni sistemin entegrasyonunda acil durum müdahale planları, atak yüzeyleri, saldırı cepheleri, değerli bilgi varlığına giden yollar yeniden analiz edilip güvenlik önlemleri ve planları revize edilmeli.

Bütün bunlar, strateji geliştirme ve süreçleri belirleme işleri, yatırım yapılarak alınan ürünle değil, kaliteli ve yetişmiş insan gücü ve tecrübeye dayalı tasarım işi

“Ben güvendeyim” diyebiliyorsanız, sadece kendinizi rahatlatmak için para verdiğiniz üreticileri mutlu edersiniz, bir de saldırganları.