Bilişim Güvenliğinin Gelişimi : Back To The Future

Bilişim Güvenliğinin Gelişimi : Back To The Future

Bulent Buyukkahraman Bulent Buyukkahraman

Bulent Buyukkahraman

Cybersecurity Director | CISO at Anadolu Grubu

13 May 2016 tarihinde yayınlandı
+ Takip Et

Ön Not : Yazının sonu ilginç gelebilir.

%100 güvenlik yoktur, ama %90’lara çekmek elimizde.

Bilgi ve hız çağını yaşıyoruz.

Internet hayatımızdaki herşeyi yeniden şekillendiriyor.

Insanlık tarihinin bugüne kadar üretmiş olduğu bütün bilgiler iki tık uzağımızda..

Bilgi ve hız kavramlarının üzerine oturan Google adında bir şirket çıkıyor ve bir anda dünyanın en değerli şirketlerinden biri haline geliyor.

Şunu kabul edelim ki, artık hiçbir şey eskisi gibi olmayacak.

Bilgiye ulaşmanın kolaylaşması ve kötü ellere geçmesi maalesef dünyamızı daha güvensiz bir hale getirdi.

Teknoloji kontrolsüz ve hızlı büyürken güvenlik gibi bazı önemli noktalar gözden kaçtı ve bu hızlı gelişimin kırıp döktüklerini simdi arkasından toplamaya çalışıyoruz.

Firewall’lar, IDS’ler Anti-X çözümler, bilgisayarlardan çok sonra girmeye başladı sistemlerimize.

Işin gelişimine güvenlik perspektifinden kısaca göz atalım.

Günümüzde bütün işletmeler kendi içlerinde, çağın gerektirdiği hızlı bilgi akışını sağlayabilmek için ağ altyapıları oluşturmaya başladılar. Artık bilgiye erişmek, bilgiyi saklamak gibi sıradanlaşan işlerimiz için çoğunlukla bilgisayarları kullanıyoruz. Bir işletmenin bilgi varlığını artırması o işletmeyi acımasız rekabet ortamında bir adım öne geçirmektedir. Giderek kritik bir değer haline dönüşen bilginin iç ve dış tehditlerden koruması ve zarar görmesinin engellemesi gerekiyor. Bu amaçla firmaların bir bilgi güvenliği politikası oluşturması gerekmektedir.

Başlangıçta bilgisayarlar, üniversitelerde yapılan araştırmaları kolaylaştırmak için tasarlanmışlardı. Bu dönemlerde donanım kaynakların sınırlı olması, ortak kullanım ihtiyacınını ve bu ihtiyaç da bilgisayar ağı kavramını doğurdu. Ilk kurulan bilgisayar ağlarında temel amaç yalnızca bilginin bir bilgisayardan diğerine taşınabilmesiydi. Taşınan bilginin bilimsel amaçlı olması ve sistemlerin kendi içlerinde kapalı ağlar olması sebebi ile güvenli ve kontrollü iletişim kavramı üzerinde duran olmadı.

Bilimsel amaçlarla kullanılan bilgisayarların zaman içerisinde gündelik hayatımıza ve çalışma hayatına girmesiyle, bilgisayarlar arasında gidip gelen bilginin güvenliği ve kontrol edilmesi ihtiyacı belirdi. Çünkü artık taşınan bilgi ticari bir değer taşımakta ve bu bilginin aktarımında yaşanacak güvenlik riskleri zaman ve para kaybına sebep olabilmekteydi.

Teknolojinin inanılmaz hızı sebebi ile pazara sunulan ürünlerin tasarım aşamasında güvenlikten önce kolay kullanılabilme özelliğine daha çok önem verilmiştir. Zaman içerisinde bilgisayar sistemlerinin yeteneklerinin gelişimi ile bu sistemleri kullananların becerilerinin gelişimi arasında büyük bir uçurum oluşmaya başladığını görüyoruz.

Bilgisayarların yoğun kullanılmasıyla, günlük rutin aktiviteler sistem yöneticilerinin çok fazla zamanını almaya başladı. Sistem yöneticileri üretilen log dosyalarının kontrol edilmesi, güvenlik yama güncellemelerini yapmak gibi kritik faaliyetler için yeterli zaman bulamamaya başladılar. Bu durum zaman içerisinde, bütün mesaisini sistemlerin izlenmesi ve güvenliklerinin artırılması konularıyla ilgilenen Bilişim Güvenlik Uzmanları ihtiyacını doğurdu.

Başlangıçta hack kelimesi bilgisayar sistemlerinin sınırlarını genişletmek için olağanüstü bilgisayar becerilerine sahip olmak anlaminda kullanılıyordu. Ancak günümüzde otomatize edilmiş hazır araçlar ve Internetten bulunabilen açık kodlar sayesinde herhangi sıradan birinin büyük ticari kurumlara Internet üzerinden zarar vermesi mümkün olmuştur. Artık hacking için derin bilgisayar bilgisi ve ustalık ihtiyacı ortadan kalkmıştır. Günümüzde güvenlik açıklarını ve exploit ayrıntılarını host eden yüzlerce web sitesi bulunmaktadır. Bu tip siteler hacking için gereken beceri seviyesini giderek aşağı çekmektedirler. Internet’de hacking konusunda en hızlı gelişen tarz, çoğunlukla daha düşük kişisel becerilere, ikinci el bilgiye sahip olan ve bu bilgiyi exploit oluşturmak için kullanan script kiddies denilen grubun kullandığı tarzdır.

Güvenlik altyapılarının ve sistemlerin güvenliğinin artırılmasının önündeki en büyük engel güvenlik açığı sebebiyle zarar görmüş işletmelerin, pazarda, müşterilerine, partnerlerine veya çalışanlarına karşı güven ve prestij kaybetmemek için olayı rapor etmemesidir. Sirketler böyle durumlarda iki kere düşünüyor, pazarda olumsuz değerlendirilme korkusu ve kötü reklam endişesiyle durumu gizlemeyi tercih edebiliyorlar.

Ticaretin giderek Internet uzerine kaymaya başladığı bu dönemde işletmelerin pek çoğu kendi web sitelerini host ediyorlar. Web siteleri sayesinde coğrafyadan bağımsız olarak heryerden bu sistemlere erişim mümkün olmaktadır. Bu sebeple web siteleri çok kritik sistemler haline gelmeye başladılar. Diğer etkenler bir yana en azında Web sitelerinde yaşanabilecek güvenlik açıklarına karşı şirketlerin güvenlik tedbirlerine yatırım yapmaları ve bilgi varlıklarını korumları gerekiyor.

Güvenlik açığı yalnızca bilgi degerlerinin kaybına degil aynı zamanda firmanında parayla ölçülemeyecek derecede prestij kaybına neden olabilir. Hangi sistemi hangi teknoloji kullanırsanız kullanin, güvenlik risklerini en aza indirmenin yollarını düşünmeniz gerekiyor.

%100 güvenlik yoktur, ama %90’lara çekmek elimizde.

Son Not : Internet'de pek çok sitede kopyala/yapıştır yapılıp adım silinerek yayımlanmış olan bu yazıyı 2006 yılında yazmıştım.

Üzerinden 10 yıl geçmiş olmasına rağmen güncelliğinden bir şey kaybetmiş mi?

Ne dersiniz?


Bülent Büyükkahraman 

Ilginizi Çekebilecek Diğer Yazılarım :


Tural SARIKAYA

Pse-Sales Technical Consulting

8y

Bülent Bey Merhaba, yazılarınız çok güzel, elinize , beyninize sağlık

Beğen
Yanıtla
1 Reaksiyon

Yorumları görmek veya yorum eklemek için oturum açın

Bu yazardan daha fazla yazı

Tümünü gör

Diğer görüntülenenler