İşletmelerin güvenlik politkalarını yönetmek için kullandıkları geleneksel yasaklama, izin verme, belirli aralıklar ile belirli kontroller yapmak gibi yaklaşımlar artık doğru yaklaşımlar olarak kabul edilmiyor. Neden? Zira akıl almaz hızlarda sayıları artan zararlı yazılımların ve saldırıların karşısında sürekli olarak bu teknikler ile koruma sağlamak mümkün olmaz hale gelmiş durumda.
Küresel “Güvenlik Raporları” bahsettiğimiz durumu doğrular nitelikte;
- 2013 yılında 1.81 milyon websitesinde uç noktalara (endpoint) zarar vermeamacını taşıyan yönlendirme gerçekleşti. (Websense 2014 Güvenlik Raporu)
- Bilinen zararlı kodların sayısı 2013 yılında yüzde 15 artarak 196 milyon benzersiz örneğe ulaştı (McAfee 2013 4. Çeyrek Güvenlik Raporu)
- Uygulamalardaki açıklar işletim sistemleri ve web browserlardaki açıkların toplamından yüzde 175 daha fazla. (Microsoft 15. Güvenlik Bildirim Raporu)
Gartner’ın yayınladığı bir güvenlik raporuna göre uç noktalardaki taşınabilir ve masa üstü bilgisayar gibi cihazlar sadece küçük bir yüzdeyi oluşturmalarına rağmen güvenlik açısından hâlâ en çok denetim altında tutulması gereken yüzdeyi oluşturuyorlar. Olaya bu çaıdan baktığımızda saldırganlar ile savunanlar arasında sürekli bir kovala-kaç oyunu olduğunu söyleyebiliriz. Maalesef yüzleşmemiz gereken gerçek ise bu oyunda kovalayanların sayısı baş edemeyeceğimiz kadar hızlı şekilde artıyor.
Kovalayanların sayısı baş edemeyeceğimiz kadar hızlı şekilde artıyor
Saldırı teknikleri her gün daha fazla gelişiyor, saldırıların artan frekansı günün sonunda gözden kaçan bir açığın kullanılma tehlikesini yükseltiyor, bu karmaşayı yönetmeye çalışan BT uzmanları ise maalesef kimi zaman hiç haberlerinin dahi olmayabileceği olaylar yaşayabiliyor.
Peki, güvenlikde böylesine bir gelişme varken işletmelerin güvenlik stratejilerini nasıl şekillendirmesi gerekiyor?
Öncelikle konvansiyonel imza tabanlı antivirüs sistemlerinden kurtulmak gerekiyor zira bunlar sadece yönetilmesi güç çözümler değil aynı zamanda ciddi anlamda sistem kaynaklarını tüketen uygulamalar olarak karşımıza çıkıyor. Kara liste uygulamaları ise çoktan güncelliğini kaybetmiş durumda. Bu tarz uygulamalara da son vermek gerekiyor. Doğru yaklaşım ise güvenli olduğu bilinen sularda gezinmek ancak bu durum dijital neslin özgürlükçü yaklaşımına ters bazı sonuçlar doğurabiliyor.
Bu açmaz içinde uzmanların tavsiye ettiği çözüm ise risk yönetimi konusunda işletmelerin kendilerini zenginleştirmesi. Ancak bu tavsiye sadece BT yöneticileri veya çalışanlarının risk yönetimi yapmasını değil, bu bilincin tüm işletme çalışanları için bir kültür haline dönüştürülmesi gerektiği yönünde.
Dünyanın en pahalı ve güçlü bir güvenlik yazılımına sahip olan bir işletmeyi yeterince iyi eğitilmemiş bir çalışan tehlikeye sokabilir. Benzer şekilde güvenlik için yüzbinlerce, milyonlarca dolar harcamamış ancak çalışanlarına gerekli risk eğitimini vermiş bir işletme için güvenlik gündem maddelerinde alt sıralarda yerini koruyabilir.
