 11
Eylül ile başlayan asimetrik savaş,
sadece fiziksel
boyutta kalmadı. Şirketler
kurumsal bilgi güvenlikleri
için daha çok yatırım
yapmaya başladı. Özellikle bu dönemde güvenlik
politikalarının uygulanmaya
başlanması ve IDS (Intrusion
Dedection Systems) yani saldırı
tesbit sistemlerinin tercih edilmesi
ilk göze çarpan unsurlar
oldu.
Bu
olağanüstü periyod haricinde
ağ güvenliği endüstrisinin
kendi doğal döngüsünde
yaşanan gelişmeleri
şöyle sıralayabiliriz:
Dış
kaynak kullanımı:
Bugünlerde
yöneticiler kendi şirketlerindeki bilgi teknoloji
işlevlerinin hangisinde
ya da hangilerinde dış
kaynak kullanımına gideceklerini enine
boyuna düşünüyorlar. Çünkü buyanda
bilgi teknolojilerinin yönetiminin
şirketlerin çapını aşması
varken diğer
yanda da en kritik süreçlerin 'dışarıya' açılması
duruyor. Karmaşık hale
gelen ağ güvenliği ve gepmetrik olarak büyüyen şirket
ağları BT yöneticilerini
asıl işlevlerinin biraz
dışına itiyor. Bu nedenle
artan sayıda şirket
bilgi ve ağ güvenliği
konusunda dış kaynak
kullanımında sakınca
görmüyor. Bu pazardaki boşluğun görülmesi
MSP-ASP (Managed / Application
Service Providers) hizmetlerini
öne çıkartmıştır. Bu hizmetlere
SLA (Service Level Agreement)
de dahil olabilmektedir.
Şirketlerdeki
BT bölümlerinin
gerçek maliyetleri
ve karları konusunda
yöneticiler genelde
yanılgıya düşmektedir.
Dış kaynak kullanımına karar verilen süreçte bazen
düşülen yanılgı stratejik
fonksiyonların dış kaynak
kullanımına kesinlikle açılmaması
düşüncesidir. Çünkü yapılan yatırımlar
ve harcamalar sonucunda
kullanılan yazılımın veya sürecin rakibinkinden
çok farklı olmayacağı
ve buna rakiplerin
kendi sistemlerini kendi
başlarına geliştirdikleri eklenirse
yukarıda ifade edilen
düşünce şeklinin çok
da doğru olmadığı görülebilir.
Dış kaynak kullanımı sürecine girilmesinin (sonucunda
bir sözleşme olmasa bile) şirkete
kazandırdığı olgular arasında:BT
personelinin kendi süreçlerini/
iş akışlarını netleştirmesi
ve olası maliyet düşürme
fikirlerinin ortaya çıkması sayılabilir.
Şirketler
esas işlerinin içerisine
girmeyen ve BTlerini
etkileyen yeni bir
teknolojiyi ya da çok hızlı
değişen bir teknolojiyi
takip etmeyi ve uyarlamayı ellerindeki
kısıtlı kaynaklar nedeniyle
başaramazlar. Bu nedenle de dış
kaynak kullanımına gitme yolunu seçerler. Ancak
kendi BT personelinin bu sürece aktif olarak
dahil edilmesi oldukça büyük
önem taşır.
Mobil
hayat:
Cep
telefonumuzla ya
da PDA gibi araçlarla GPRS, WAP vb servisler
sayesinde PC kullanarak yapmakta
olduğumuz bir takım işlemleri
yapmaya başladık ve bu sayı
gittikçe de artıyor. Örneğin
kredi kart borçlarımızı cep
telefonumuzu kullanarak Bodrum'a
giderken uğradığımız Susurluk'ta ayranımızı yudumlarken ödeyebilir
ya da eşimize beğendiği bir giysiyi alması için
havale yapabiliriz. Ancak mobil
güvenlik yapısını oluşturmadan
bahsettiğimiz
hizmetlerin ticari
hayatta uygulanabilirliği
bulunmamaktadır. SMS
ve ses aktarmanın bilgi
aktarmanın gerisinde kalacağı
günler çok uzak olmadığından
birçok GSM
şirketi finans firmaları
ile beraber bu alanda yatırım
yapmaktadır. SIM kartımızdaki bize özel sayısal
imza sayesinde kablosuz PKI
uygulamasını hayata geçirmiş
olacağız.
Kurumsal
korumadan bireysel korumaya :
Internet'li
iş hayatının getirdiği
yeniliklerden biri de artık şirket ağındaki
bilgilere ulaşmak için şirket sınırları içerisinde olmamıza
gerek kalmaması.
Şirketimiz
kendi ağını korumak için çokça yatırım
yapmış olsa da mobil bir
kullanıcının sisteminin ele geçirilmesi üzerinde titrediğimiz
kurumsal güvenliğin yerle bir
olmasına neden olabilir. Çünkü
mobil kullanıcının güvenliğini
ihmal etmiştik. Bu tür istenmeyen arka kapı açıklarını
fark eden güvenlik şirketleri
artık mobil kullanıcıyı,
onun müdahale
etmesine gerek kalmadan, kurumsal güvenlik
politikalarına uygun bir şekilde
koruyor ve şirket ağlarına girişleri daha sıkı kontrol
etmeye başlıyor. Ve ayrıca
mobil kullanıcı ve şirket ağı
arasındaki bağlantı VPN
teknolojisi ile şifrelenerek güvenlik
seviyesi artırılmış oluyor.
Single
Sign On:
Web
uygulamalarının artması.
CRM-ERP gibi e-iş
çözümlerinin sıklıkla kullanılması
kullanıcıların birçok
farklı heterojen sisteme
her seferinde güvenlik
kontrolü sonrasında girmesini gerektiriyor. Her
kullanıcı hem de sistem
bazından bu düzensizliği
ve verimsizliği ortadan
kaldırmanın yolu kullanıcıları
farklı sistemlere
girişlerinde yalnızca bir
kez güvenli şekilde kabul
etmek olacaktır. Daha sonra
kullanıcı farklı bir uygulamaya geçerken ikinci
bir kontrol aşamasına
uğramadan işine devam
edebilecektir.
|
