 Şirketler
ülkemizde güvenlik elemanlarının yetersizliğinin yanı sıra mevcut
güvenlik elemanlarının da yetkilerinin genişliğinin sorun olacağım
belirtiyorlar. Aynı zamanda güvenlik elemanlarının kendilerini sürekli
eğitmeleri gerektiğini de söylüyorlar.
GÜVENLİK
konusunda altı çizilen bir önemli
konu da bilgiişlem, güvenlik
elemanları ve diğer çalınanlar. Son dönemde
yapılan araştırımlar şirket içi saldırıların gün geçtikçe
arttığını ortaya koyuyor. Bilgi işlem
elemanlarının yetkilerinin genişliğini uzmanlar sakıncalı
bir durum olarak görmelerine
karşın bunun önlemini alabilmek adına alternatif yolların
çok yaygın olmadığından
yakınıyorlar. Ayrıca güvenlik elemanının işe alımında hassas
davranıldığı gibi eğitiminin de
önemli olduğunu ve ülkede eğitimli yeterli eleman olmadığını
belirtiyorlar.
Bilgiler
güncellenmeli
Uzmanlar Türkiye'de
şirketlerin bilgiişlem elemanlarını
eğitime göndermediklerini, oysa
bu çalışanların bilgilerini güncellemek zorunda olduklarını, böyle
olmadığı takdirde eksik bilgilerin güvenlik sorunlarını beraberinde
getireceğine dikkat çekiyorlar. Güvenlikte
küçük şirketin riski küçük ya
da büyük şirketin riski büyük diye bir anlayış olmaması gerektiğini,
güvenlikte riskin eşit olduğunu, bu nedenle her şirketin aynı derecede hassasiyet
göstermesi de altı çizilen bir
başka konu olarak gündeme
geliyor.
Güvenlik
politikasının esas bileşeninin
insan olduğunu söyleyen uzmanlar, güvenlik
politikasında şirket içi eğitimlerde
çalışanların eğitilmesi gerektiğini ve çalışanların sirkülasyonu ve pozisyon değişikliklerinin devamlı bir eğitimi
ve "güvenilir eleman" sorunu
ortaya çıkardığı görüşünde birleşiyorlar.
Ayrıca şirketlerde bilgiişlem elemanının şirketin gizli
bilgilerine erişebilme olanağı
bulması da ciddi bir sorun olarak ortaya konuyor. Bunun
için şirketlerin kişiye özel
sayısal tanımlamalar yapması
gerektiği ama bunların tam bir çözüm olmadığı da kaydediliyor.
Güvenlik
elemanını işe alırken
hassas davranın
Konu hakkında
görüştüğümüz şirketlerin bilgiişlem
çalışanlarına yönelik yakınmaları,
"Genelde kullanılan sistemlerde bilgiişlem elemanlarına güven
duygusu içerisinde işlerimizi yapmaya
çalışıyoruz. Çünkü kullanılan sistemlerde bazı
yetkilendirmeler tüm ağ yapısına erişimi olanaklı kılıyor.
Bu yetkilendirmeler de bilgiişlem
elemanlarına tanımlı
oluyor. Bu nedenle bu kişilere güvenmek
durumunda kalıyoruz" yönünde.
Uzmanlar, bunlara bir çözüm
yolu olarak bilgiişlem elemanı
alınması konusunda şirketlerin
hassas davranması gerekliğini söylüyorlar.
Elemanların özgeçmişlerinin
kontrol edilmesi ve birtakım
psikolojik testlerden geçirilerek işe alınmalarının sağlıklı
olacağını belirtiyorlar.
Bunun
kurumların insan kaynakları
yönetimi ve yaklaşımı ile ilgili
olduğunu, sonuç olarak insan
kaynakları departmanlarının,
kritik pozisyonlar için eleman seçerken çok daha titiz
davranmaları gerektiğini, dolayısıyla
bu açıdan bakıldığında bir üst düzey muhasebe yöneticisinden
kaynaklanabilecek riskler ile
bir bilgiişlem elemanından
kaynaklanabilecek riskler arasında
bir fark olmayacağını hatta şu anki uygulamada
bilgiişlem elemanının daha üst
bir risk grubunda olduğunu söylüyorlar. Ayrıca, şirketin
bilgilerinin şirket aleyhine kullanılmasının
da önüne
geçmek için çalışanınızla
buna dair sözleşme düzenlenmesinin şirketin
olası durumda yasal dayanağa başvurması
için gerekli olacağını belirtiyorlar.
Güvenlik
elemanının yetki genişliği sorunu
Güvenlik
elemanına bilinçli ya
da bilinçsiz geniş yetkiler verilmesinin
zaman zaman yanlışlıkla
veya bilinçli olarak gerçekleştirilen
eylemler sonucunda şirketlerin zarara uğramasına
neden olduğu ve doğru bir yetki paylaşımı metodu ile bu
risklerin birçoğunun minimize
edilebileceği ileri sürülüyor.
Ancak yetki paylaşımı sonrasında
gereksinim duyulabilecek ek eleman gereksinimi bunun gerçekleştirilmesine
engel olabileceği ve bu durumda da
şirketlerin güvenlik konusunda
istedikleri standartları sağlayabilecek
bir dış kaynak kullanımı
yoluna gidebilecekleri de öneriliyor.
Öte
yandan
güvenlik elemanına
belli noktalarda güvenmek
gerektiğine değinen yetkililer,
şirketlerin en büyük sorununun bir güvenlik politikalarının
olmamasını bir kez daha
gündeme getiriyorlar. Şirketlerin
öncelikle güvenlik politikalarını
oluşturmaları gerekliğini,
politikaların güvenliğin diğer aşamalarında
kolaylık sağladığı gibi güvenlik
elemanı yetki tanımlamasında da yardımcı
olduğunu ifade ediyorlar.
Bilgiişlem
elemanları güvenliği
önemsemeli
Güvenlik
uzmanlarına göre, bilgiişlem elemanının
işe alınmasının yanı sıra görevlendirilmesi
de çok önemli. Özellikle güvenlik
üzerine çalışanı olmayan şirketlerde
bilgiişlem elemanının bir çalışma
gününün tamamını ağ yapısına ayırabildiğini
ve güvenlikle ilgilendiği kısmının ise gün içerisinde
1 saatten bile az olduğunu
bunun bir sorun olarak karşılanacağını
belirtiyorlar.
Bunların
yanı sıra eğitimli güvenlik
elemanlarının yetersiz
olduğunu belirten uzmanlar,
ülkemizde bu konuda yeterli
eğitim verilmediğinden yakınarak,
gittikçe önemi artan bilgi
güvenliğini sağlama adına
esas bileşen olan insanın da eğitilmesi
gerektiğini belirtiyorlar.
Üniversitelerin bu konuda
daha çok destek vermesi gerektiğini, bazı üniversitelerimiz
bu konuda eğitimlerin başladığını
ancak yeterli olmadığını,
çok daha ciddiye alınması gereken
bir konu olduğunu ve artık üniversitelerimizden
bu uzmanların
yetişmeye başlaması
gerektiğini söylüyorlar.
Buna
karşı olarak bazı uzmanlar
da ülkemizde
yeterli kalitede
ve sayıda eleman olduğunu
ancak ülkemiz şartları gereği henüz bir organizasyon altında
toplanılamadığından dolayı
pek çok sıkıntı yaşandığını
BT profesyonelleri odası tarzı yapılanmalara
gidilmesini beklediklerini ifade ediyorlar.
Ayrıca,
"Bugün pek çok şirket gerçek tehlikenin dışarıdan değil
içeriden geldiğinin farkındadır"
diyen yöneticiler, şirket
ile ilişiği kesilen bir BT güvenlik
çalışanının istediği takdirde
şirket bilgilerini istediği
amaçla kullanabilme riskinin
söz konusu
olduğunu söylüyorlar. Bunun önüne geçilmesi
için şirketlerin
ciddi güvenlik iş süreçleri ve kontrol mekanizması
geliştirmesi gerektiğini
belirtiyorlar. Bu noktada güvenlik konusunu polisiye
tedbirlerle aşılabilecek bir konu
olarak görme alışkanlığı yerine
genel bir politika belirleme ve bunu hayata geçirecek uygulama
ve altyapıların hayata geçirilmesini sağlama yönüne
gidilmesi gerektiğini kaydediyorlar.
Uzmanlar, güvenlikten sorumlu
personelin yetki
düzenlemelerinin istekleri doğrultusunda
şekillendirilebilmesine olanak
sağlayan çeşitli çözümlerin
de ön plana çıktığını
ancak personelin yetki ve
sorumlulukları doğrultusunda güvenlik politikaları ile uyumlu
bir yetkilendirme seviyesinin bu
tür bir yapıyı destekleyecek
bir platform üzerinde kurumun genel
güvenlik yapısına bütünleşik şekilde düzenlendiğinde güvenlik
elemanının durumunun ayrık bir sorun
olmaktan çıkacağını belirtiyorlar.
|
