|
 |
 |
 |
Ölümcül 7 günahın bedeli milyarlarca dolar ve zaman
En büyük hatalar doğru olduğu düşünülen uygulamalardan kaynaklanıyor. Bu hatalar milyarlarca dolarlık hataya ve günlerce yerine ulaşmayan müşteri taleplerine neden oluyor.
Yanlış
1 Firewall (Güvenlik duvarı) ve antivirusyazılımı bizi herşeyden korur!
INTERNET risk/tehditleri hergün geliş-mekte veya yeni şekil almaktadır. Love Bug gibi 2000yıllarında milyarlarca dolar zarara yol açan basit virus bu-gün yeni antivirus koruma programlarıyla durdurulabilir, fakatDenial of Service saldırıları, Trojan horse'lar, hızla yayılan SQL veNachi solucanları, spyware, phising ve spam artık kolayca firewall ya-zılımlarını aşıp, antivirus yazılımlarını çalışamaz hale getirmektedir. 80.portdan yayılan NİMDA bunun en güzel örneğidir, bu port genelde weberişimi için kullanılmaktadır. Bugün hackerler sürekli saldırı şekillerini değiştirme yanında daha basitve kolay açıkları kullanarak büyük saldırılar düzenleyebiliyorlar, jpeq, pdf,word ve excel açıklarınıda kullanıyorlar. Bugün nasıl bozuk araba , oyuncakveya cihaz üretilebiliyorsa, yazılımlarda da açık olmaya devam edecektir.Şirketler sadecefirewall ve antivirus yazılımlarına güvenmemeli, önleyicisaldırı tesbit yazılım veya donanımlarına da yatırım yapmalıdır. 2004CSI/FBI Computer Crime & Research Araştırmasın gore, bugün her ikişirketten biri güvenlik ihlaline maruz kalmakta. Güvenlik saldırısınamaruz kalan şirketlerin % 99'unda firewall ve antivirus mevcuttu!
Yanlış
2 Güvenlik yatırımları her yıl arttırılmalıdır
YAPILAN araştırmalarda son yıllarda IT yatırımları sabit kalırken, güvenlik yatırımlarının her yıl ikiye katlandığı gözlenmiştir. Güvenlik yatırımları incelendiğinde en büyük kısmın insan kaynağı yatırımı artışından kaynakladığını ve toplam yatırımların % 48'inin insan kaynaklarına yapılan yatırımların oluşturduğu tesbit edilmiştir. Bunun en büyük nedeni hergün artlan loglar ve geçilmesi gereken güvenlik yamalarıdır (örnek : 100 sunucuya 5 yama yüklemesinin maliyet yılda 24,000 insan zamanı veya 12 full-time eleman zamanına eşittir). Burada tavsiye edilen çözüm sisteminizdeki güvenlik açıklarının ve zayıflıklarının hackerler tarafından keşfedilmeden tesbit edilmesi ve önlenmesidir, aksi takdirde her tehdit için anında çözüm bulmak hem çok pahalı hem de işinizin verimini ve sürekliliğini olumsuz etkileyecektir. Teknoloji ve yazılımlar gün geçtikçe daha karmaşık olmaktadır. Yazılım güvenlik açıkları basit programlama hatalarıdır. Bugün yazılım üreticileri güvenliği artırmak amacıyla mümkün olduğu kadar sık güvenlik yama ve ürün güncellemelerini geçmekle birlikte bunların hepsini anında uygulamak masraflı olmakta , zaman ve kaynak israfına yol açmaktadır. Dünyanın önde gelen kurum ve şirketleri patch (yama) geçmenin bir numaralı güvenlik problemi olduğunu açıklamışlardır.
Yanlış
3 Network üreticileri ve storage şirketleri bağımsız güvenlik sağlamaktadır.
SON zamanlarda Network (Ağ) üreticileri ve storage(veri saklama) şirketleri güvenlik şirketlerini satın alarak güvenlik sektörüne girmeye çalışmaktadır; 3-Com Tipping Point'u, Symantec Veritas'ı ve Juniper Netowrks NetScreen'i alarak bu yönde bir trend yaratmaya çalışıyorlar. Buradaki mantık güvenlik Network ve storage ürünlerinin içine entegre edilmesinin doğru olduğu yönünde, Microsoft'da RAV v.b birkaç antivirus üreticisini alarak bu yönde yazılımlarının içine entegre ederek daha güvenli olacağını iddia etmektedir. Ancak, yazılım ve donanımlarda her zaman güvenlik açıkları olacaktır. Bağımsız güvenlik şirketlerinin görevleri bu açıkları tespit edip üreticilere iletmesidir, bu üretici firmaların ünlerini ve isimlerini olumsuz etkilemesine rağmen bağımsız ve tarafsız yapılmalıdır. Bugün network üreticilerinin ana problemi ve hedefi ürünlerinin performansını arttıracak teknolojileri geliştirmektir. Güvenlik her zaman ikinci öncelik olacaktır, çünkü güvenlik performası negatif etkileyecektir. O yüzden network üreticilerinin güvenlik çözümleri sağlamaları kendi menfaatleri ile çelişkilidir. Yeni kabul edilen ve zorunlu Sarbanes Oxley mevzuatı bağımsız denetimin önemini vurgulamakta ve Internet güvenliğinin ancak güvenilir ve bağımsız denetimle sağlanacağını belirtmiştir.
Yanlış
4 Tüm Antivirus programları aynıdır
BİRÇOK antivirüs yazılımı dijital parmak izi veya DNA örneği ( signature) virus programının içindeki koda bakarak çalışmaktadır. Buradaki problem virüs kendisini değitirmeye başlayınca antivirus programı bunu tespit edemez. My Doom , daha sonra MyDoom A , My Doom B ve My Doom C versiyonlarının tekrar çıkması bunun en güzel örneğidir. Son zamanlarda behavior-based (davranışsal) analiz içeren antivirus programları kod yerine virusun yayılma malicious (kötü niyetli) tekniğine bakmak suretiyle tüm benzeri virüs türlerini engelleyebilmektedir. En iyi çözüm hem imza hemde davranışsal antivirus veya içerik filtreleme yazılımları ile koruma sağlamaktır. Bugün dünyanın önde gelen güvenlik şirketleri mevcut güvenlik yazılımlarına ek yazılım veya donanımsal komple çözümler sunarak bu sorunlara cevap vermektedir.
Yanlış
5 Güvenlik bir "business enabler", "iş sağlayıcısı veya geliştiricisidir"
5GÜVENLİK yıllardır iş geliştiricisi şeklindegüvenlik yazılım ve donanımcıları tarafından propa-ganda edilmiştir. Gerçekte Internet ve uygulamalar iş sağlayacılarıdır, güven-lik tek başına iş yaratmaz , sadece süreçler arasında denetim sağla-yarak riskleri ve tehditleri minimize eder. İş uygulamalarının hızlı vegüvenli bir şekilde dünyanın bir yerinden diğer yanında anında ulaşması-nı sağlar.Risk şirketin gizli bilgileri, iş süreçleri, ticari teklif/rapor, projeleridir. Za-rar ise şirketin itibari ,imaji ve iş kaybıdır. Bugün dünyanın en büyük şirketle-ri bile güvenlik saldırı ve tehditleri sebebiyle sitelerini kapatmak zorunda kalı-yorlar, bunlar arasında Amazon, Microsoft ve Google dünyanın önde gelen şir-ketlerini sayabiliriz. Şirketler bugün uluslararası ticarette birçok enternasyonal kanun ve mev-zuata karşı yükümlüdür; Sarbanes Oxley ve Basel II amacı operasyonel vegüvenlik risklerini minimize etmektir.Enternasyonel ve uluslararası şirketler icin bu konular daha karma-şık ve komplike. Amerika'da ve Italya'da şubesi olan bir Türk şirketişubesi için Sarbanes Oxley yükümlüklerini yerine getirmesi kolayolmayacaktır. Virus ve solucanlar'ın kültürü yoktur, sadeceimza ve davranışsal tanımlanabilir. İnsanların anlaşılmasıbunlardan çok daha karmaşık ve komplikedir.
Yanlış
6 Ağımızda ne kadar her türlü aktiviteyi bilirsek o kadar güvenli oluruz
BİRÇOK güvenlik yazılım ve donanımı birçok log ve data üretmektedir, bunların hepsine öncelik vermek verimsiz olduğu kadar gereksizdir. Network ve bilgi güvenliği uzmanlarınin gerçek iş riski taşıyacak bilgilere müdahale etmeleri için sadece gerekli ve öncelikli iş riski taşıyan bilgilere ulaşmaları gerekmektedir. Örnek olarak bir çalışanın önemsiz ve zararsız bir dijital fotoğrafı emaile ekleyerek göndermek istemesini sistemin bir güvenlik ihlali olarak değerlendirmesidir. Buna gereksiz müdahale etmek hem kaynak hem de zaman kaybıdır. Internet güvenliğinin temeli iş risklerine dayanmalı, bu risk ve potensiyel etkilerinin iş uygulamalarına ve süreçlerine göre güvenlik önceliklerini belirleyebilmelidir. Şirketlerin güvenlik öncelikleri yerine her türlü olayı güvenlik tehditi veya ihlali olarak değerlendirmeleri , network ve güvenlik personelinin zaman ve kaynaklarını israf etmelerine ve uzun vadede gereksizce sayılarının arttırılmalarına neden olacaktır.
Yanlış
7 Bize bir şey olmaz, bizim bilgimizi kim ne yapsın? Biz banka değiliz .
BUGÜN Endüstri casusluğu dünyada büyük iş sahası, diğer yandan araştırma ve geliştirmeye dayalı sektörler için bilginin korunması önceliktir. Temmuz 2003 'de Boeing sirketi en büyük rakibi Lockheed Martin'e karşılık casusluk yaptığını ve binlerce gizli evrak ve bilgiyi bu yolla ele geçirdiğini kabul etti. 2004 yılında ise Marks & Spencer, Yönetim Kurulu Başkanı Stuart Rose 'un cep telefonu kayıtlarına yönelik yapılan bir saldırı sebebiyle soruşturma başlattığını duyurdu. Endüstri casusluğu sadece büyük şirketlerle limitli değildir, 2004 yılında Institute of Directors üyelerinin % 60'ının bilgi hırsızlığına maruz kaldığı yayınlandı ( şirketler arasında ufak ve orta ölçekli ve büyük kurumlarda bulunmaktaydı). Dünyada organize (yabancı istihbarat servisleri v.b ) bilgi hırsızlığına yönelik casusluk yapması dışında birçok özel kuruluşta bu yönde hizmetler talep etmektedir. Şirketler değerli ve gizli bilgilerini (müşteri , iş ortakları, ve hissedarlar vb.) korumakla yükümlüdür. Bunu yerine getirirken detaylı risk analizi, içeriden ve dışarıdan gelecek güvenlik tehditlerine yönelik güvenlik politikası ve denetim danışmanlığı almalıdırlar.
|
|
|
|
|
|
|
|
|
|
