Güvenlik için şifreleme yeterli değil !
Bulut güvenliğinin dünya lideri Trend Micro, kurumların kendilerini koruması için sadece şifrelemenin yeterli olmayacağının bilgisini verirken, yapılması gerekenleri açıkladı.
Kurumlar bazen “şifrelemenin” tüm bilgi güvenliği için yeterli olacağını sanarak hareket ediyor. Oysa BT yöneticileri için şifreleme etkili bir silah olsa da, tüm kurum çapında veri koruma stratejisi içerisinde güvenlik duvarları, anti virüs yazılımları, kayıt-inceleme, erişim kontrolü ve veri kaybını önleme araçlarının da olması gerektiğini unutmamak gerekiyor.
Kurumların neler yapması gerektiğini Trend Micro Teknik Direktörü ve Cloud Industry Forum Başkanı Michael Darlington şu şekilde anlatıyor: “Öncelikle BT birimleri ile kurum yöneticilerinin bir araya gelerek şirketteki verinin değerini ve önceliğini belirlemesi gerekiyor. Birçok kurumun son kullanıcılara ulaşan web sitelerindeki verilerinin yanında oldukça gizli finansal ve IP bazlı verileri bulunuyor. Burada önemli olan sınıflandırmanın doğru yapılmasıdır. Eğer veri değerliyse, elbette depolandığı, e-posta ile gönderildiği ya da ortak kullanım alanında tutulduğu zamanlarda şifrelenmiş şekilde tutulması gerekiyor. Hatırlanması gereken bir diğer husus ise bu sınıflandırmanın yılda bir kez değil, sürekli devam eden bir yapı halini alması gerektiğidir.”
Dışarıdan bir bulut hizmet sağlayıcısından alınan hizmete de oldukça dikkat edilmesi gerektiğini vurgulayan Darlington, “IaaS (hizmet olarak altyapı) tercih edildiğinde genel olarak, kurumların aldığı sorumluluk daha düşük gibi görünse de bu hizmet sağlayıcısı ve buluta konulan verinin çeşidiyle de paralellik gösteriyor.” dedi.
BYOD kavramına özel önlemler alınmalı
Son dönemlerin popüler kavramı Kendi Cihazını Getir (Bring Your Own Device- BYOD) konusunda da fikirlerini açıklayan Trend Micro Teknik Direktörü, BT ekibiyle birim yöneticilerinin bir araya gelerek kabul edilebilir bir BYOD stratejisi çizmesi gerektiğini belirterek şu hususların gözden geçirilmesi gerektiğini aktardı:
– Wi-Fi ve LAN erişimi,
– E-posta yönetimi,
– Uygulamaların nasıl yer alacağı,
– Cihazlara şifre konulmasının zorunluluk haline getirilmesi ve BT ekibinin uzaktan erişimine imkân verilmesi,
– Gereken tüm noktalarda depolama alanlarının tamamen şifrelenmesi.
Michael Darlington’a göre, kurumlar yolun başındayken doğru kurallar ve gerekli denetimleri yapmazsa ileride gerçekleşebilecek veri sızıntılarından oldukça başları ağrıyacaktır.
Ülkemizde de sadece şifrelemenin yeterli olacağı düşüncesinin hakim olduğunu vurgulayan Trend Micro Akdeniz Ülkeleri Genel Müdürü Yakup Börekcioğlu sözlerini şöyle sürdürdü: “Trend Micro Türkiye olarak güvenlik uzmanı ekibimizle her zaman ön plana çıkarttığımız noktalar; Trend Micro SecureCloud kimlik-tabanlı ve doğrulama tabanlı kullanarak basit, politika tabanlı anahtar yönetimi ve benzersiz sunucu kimlik doğrulamasının ön şart olduğudur. Bunlara ek olarak bütünlük denetimleri daha derinlemesine, fiziksel, sanal ve bulut sunucuları koruyan bir sunucu güvenliği platformu kurulmalıdır. Bu iki sistemin de birbiri ile uyumlu çalışması ve iletişim halinde olması gerekmektedir. Bu kapsamda Deep Security, bir talep sunucu out-of-tarih veya yetersiz koruma varsa ya da bir saldırı neticesinde korumanın aşıldığı tespit edilirse tuşları serbest bırakılmaz. Anahtarları da iptal eder veya bir sunucu değişiklikleri güvenlik durumu gibi dağıtılabilir.”