KOBİ’ler ve Siber Güvenlik

ISR Bilgi Güvenliği Şirketi Kurucu Ortağı ve Genel Müdürü Eren Ertem Develi, siber güvenliğin bir süreç olduğuna dikkat çekerek, işletmelerin, KOBİ’lerin siber saldırılara hazırlanmasının ve önlem alabilmesinin yolunun ‘Penetrasyon (Sızma) Testi’nden  geçtiğini vurguluyor. Eren Develi, “İşletmeler / KOBİ’ler yerli ve milli çözümleri tercih etmeli” diyor.

Gelecekte varlığını sürdürmek isteyen her şirketin / KOBİ’nin dijital dönüşümü artık bir ihtiyaç değil, zorunluluk. Dijital dönüşüm sürecinde ise şirketlerin yapması gereken bilişim yatırımının başında siber güvenlik geliyor. ISR Bilgi Güvenliği Şirketi’nin Kurucu Ortağı ve Genel Müdürü Eren Ertem Develi ile siber güvenlik ve KOBİ’ler konusunda konuştuk.
Siber güvenlik aslında bir süreçtir: “TÜBİTAK Gebze Yerleşkesi-MARTEK’te bilgi güvenliği üzerine Ar-Ge çalışmaları ve siber güvenlik hizmetlerini 9 yıldır aralıksız sürdürmekte olan şirketimizde, bilgi güvenliği konusundaki uzmanlığını OSCP (Offensive Security Certified Professional) ve yüksek bilgi birikimi gerektiren OSCE (Offensive Security Certified Expert) sertifikaları ile de belgelendirmiş olan ekibimiz, 25 yılı aşkın süredir güvenlik sektörünü takip eden uzmanlardan oluşmaktadır” diyen Eren Develi, dijital dönüşüm esnasında KOBİ boyutlu işletmelerde firma sahiplerinin ve IT yöneticilerinin karar vermekte en çok zorlandığı konulardan birinin siber güvenlik olduğuna dikkat çekiyor: “Dijitalleşme çalışmaları ve bütçelerinin tasarlanması esnasında siber güvenlik alanında yapılması gereken çalışmaların ve yatırım boyutunun neler olduğu; ne kadar kaynak, personel ve maddi kaynak ayırılması gerektiği işletmeler tarafından doğru seçilemediğinde, ya önlemler temel güvenlik gereksinimlerinin altında zayıf kalmakta ve savunmasız bir dijital ortam sahibi olunmakta, ya da fazla harcama yapılarak gerek duyulmayan ve teknik olarak ömrü kısa kalan veya randıman alınamayan güvenlik yatırımları dolayısıyla yine hüsranla sonuçlanmakta. İşletmelerce ilk aşamada tahmin edilenin aksine, aslında siber güvenlik önlemleri birkaç ayrı çözümle sağlanıp görev sona ermemektedir, çünkü siber güvenlik aslında bir süreçtir; altyapı yatırımı, eğitim ve tüm bunların düzenli olarak bakımını, kullanımını gerektirir.
Hem yatırım hem dönemsel çalışmaların yapılması, hem de kullanıcıların bilinçli kullanımları oldukça önemlidir. Siber saldırının birden fazla metot ve öngörülemeyen metotlarla da gerçekleştirilebilmesi, zaman ilerledikçe risklerin değişmesi ve çeşitli dönemlerde ortaya çıkan yeni bilgilerle risklerin artması gibi pek çok dinamik faktör güvenlik riskini artırmaktadır. Yine de temel gereksinimler bellidir ve sonucunun garanti edilebildiği kabul görmüş bazı gerekli güvenlik standartları mevcuttur. Yani aslında yapılması gereken temel çalışmalar belirli boyutu aşan büyük dijital dönüşüm projelerinde başlangıç esnasında veya operasyonel dönüşüm belirli bir profesyonellik seviyesine geldiğinde, siber güvenlik uzmanlarından destek alınması ve gelecek çalışmaların rotasının çizilmesi de önemlidir.”
İşletmelerin, KOBİ’lerin siber saldırılara hazırlanmasının ve önlem alabilmesinin yolu da ‘Penetrasyon (Sızma) Testi’nden  geçiyor: Eren Develi, pek çok kurumda uygulanmaya başlanan Sızma Testi (Pentest veya Ethical Hacking olarak da anılıyor) olarak da bilinen bu çalışmalarda, uzmanlar tarafından gerçek bir saldırganın yapacağı saldırının simüle edilmesinden sonra tespit edilen açıklıklar ve bunlara dair profesyonel çözümlerin, kısa-orta ve bazen de uzun vadeli çözüm önerileri raporlanarak bu rotanın çizilebileceğini anlatıyor: “Ürün ve bakım desteği aldıkları tedarikçilerinden, ürün ve hizmetlerinin konumlandırılması sırasında siber güvenlik perspektifiyle ilgili de destek talep etmeleri, güvenlikle ilgili alınan önlemleri sorgulamaları, yönlendirmeleri, henüz dijital dönüşüm çalışmalarına yeni başlayan firmalar ve KOBİ’ler için yeterli olabilmektedir. Bu konularda yapılacak çalışmalar için IT yöneticilerinin önerilerini dinlemek, gerek duyulan konularda bilgi sahibi olmak amacıyla araştırma yapmak, KOBİ yöneticilerinin en önemli görevidir, unutmayınız ki dijital dönüşüm olmadan bugün hiçbir işletme sürdürülebilir gelir sahibi olamamaktadır. Temel ihtiyaçları karşılarken en önemli çözümlerin, otomatize edilme oranı yüksek (otomatik çalışmayla insan müdahalesi en düşük olan), mali açıdan da sürdürülebilir önlemler olması, eski alışkanlıklar olan popüler-bilindik ürünlerin ölçümlemesiz satın alınması yerine, gerçek anlamda fayda / bütçe / zaman bileşenlerinin dikkate alınarak ölçümlenmesi sonrası satın alma önermekteyiz.”
“İşletmeler / KOBİ’ler yerli ve milli çözümleri tercih etmeli”: Eren Develi, Türkiye’de faaliyet gösteren birçok yerli güvenlik çözümü üreticisinin demo / PoC (proof of concept) denilen ‘dene ve gör’ modelini sıklıkla uyguladığını, yabancı ürünlere kıyasla neredeyse %50’nin üzerinde indirimli fiyatlarla pazara ürün sunduğunu kaydediyor: “Yerli üretici tercih edilerek her yıl global pazar fiyatlarına bağlı artışların bertaraf edilmesi, alternatiflerin geliştirilmesine katkı sağlanması, ülke ihtiyaçlarının farklı olmasından ötürü, özgün çözümlere erişilebilmesi açısından artık yabancı ürün tercihinin geride bırakılması gerekmektedir. Türkiye, yüksek meblağlarda satılan markaların peşinden giden ve faydasının alınamadığı bir güvenlik ürün tercihi tuzağından kurtulmalı, gelişmiş ülkelerin tamamında uygulanan; yerel, yerli ve milli çözümleri artık özel sektörde de takip etmelidir.”