Skip to main content

Günümüzde teknolojinin hangi noktalara geldiğini hepimiz biliyoruz. Teknolojinin gelişmesiyle birlikte artık büyükten küçüğe kurumların işlevselliğini arttırması için yazıcı hizmetinden tutun da, muhasebe kayıtlarına ve dökümantasyon yönetimine kadar bir çok işlem dijital ortamlarda hayatını sürdürmekte…

Bu durum beraberinde kolaylık, zaman ve iş gücünden tasarufun yanı sıra güvenlik önlemlerinin arttırılmasını da gerektiriyor.
Ancak ne yazık ki özellikle orta ve büyük ölçekli kurum yöneticileri kurumsal bilginin günümüzde o kurumun en önemli sermayelerinden biri olduğunu ve bu bilginin korunmasını halen bir ihtiyaçtan çok, lüks olarak görüyor.
Bu “lüks” ancak kurumun bir siber saldırıya maruz kalmasıyla birlikte önem kazanmakta fakat bu durum da “iş, işten geçti” yorumlarına sebebiyet vermektedir.

Gizlilik, bütünlük, erişilebilirlik; bilginin güvenliğinin tehdit altında bulunmasını sağlayacak durumların önceden tespiti ve bilginin korunması gereken en önemli üç özelliktir.

Teknik olan açıklarda risk değerlendirmesi yapılırken kullanılabilirlik ve güvenlik dengesi göz önünde bulundurulur. Genel anlamda teknik seviyelendirme yapılırken aşağıdaki tablodaki kriterler göz önüne alınabilir.

Türkiye’de çok çeşitli alanlarda hizmet göstermiş şirketlerin denetim raporlarının sonuçları yer almaktadır ve bu yazı için 10 yıllık örnekleme süresi baz alınmıştır.

Yapılan araştırma sonucunda, kurumlara yapılan güvenlik denetimlerinde 10 adet kök nedene sık olarak rastlanmıştır. Bunlar şu şekildedir:

  1. Güncelleştirme Eksiklikleri
  2. Varsayılan/Zayıf Parola ile veya Parolasız Kullanılan Ağ Öğeleri
  3. Oturum Açma Sistemlerinin Tasarımı
  4. Etki Alanı (Domain) Politikalarının Yetersizliği
  5. Konfigürasyon Yetersizlikleri
  6. Anti Virüs Yönetimi Eksiklikleri
  7. Uygulamalardaki  Tasarım ve Kodlama Eksiklikleri
  8. Güvenlik Cihazlarının Yönetimindeki Yetersizlikler
  9. Ağ Tasarımındaki Eksiklikler
  10. Kurum Güvenlik Kültürü