Siber saldırılar günümüzde iş dünyası için önde gelen risk unsurlarından birini oluşturuyor. Uzmanlara göre, özellikle kritik altyapı sektörlerinde faaliyet gösteren kurumlar günde ortalama 300 siber saldırı alarmı alıyor. Bu saldırılar karşısında, güvenlik uzmanlarının her bir alarmı incelemesi yaklaşık 8 saat sürerken tam tersine daha avantajlı konumda olan siber saldırganların amaçlarına ulaşması 15 dakika gibi kısa bir süre alabiliyor.
Büyüyen siber riskler çerçevesinde, tehditler oluşmadan doğru çözüm senaryolarını kurgulayabilmek için, sektör profesyonellerinin etkin bir iletişim ağı altında bir araya gelmesi ve tecrübelerini, deneyimlerini paylaşarak pro-aktif bir güvenlik kalkanı oluşturmaları büyük önem arz etmekte. Tam da bu ihtiyaç çerçevesinde, ilki 2015’te başarıyla tamamlanan ve bu sene ikincisi Çırağan Sarayı’nda organize edilen Shield 2016 konferansı, önemli bir boşluğu doldurmuş oldu. “Siber Savaşı kazanmak için birlik olmalıyız ve fark yaratmalıyız” motivasyonuyla, 1200’ü aşkın katılımcı ve çok sayıda konuşmacıyı bir çatı altında birleştiren etkinlik, Türkiye’nin en büyük siber güvenlik konferansı olmakla beraber, sektörün de aslında kalbinin attığı yer. Etkinliğin ev sahipliğini üstlenen İnnovera Genel Müdür Yardımcısı Burak Dayıoğlu’na göre, 2016 yılında düzenlenen etkinlik, 2015’e nazaran hem katılımcı hem de konuşmacı sayısı açısından çıtayı çok daha yükseğe taşımış oldu.
[ilink url=”https://siberbulten.com/makale-analiz/20-bin-adimda-infosec-rekorunu-nasil-kurduk/” style=”tick”]İlgili yazı >> 20 bin adımla Infosec rekorunu nasıl kırdık?[/ilink]Siber savaşlardan akıllı teknolojilere; kişisel verilerin korunması kanunundan dijital transformasyona kadar gündemdeki birçok konunun, sektörün önde gelen uzmanları tarafından kapsamlı olarak ele alındığı panellerden en ilgi çekenlerden biri “Kişisel Verilerin Korunması Kanunu Sonrası ve Müşteri Datasına Yönelik Risklerini Nasıl Minimize Edebilirim?” başlıklı oturum oldu. Doğrudan kişilik haklarının korunmasına yönelik olan ve 7 Nisan 2016’da Resmi Gazete’de yayınlanan bu yeni kanunun uygulanması açısından, sektörün ve uygulayıcıların kafasında hala çok sayıda soru işareti var.
[ilink url=”https://siberbulten.com/makale-analiz/kisisel-verilerin-korunmasi-yolculugu-1-bolum/” style=”tick”]İlgili yazı >> Kişisel Verilerin Korunması Yolculuğu[/ilink]Uzmanların görüşlerine bakılırsa, yeni uygulama çok sayıda sistematik değişikliği de beraberinde getirecek. Kanun, özel nitelikli kişisel verilerin amacına uygun işlenmesini şart koşarken, ilgilinin açık rızası olmadan işlenmesini açıkça yasaklıyor. Bu çerçevede, işletmelerin kişisel veriler söz konusu olduğunda, müşterilerin rızasını açıkça alması, üçüncü partilerle olan anlaşmaları mutlaka gözden geçirmesi ve veri yöneticisi tarafındaki eksiklikleri mutlaka gidermesi gerekiyor. Panelistlerden, Master Card Bilgi Güvenliği ve Operasyonel Risk Direktörü Gamze Yurttutan’a göre, bu kanun sadece BT ya da CRM ekiplerini kapsamıyor, bu projeye tüm iş departmanlarının dâhil olması gerekiyor.
Kurumlar için “bahar temizliği” olarak da görülebilecek kanunun nasıl uygulanacağına ilişkin, yeni yönetmeliklerin takip edilmesi büyük önem arz ediyor. Ancak, ihlal edilmesi halinde ağır yaptırımlar getiren kanun çerçevesinde, kurumların pro-aktif davranması ve veri yönetişimin gerektirdiği önlemleri erkenden alması da elzem. Bu çerçevede, örneğin verilerin yönetilebilir ortamlarda saklanmasının temin edilmesi önemli bir önlem olarak karşımıza çıkıyor. Yeni kanunla beraber, işletmelerin ayrıca hangi verileri aldığı, nasıl ilerlediği ve hangi verileri imha ettikleri sorularının cevaplarını da verebilmeleri gerekiyor.
Finans gibi daha çok regülasyona tabii olan bazı sektörlerin verilerin doğru yönetişimine ilişkin uygulamalarda daha ileride olmaları anlaşılabilecek bir durum ancak yine de bu uygulamanın tüm sektörleri kapsadığını da unutmamak gerekiyor. Son olarak, “davranış değişikliği” tüm işletmeler için kanunun getirdiği en önemli ev ödevlerinden biriyken, etkinliğin ev sahibi İnnovera, bilgi sızmaları ile mücadelenin dört adımını sistematik bir şekilde sunuyor. Bu çerçevede, işletmelerin öncelikle verileri keşfetmesi ve sınıflandırması ardından verileri izleyip iyileştirmesi, delil toplayarak aksiyon alması, anormallikleri tespit etmesi ve son olarak şifreleme ve koruma önlemlerini devreye sokması gerekiyor.
*Ayhan Gücüyener, IACIPP
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]