Nasıl Güvenlik ?

Bu başlık kilitlidir. Yeni mesajlar gönderilemez veya mevcut mesajlar düzenlenemez.
gX2
01-01-2006, 16:31   |  #1  
OP Taze Üye
Teşekkür Sayısı: 0
10 mesaj
Kayıt Tarihi:Kayıt: Eki 2005

Elektronik ortamda iş yapan işletmelerin, özellikle finans kuruluşlarının ve online alışveriş yapan şirketlerin, güvenlik konusunda alternatif çözümlere başvurmalarının zamanı geldi. Bu kritik kurumlar, sahip oldukları bilginin güvenliğini, sadece kutu çözümler (firewall) kullanarak veya kendi bünyelerinde barındırdıkları bilgi işlem personelinin çabası ile değil de, aynı zamanda dış kaynak temini (outsourcing) yoluna başvurarak sağlayabilirler. Bu yolla (bilgi güvenliği firmalarına outsource ederek), bilgilerin uzman kişilerce sürekli olarak dışardan gözetlenmesi imkanı doğmaktadır. Bu da, kuruluşların ihtiyaçlarını, risk seviyelerini ve altyapılarını inceleyerek onlara özel çözüm üretmeye dayandığı için, daha doğrudur.

Hackerlar

Internet ekonomisi büyürken ve risk seviyesi artarken gelişen bilişim teknolojilerini yakından takip eden kötü niyetli hackerlar da boş durmamaktadır. Özellikle alışveriş siteleri ve internet bankacılığı içerdikleri ekonomik değer bakımından büyük risk altındadır. Deloitte & Touche LLP danışmanlık firmasının yaptığı araştırmaya göre geçtiğimiz sene finansal kurumların aldığı güvenlik atakları bir önceki seneye göre iki katının üzerine çıkmıştır. Yine aynı araştırma sonuçlarına göre, araştırmaya katılan finans kurumlarının % 40'ı bu ataklardan finansal kayba uğramıştır. Ayrıca Gartner Inc.'in güvenlik raporuna göre; 2005 yılında firmaların %20'den fazlası ciddi güvenlik hasarına (virüs saldırılarının ötesinde) uğrama riskiyle karşı karşıya bulunmaktadır.

Bugün birçok ticari kurum, kamu kurumu veya organizasyon, web sayfaları hackerlar tarafından ilgi çekici bir dönüşüme uğramadan, güvenliği keşfedemiyorlar. Bu nedenle Internet güvenliğinin tek gerçek test edicileri hackerlardır. Hackerler bilgi güvenliğini tehdit ederek online işlem yapan kurum sitelerine yıkıcı zararlar verebilmektedirler. 19 Haziranda ABD'de ortaya çıkan 40 milyon müşterinin kredi kartı bilgilerinin çalınması halen sıcaklığını korumaktadır. Hackerlar, Arizona eyaletinde faliyet gösteren CardSystems Solutions adlı firmanın sistemlerine girerek Mastercard, Visa, American Express ve Discover'a ait 40 milyon müşterinin bilgilerini çalmışlardır. Bu olay, bazı otoritelere göre, bugüne kadarki en büyük mali hırsızlık özelliğini taşımaktadır.

Nasıl Güvenlik ?

Bilgi güvenliği şirketleri hizmetlerini: ağ güvenliği (Network Security), sunucu güvenliği (Server Security), veritabanı güvenliği (Database Security) ve kod güvenliği (Code Security) olmak üzere dört aşamada verirler. Türkiye'de güvenlik denince akla gelen ağ güvenliğidir. Oysa gerçek bir güvenli yapıdan söz etmek için bu dört sütunun da iyi inşa edilmesi gerekir. CERT (Carnegie Mellon University's Computer Emergency Response Team)'in saldırı yöntemleri raporuna göre yeni saldırı tiplerinin yüzde yetmişten fazlası web uygulamalarını hedef almaktadır. Bu da, hackerların yeni saldırı teknikleri geliştirerek, web sayfalarını uygulama düzeyinde, kod düzeyinde doğrudan tehdit etmesi demektir. Özellikle dinamik web uygulamaları ile beslenen sayfalarının yapılarında işlevsellik ön planda olduğundan güvenlik ikinci plana itilebilmektedir.

Bu noktada; elektronik ortamda iş yapan işletmelerin, özellikle finans kuruluşlarının ve online alışveriş yapan şirketlerin daha profesyonel çözümlere başvurmaları, sahip oldukları bilginin güvenliğini sadece kendi bünyelerinde barındırdıkları bilgi işlem personelinin çabası ile sağlamaktansa, dış kaynak temini (outsourcing) yolu ile halletmeleri çözüm olabilmektedir. Zira bu sayfaları hazırlayan, içerdiği uygulamaları yazan ve sürekli güncellemeleriyle uğraşan personel, operasyon yoğunluğu veya teknik yetersizliklerden dolayı bazı açıkları gözden kaçırabilmektedir. Bu açıkların yol açabileceği görev zararları ise gün geçtikçe artmakta ve ülkemizde e-ticaretin ve diğer e-iş uygulamalarının gelişmesinin önünde bir engel olarak durmaktadır.


* www.PWDSecurity.Org *