Bu hataları takip eden bir diğer büyük yanlışta küçük ama heyecanlı ve özellikle isim yapmak isteyen Girişimci firmaların "boyunu aşan yatırımlarla" datacenterlar kurması veya büyük bir Otomasyon gibi vb. projeleri başlatması die sıralayabiliriz...
Fakat asıl büyük eşşeklikte bir Projeye yada Yatırıma girilirken "Alt Yapı Güvenliği"nin listenin en sonuna konulmasıdır. Büyük şirketlerin sözde Bazı "Güvenlik Uzmanları" die geçinen kişilerin duruma tamamen "Hardware" olarak bakmasıdır. Bu bakış açısı altında karşıya verdiği mesajda ; "Bu konuda bilgim çok yok ama Çok fazla Fikrim var.." şeklinde izlenimini verir ve devam eder...
Bu konuda katılmış olduğum bir müşterideki Proje toplantısında, firmanın "Kıdemli Güvenlik Uzmanı" nı bizzat kurduğu cümle " wEB tabanlı Çalışan Cluster yapısına sahip sunucularımızın güvenlik sorunu bence yok, 1 tane Firewall alalım sonra üzerine 1 SSL çakarız tamamdır!"...Sence Bu yapı Şimdi Güvenli mi oldu... ? Sözde bu şirket çok büyük Online Ortamda Aktif İşlemler gerçekleştirmekte...
İşte bu sizlere durumun nerelere kadar geldiğinin ciddi bir göstergesidir. Malasef Ülkemizde çoğu firma ve sözde bazı "Güvenlik uzmanları halen durumu bu şekilde yorumlamaya devam ettirmekte ve söylediklerinin gerçekten doğru olduğuna inanmaktadır.
Ama madalyonun diğer tarafına bakıldığında Bazı Şirketler hatta bunlar arasında tanınmış olanlarıda var ki şirketlerinde çalışan, gerçekten doğru iş yapmak ve yaptığı işle gurur duymak isteyen IT'ci ve Security'ci arkadaşların önlerine bir set-bir engel koymayı bırakın, susmaları için herşeyi yapıyorlar. Sebep ?
- - Listede gerçekten "Acil Alınması" gerekenlerin Mali Külfet olarak görülmesi ...
- - Mevcutları değerlendir mantığıyla hareket edilmesi...
- - Bunun bedavası yokmu olum, Git "Bakkal Ahmet Efendiye" Sor bi bakalım mantığıyla düşünülmesi...
- - Alınması gerekenler üstelendiğinde IT'ci arkadaşlara, şirket tarafından kişiye "Uyarı Çekmeyi" veya "İşten Çıkarmayı" kurtuluş olarak görmeleri...
Ülkemizdeki Bazı Güzide Şirketlerimiz "Sorunu, Sorunsuzluk" olarak algıladığı sürece "Güvenlik Zaafiyetlerine" ve "Yönetim Zaafiyetlerine" hergün rastlanacak ve bir yenileri eklenerek devam edecek...
Peki Yapılması gereken Ne diye sorarsınız? Herhalde buna ciddi bir cevap vermemi beklemiyorsunuz. Bunun cevabı bariz zaten......
Şimdi Sizlere evet "bazılarına" tekrar Soruyorum... ;
1 - Güvenlik bi süreçmi, yoksa bir eylem mi....?
2 - Kaşarlı çorba gönderdikten sonra,üzerine dansöz oynatmak" Sizce ne kadar doğru olabilir.... ?
Kerem ÇELİKER
Hiç yorum yok:
Yorum Gönder