Dr.Hannes Lubich, CADay toplantısı sırasında yaptığı sunumda, güvenliğin ilk dönemde, silahlar, kapılar ve bekçilerle sağlandığını, zaman içinde cevap verici (reactive) sürece geçildiğini, daha sonra güvenlik kavramlarının oturmaya başladığını, bugün ise önceden tedbir alan (Proactive) yöntemin gündemde olduğunu belirtti.
Güvenliğin, bölüm bölüm sağlanmasının yani bütün olarak görülmemesinin yaratacağı risklere dikkati çeken Lubich, Şirketlerin güvenlik uzmanlarının genel olarak şikayetlerini;
- Açıkları kapatmak zor çünkü yama yönetimi pahalı ve spam de verimliliği düşürüyor.
- Tüm kullanıcı hesaplarını yönetmek masraflı
- Çok fazla veri var ve bunların detayı hakkında bilgi az
- Yasal düzenlemelerin getirdiği sınırlamalar (Basel II, Bilgi Gizliliği, HIPAA, Sarbanes-Oxley)
olarak özetliyor. Kimlik yönetimi (identity management) konusundaki sorunların;
- Maliyet
- Kim, nereye erişebiliri belirlemekte zorluk
- Yardım Masası Maliyetleri
- Farklı uygulamaların güvenliğinin tek elden yönetimi
- Yasal düzenlemelere yönelik zorluklar
olduğunu belirtiyor. Önceden tedbir almak olarak adlandırabileceğimiz proactive yöntemlerin maliyetleri azalttığına, verimliliği (en azından kesintiyi engelleyerek) arttırdığına, iş sürekliliği sağladığına dikkati çekerken, bazen de güvenlik sağlamak adına işlerin engellenebileceği kadar tedbir almanın da doğru olmadığını söylüyor.
Günde ortalama 800.000 güvenlik olayının oluştuğu Atina Olimpiyatları’nın güvenliğinin CA tarafından sağlandığını belirten Dr.Hannes Lubich, CA’in güvenlik çözümünün, tam bir entegrasyon sağladığını ve IBM, Symantec, EMC, Legato, Sun, Compuware, Serena, Cybermotion gibi bir çok firmanın tek tek verdiği çözümleri, tek elden verebildiklerini ifade ediyor. Dr.Lubich ile genel güvenlik kavramları üzerine sohbet ettik.
turk-internet.com :Güvenlikte “İnisiyatifi Ele Alan (Proactive)” yaklaşım ne anlama geliyor?
Dr.Hannes Lubich – CA İsviçre : Organizasyonlar güvenlik konusunda genellikle “cevap verici (reactive)” bir davranış içindedirler. Yani bir şey olduğunda çözüm bulmak gibi. Oysa Bilgi işlem yöneticileri (CIO) riskleri bir şey olmadan görmelidirler.
Ancak proactive güvenlik, bir şey yapmadan güvenlik uygulamaları almak demek değil. Böylesine bir yaklaşım, bir şey yapılmaması ile aynı değerdedir. Proactive yaklaşım için portların takibi, firewall loglarının incelenmesi ve nereden saldırı gelebileceğini tespit etmek demektir.
turk-internet.com : Sunumunuzda bir de “Accountability” sözcüğünü vurguladınız. Bununla neyi kastediyorsunuz.
Dr.Hannes Lubich Yapılan işin basit olması, yasal düzenlemelere uygun olması ve sorumluluğun alınması gerekli. Güvenlik ne yaptığını ispatlamalı. IT Yönetimi (IT Governence) ne yaptığını ve ne yapmak istediğini bilmeli. Yaptığını da gösterebilmeli.
turk-internet.com : CA olarak, Türkiye koşullarını inceliyor ve uygun olanı uyguluyor musunuz?
Dr.Hannes Lubich : Tabi ki, her ekonomiye uygun sistemi uygulamak lazım. Türkiye’yi de analiz ettik. ABD’de büyük şirketlere yönelik davranıyoruz. Burda ise ekonomi daha küçük ve biz küçük-orta ölçekli firmalara uygun sistemleri öneriyoruz. Daha kolay uygulanabilir ve anlaşılabilir sistemler.
Ülkelerin durumu analiz edildiğinde 2 husus dikkati çekiyor;
- Referans Fiyat :
- Yazılımın boyutu
CA’in güvenlik ürünleri çok küçük firmalara da uygulanabiliyor. Çok büyük firmalara da. Bu nedenle de lisans bazlı, konfigurasyon bazlı fiyatlandırması var.
turk-internet.com : Güvenlik konusunun geleceğini nasıl görüyorsunuz?
Dr.Hannes Lubich : İyi olan şey; “farkındalık (awareness)” artıyor. Ama yeni teknolojilerin bu işleri nasıl yapacağı konusu soru işareti.
Bizim neslimiz, bu olayın ancak “neyin, ne olduğu” kısmını anlayabiliyor. Bunu kara ulaşımı ile örnekleyeyim. Arabaların üretildiği ilk yıllarda amaç, arabayı yollara koymak oldu. Sonra arabalar çarpışınca anlaşıldı ki işaretlere ihtiyaç var. Daha sonra trafik polislerine ihtiyaç olduğu ortaya çıktı ve yolların kuralları belirlendi. Bu da böyle bir şey, daha çok başındayız.
Zaman içinde hangi teknoloji öne geçecek, neler önem kazanacak göreceğiz. Hatırlayın SMS teknolojisi ilk dönem sadece teknisyenlerin birbirleri ile haberleşmeleri amaçlı bir şeydi. İnsanlar “Puhhh… text bazlı mesajlaşma ile kim ilgilenir?” diyorlardı ama şimdi milyon, milyar $’lık bir endüstri oldu. Yine görüntüşü telefonları hatırlayın. Çok iddialı bir teknolojiydi ama tutmadı. İlk zamanlar kalite sorunu sanıldı ama değildi. İnsanlar sabah uyandıkları halleriyle telefonda görülmek istemiyorlardı ve teknoloji tutmadı. Gördüğünüz gibi hangi teknolojinin öne geçeceği ya da hangisinin reddedileceği, önceden bilinemeyebiliyor.
turk-internet.com : CA’nin araştırmaya büyük meblağlar ayırdığını söylediniz. Bir nedeni de bu mu?
Dr.Hannes Lubich : Araştırma pahalı bir şey ama Üniversiteler bunu yapmıyor. Çünkü devlet parasıyla ticari bir ürün üretemiyor. Daha çok araştırıyor. Prototip üretmeye sıcak bakmıyor. Şirketlerin bu nedenle geliştirme yapması gerekiyor. Üniversiteler bize sonuçları verir. Ürün veremezler. Biz de port, library, network ve işletim sistemlerinin güvenliği konularında nelere dikkat edilmesi gerektiği üzerinde çalışıyoruz.
Üniversiteler yeni algoritmalar üzerinde çalışırlar. Biz de Politeknik üniversitelerle işbirliği yaparız. İlginç projeleri alırız. Genellikle üniversitelerde geliştirilenler ücretsizdirler ama bazen biz de o bölümlere bağış yaparız. Bu arada Open Source Community’e de Ingress veri tabanını bağışlamıştık, hatırlarsınız.
turk-internet.com : Bir firma güvenlik çözümünü nasıl seçmeli?
Dr.Hannes Lubich : Firma önce ne istediğini, sorunun ne olduğunu belirlemeli. Sonra kaynaklarına (insan ve para) bakmalı. Bazen insanlar çözümden başlıyor. Yani şu yazılımı alalım diye düşünüyor. Oysa sorundan başlamak lazım. İhtiyacın belirlenmesi ve performansın bundan nasıl etkileneceğinin tespiti gerekir.
turk-internet.com : Bir de ilgi çekici bir ifadeniz var. IBM, Symantec gibi pek çok firmanın tek tek yaptığı işi biz entegre ve bir bütün olarak yapıyoruz diyorsunuz. Bunu açabilir miyiz? Sizin farkınız nedir? Neden onlar bütünü yapamıyor?
Dr.Hannes Lubich : Burdaki stratejik yaklaşım önemli. CA’ın 1 milyar $ nakit akışı var. Biz bir şirket aldığımız zaman hisse değişimi yapmayız, doğrudan nakit olarak şirketi alırız. Şirketimizde çok büyük bir danışmanlık bölümü ve deneyim var. İşte bu farklılığı yaratıyor. Örneğin IBM Tivoli’yi alalım ele. Dışarıdan baktığınızda Unicenter ile aynı işi yapıyor gibi. Ama bizdeki farklılık şu, sisteminizdeki yazılımlar ne olursa olsun, hepsi ile çalışır.
Örneğin Firewall alanına bakalım. Biz başladığımızda iyi firewall’lar zaten vardı. Bizim bu alana girmemiz vakit kaybı olacaktı. Firewall sektörü çok da kazançlı bir sektör ama onun yerine en iyi firewall’larla çalışan bir sistemimiz var. Güvenlik Komuta Merkezi (Security Command Center) bunu yapar.
Symantec’e bakarsak da, onlar küçük işletmeler konusunda çok tecrübeliler. Bizim tecrübemiz ise kurumsal sektörde.
Biz rakiplerimizin de ürünlerini alıp, “Güvenlik Kumanda Merkezi” içine yerleştiriyoruz. İyi olduğumuz ve entegre ediyoruz dediğimiz konu bu. Böylece müşterimiz güvenliğin şurasına daha ne konulmalı yerine kendi yazılımlarına yöneliyor ve maliyetlerini aşağıya çekebiliyor.
turk-internet.com : Atina Olimpiyatlarında günde 800.000 güvenik olayı raporlanıyordu dediniz. Bu rakamın detayını öğrenmek isteriz..
Dr.Hannes Lubich : Orada 100’lerce firewall, 2-3000 server ve 10.000 lerce kullanıcı bulunuyordu. Dolayısıyla, her hareket biliyorsunuz bir mesaj yaratıyordu. Her birinden log file’lar ulaşıyordu. Bunların herbirine bakmak mümkün değil. Senkronize edip, birleştirmek ve öylece bakmak lazım ki anlayabilesin “bir saldırı var mıdır?”. Orada pek çok hacker böyle dünyanın gözünün üstünde olduğu bir olaya karşı saldırıda bulunmaya çalıştı ama ciddi bir olay yaşamadık.
Gelecek 2 olimpiyadın yani İtalya kış olimpiyatları (2007) ve Çin olimpiyatlarının da güvenliği CA ile sağlanacak. Bizim farkımız toptan bakmak. genelde firewall uzmanları firewallara, network uzmanları networklerine ve server uzmanları da serverlarına bakar ama sonucu birleştirmezler.
Oysa, aynı datadan farklı insanlar farklı sonuçlar çıkarabiliyor. CA’ın tüm sistemi basit 1-2 grafik üretir. Bu kadar karışık bir sistemin bu kadar basit grafikler üretmesi pek çok kişiyi şaşırtır. Oysa bizim isteğimiz sadece “sarı” ya da “kırmızı” diye durumun ciddiyetinden haberdar olmak istemektir.
turk-internet.com : Son sorumuz; Güvenlikçi olmak isteyecek gençlere ne önerirsiniz?
Dr.Hannes Lubich : Kendilerine mutlaka önce bir teknik altyapı üzerinde eğitim seçsinler. Yanı sıra insan yönetimi önemli. İş yönetimi-proje yönetimi de bilmeleri gerekli. Güvenlik konusunda da sürekli kendilerini eğitmeliler. Bu konudaki gelişmeler bitecek gibi değil.

Kaynak : 