Deloitte Türkiye   Deloitte Türkiye
Global > Türkiye > Basın Odası > Basın Bültenleri    
Finans Kuruluşları BT Güvenlik Sorunlarını Çözmekte Yavaş
Deloitte’in “2007 Küresel Güvenlik Araştırması” açıklandı
Yayınlandı: 20/9/07

Dünyanın önde gelen 100 finans kuruluşunun katıldığı Deloitte’un “2007 Küresel Güvenlik Araştırması”nın sonuçlarına göre, bilgi sistemlerine karşı tehditler artarak devam ediyor. Kurumlar en fazla müşteriler ve çalışanlar kanalıyla ortaya çıkan güvenlik ihlallerinden endişe duyuyor. Katılanların %57’si son 12 ay içinde bir güvenlik ihlali ile karşılaştığını ifade etti. %98’i güvenlik bütçelerini arttırdıklarını belirtirken, yatırımın yeterli olduğunu düşünenlerin oranı %35’te kaldı. Bilgi sistemlerindeki güvenlik sorunlarına yönelik bilinç artıyor, ancak çözüm çalışmaları yavaş ilerliyor.

20 Eylül 2007, İstanbul – Finansal hizmet kuruluşlarında bilgi güvenliği sorunlarını inceleyen Deloitte “2007 Küresel Güvenlik Araştırması”nın sonuçları açıklandı. Rapora göre, müşteriler ve çalışanlar üzerinden gerçekleşen güvenlik ihlalleri kurumların temel kaygısını oluşturmaya devam ediyor. Bir çok finans kuruluşu bu alanda yeni yatırımlar yapacağını açıkladı. Ancak katılımcıların çoğu bu yatırımları yetersiz buluyor.

2003’ten bu yana her yıl yapılan araştırmaya katılan finansal hizmet kurumlarının %57’si son 12 ay içinde bir güvenlik ihlali ile karşılaştığını, %98’i de güvenlik bütçelerini arttırdıklarını ifade etti. Bununla birlikte, katılımcıların sadece %35’i yapılan yatırımların yeterli olduğu görüşünü savundu. Bu rakamlar, finans kuruluşlarının bir şeyler yapmak gerektiği konusunda görüş birliği sağlamaya başladıklarını, ancak güvenlik alanındaki sorunları düzeltmek için yeterli kaynak ayırmadıklarını ortaya koydu.

Küresel düzeyde katılım
Deloitte’un araştırmasına dünyanın önde gelen 169 finans kuruluşu katıldı. Araştırmaya katılımın %31’ini Türkiye’nin de içinde bulunduğu Avrupa, Orta Doğu, Afrika, %12’sini ABD, %7’sini Kanada, %5’ini Bağımsız Devletler Topluluğu (Eski Sovyetler Birliği), %23’ünü LACRO (Latin Amerika ve Karayipler), %8’ini APAK (Japonya hariç Asya Pasifik) ve %14’ünü Japonya’dan katılan kuruluşlar sağladı.

“Doğru yönde atılmış adım”
Bir yandan bilgi sistemlerindeki güvenlik sorununu herkes kabul ederken, bir yandan da bu konuda çözüm için yeteri kadar yatırım yapılmamasının bir çelişki olduğunu hatırlatan Deloitte Türkiye Kurumsal Risk Hizmetleri Kıdemli Müdürü Fatih Emiral şöyle devam etti:
Her şeye rağmen sorunun tespit edilmiş olması doğru yönde atılmış bir adımdır. Araştırmanın en önemli sonuçlarından biri budur. Finans kuruluşları boşlukları kapatmak yönünde ilerliyorlar. Güvenlik eğitimi, bilinç artırma çalışmaları, çalışanların, müşterilerin ve tedarikçilerin sisteme girişlerinin ve kimliklerinin yönetimi, veri koruması gibi konular bu yıl kurumların gündemlerinde üst sıralarda yer alıyorlar. Tehditler arttıkça, şirketler de bunlarla mücadeleyi yoğunlaştırıyorlar. Bilgi sistemlerinin geliştiği ve on line çözümlerin giderek yoğunlaştığı ülkemizde de güvenlik tehditleri artıyor. Bu konuda finans kuruluşlarımızın yeni ve kapsamlı stratejiler hazırlaması ve uygulaması gerekiyor. Deloitte olarak bu alandaki uzmanlığımızı şirketlerimizin ve kurumlarımızın hizmetine sunmaya hazırız.

Üst yönetim soruna yeterince sahip çıkmıyor
Araştırmanın en ilginç sonucu ise, tehditlerin çeşitliliğinin ve boyutunun arttığını kabul eden üst yönetimlerin bu konuya yeterince sahip çıkmamaları oldu. Üst yönetimler güvenlikten sadece BT profesyonellerini sorumlu tutuyorlar.

Ancak bu yaklaşımın değişme yolunda olduğunu gösteren veriler de bulunuyor. Katılımcıların Japonya’da %71’i, ABD’de ise %89’u bilgi güvenliği sorununun artık şirketlerin üst yönetim seviyesine çıktığını düşünüyor. Ayrıca yanıt verenlerin %57’si bilgi güvenliğinin yönetim kurulu, %66’sı ise icra kurulu tarafından ele alınması gerektiği görüşünü benimsiyor.

En önemli güvenlik konuları
Finans kuruluşları, sistemleri kullanan müşterilerin ve çalışanların yol açtığı güvenlik ihlallerinden özellikle endişe duyuyorlar.

Müşterileri sahte e – postalar ve web siteleriyle aldatarak hassas bilgileri ele geçiren “phishing” ve bilgisayara kötü niyetli bir kod yerleştirerek bilgisayardaki host dosyalarını yasadışı web sitelerine yönlendirmek anlamına gelen “pharming” gibi yöntemler hala yaygın olarak kullanılıyor. Ancak buna rağmen, finans kuruluşları müşterilerinin bilgisayarlarını güvenli kılacak desteği sağlamaya yanaşmıyor. Bunun için yapılması gereken yatırımın büyüklüğü de kurumlar açısından caydırıcı oluyor.

Müşterilerin yanı sıra, çalışanların kasıtlı veya istemeden yaptıkları hatalar da şirketleri endişelendiriyor. Katılımcıların %91’i en büyük endişelerinin çalışanlar olduğunu belirtirken, %79’u bilgi güvenliği ihlallerinin temel nedenini insan unsuru olarak belirledi. Ancak çalışanlardan kaynaklanan ihlalleri en büyük kaygı olarak vurgulayan katılımcıların %22’si son bir yıl içinde çalışanlara yönelik güvenlik eğitimi gerçekleştirmediğini kaydetmesi de dikkat çekti.

Dünyanın önde gelen finans kuruluşlarının üst düzey yöneticileri güvenlik açısından önem taşıyan bazı noktaları şöyle sıraladılar:

  • Erişim ve kimlik yönetimi: Küresel düzeyde %50 ile en yüksek oranda önem verilen bu konu, mali kurumlarda kimlerin hangi bilgilere ne kadar süreyle girebileceğinden, içeriden ve dışarıdan izinsiz erişimlere kadar uzanıyor. İzinsiz erişimlere, müşterilerin kandırılması kadar, içeriden çalışanların kasıtlı yaptıkları kural dışı erişimler, unutkanlıklar veya hatalar da neden olabiliyor.
  • Güvenlik Kuralları Uyumu: Katılımcıların %49’u güvenlik kurallarının bugüne kadar geliştirildikleri biçimlerde yeterli olmadığını belirtiyorlar. Finans kurumları yazılımlardaki güvenlik önlemlerini artık sürekli elden geçirmek durumundalar. İnternet ve diğer harici erişim ağlarına gittikçe daha çok gereksinme duyan bu kurumlar, kullandıkları yazılımlarda ve mali işlemlerde güvenliğin sağlandığından emin olmak istiyorlar.
  • Güvenlik eğitimi ve farkındalık: Katılımcıların %48’i bu konuyu en öncelikli gündem maddesi olarak ifade ediyor. Ancak eğitim çalışmalarında sadece çalışanlar dikkate alınıyor, güvenlik ihlallerinin diğer bir önemli kaynağı olan müşterilere yönelik eğitim planlanmıyor. Yapılan eğitimler de son derece jenerik ve genel içeriklere sahip bulunuyor. Eğitilenlerin ihtiyaçlarına uygun bilgiler ve örnekler yetersiz kalıyor.
  • Güvenlik için Yönetişim: Çalışmaya katılanların %37’si güvenlik alanında yönetişimi ön plana çıkartıyor. Bilgi güvenliği artık teknoloji odaklı bir konu olmaktan çıkıyor. Güvenlik, artık kamuoyunu ve diğer paydaşları da ilgilendiren, kurumun performansına ve hedeflerine ulaşmasını etkileyen temel yönetim konularından biri haline geldi. Bilgi Güvenliği Yönetişimi ilkelere ve sorumluluklara dayanan, teknolojilerin kullanımında arzulanan davranışların egemen olduğu bir zemin üzerinde gerçekleşiyor. Katılımcıların %81’i böyle bir yapılanmalarının olduğunu belirtirken, %18’i de bunu kurmak için çalışma yaptıklarını bildirdiler.
  • Felaketten sonra toparlanma ve iş sürekliliğinin sağlanması: Katılan kurumların %37’si güvenlik alanında bu konuya öncelik veriyor. Hiçbir kurum güvenlik risklerine karşı bağışıklık taşımıyor. Bir kurumun riske karşı stratejisi, kârlı bir büyümeye yardımcı olacağı gibi, başarılı bir büyüme stratejisinin felç olmasına da yol açabilir. Finans kuruluşlarının bilgi sistemlerinin risklerine karşı kendilerini korumak ve faydalarından yararlanmak için çalışmak arasında bir denge bulmaları gerekiyor.

Deloitte hakkında
Denetim, vergi, yönetim danışmanlığı ve kurumsal finansman hizmetlerinde dünyanın en büyük kuruluşlarından biri olan Deloitte, yaklaşık 140 ülkede, 150 bin personeli ile faaliyet gösteriyor. Deloitte’un dünya çapında 2006 yılı cirosu 23 milyar dolardır.

İleri teknoloji kullanan, değişik alanlardaki bilgi ve becerilerini bir araya getiren Deloitte, dünya çapındaki tüm müşterilerine aynı yüksek kaliteli hizmeti sunmayı ilke edinmiştir. Dünyanın en büyük şirketlerinin yarıdan fazlasına ve büyük ulusal teşebbüslere, kamu kurumlarına, ulusal devlere ve küresel çapta hızla büyüyen şirketlere hizmet veren Deloitte, birçok gelişmekte olan pazarda da liderliğini sürdürmektedir.

Türkiye’de çalışmalarına 1986 yılında başlayan Deloitte faaliyetlerini İstanbul ve Ankara’da 900’e yakın çalışanıyla sürdürüyor. Deloitte Türkiye’de denetim, vergi, yönetim danışmanlığı, kurumsal finansman ve kurumsal risk alanlarında hizmet vermektedir.
Bu konu hakkında daha fazla bilgi için
 
Kaynak: Deloitte Türkiye - Türkiye (Türkçe)

Sayfayı bastır    E-Posta
  Güvenlik | Yasalara uygunluk | Gizlilik    

©2008 Deloitte Touche Tohmatsu. Her hakkı saklıdır.
Deloitte; bir veya birden fazla, ayrı ve bağımsız birer yasal varlık olan, İsviçre mevzuatına göre kurulmuş Deloitte Touche Tohmatsu'ya ve üye firma ağına atfedilmektedir. Deloitte Touche Tohmatsu ve üye firmalarının yasal yapısının detaylı açıklaması için lütfen www.deloitte.com/about adresine bakınız.

Deloitte Türkiye RSS