"Fins.az" "GPOLICY" MMC şirkətinin Biznesin İnkişafı üzrə Meneceri Nofəl Qurbanovun müsahibəsini təqdim edir.
GPOLICY şirkətinin əsas fəaliyyət istiqamətləri nədir?
GPOLICY şirkətinin əsas fəaliyyət istiqamətləri kibertəhlükəsizlik, biznesin dayanıqlığının təmin olunması və nağdsız ödəniş alətlərinin tədbiqidir.
Bizim hədəfimiz ölkəmizə yeni innovativ həllər gətirərək biznes subyektlərinin, eləcə də dövlət və özəl sektor, maliyyə institutlarının stabil, kəsintisiz fəaliyyətini təmin etməkdir.
İş yerlərinin qorunması, server mühitinin qorunması, ödəniş tranzaksiyalarının qorunması kimi həllər və xidmətlərimiz var.
Şirkətlərin kibertəhlükəsizliyinin təmin olunmasını indiki dövrdə necə qiymətləndirirsiniz? Onlar tərəfindən bu məsələyə diqqət artırılıbmı?
Şirkətlərin, eləcədə dövlət müəssisələrinin, maliyyə institutlarının və ümumilikdə nəhəng şirkətlərin son 2 ildə dünyada baş verən hadisələrlə bağlı kibertəhlükəsizliyin təmin olunmasında böyük ehtiyyacları yaranıb. Bununla bağlı artan risklər, yeni nəsil kiberhücumlar, biznes itkiləri, iş yerlərinin zəifliklər kimi kifayət qədər mühüm olan amillər formalaşmışdır. Hazırda bu tendesiyada artım müşahidə edilir. Müəssisələr bu sahəyə daha çox diqqət ayırmağa çalışırlar. Get-gedə müəssisələr yeni layihələrdə büdcənin 10% -ni sırf kibertəhlükəsizlik həllərinə ayırırlar. Bu düzgün yanaşmadır. Biznes prosesslər, qoyulan investisiyalar vaxtında qorunmalıdır.
Təhlükəsizlik auditinin aparılması ilə bağlı müraciətlərin sayı son bir il ərzində nəqədər artıb?
Təhlükəsizlik auditinin aparılması ilə bağlı müraciətlərin sayında son bir il ərzində artım müşahidə edilir. Şirkətimizə daxil olan sorğular, bizim auditorların apardığı İnformasiya Təhlükəsizliyi Yoxlamalarının (IT Security Audit) göstəricilərinə əsaslanaraq bu nəticəyə gəlmək olar.
İnformasiya Təhlükəsizliyi Yoxlamaları müəssisələrin daxilində, xarici perimetrindən baş vermiş, indi və gələcəkdə baş verə biləcək risk faktorların müəyyən olunmasından ibarətdir.
İndiki kritik vəziyyəti nəzərə alaraq əminliklə deyə bilərik ki, yaxın 2 il ərzində auditlərin sayında hər il olmaqla 20% artım müşahidə edəcəyik.
Biz tərəfdən keçirilən İnformasiya Təhlükəsizliyi Yoxlamaları zamanı istənilən növ infrastrukturda boşluqlar aşkarlanır. İdeal infrastruktur yoxdur. Audit rəyi əsasında biz öz tövsiyələrimizi veririk. Tövsiyələr həllər və xidmətlərdən ibarət ola bilər.
Həllər OpenSource Solutions (Açıq mənbə koduna əsaslanan həllər) və ya Enterprise Solutions (Daha çox qapalı mənbə koduna əsaslanan korporativ müəssisə həlləri) ola bilər. Seçim daha çox müştərinin büdcəsi və biznes risk faktorlarından asılıdır.
Sahə üzrə qanunvericiliyi necə qiymətləndirirsiniz? Bu sahədə kibertəhlükəsizlik strategiyasının qəbulunun gecikməsini nə ilə əlaqələndirirsiniz?
Bildiyimiz kimi kibertəhlükəsizlik sahəsində əsas rolu insanlar oynayır. Qabaqcıl həllərin düzgün tətbiq edilməsindən başlayaraq, müəssisənin infrastrukturunun təhlükəsizliyini daimi aktual saxlamağa qədər, savadlı, təcrübəli mütəxəssislər vacibdir. Bununla bağlı yüksək ixstisaslı peşəkarlar lazımdır. Bir sıra inteqrator və ya sifarişçi şirkətlər sadəcə hər hansı bir kibertəhlükəsizlik həllinin əldə olunub tətbiqi ilə kifayətlənirlər. Lakin reallıq o deyil, çünki düzgün tətbiq olunması, daimi yenilənməsi, düzgün istifadəsi, və aktual saxlanılması davamlı olaraq təmin edilməlidir. Bir dəfə hər hansısa bir həll alınır, tətbiq olunur və unudulur. İnteqrator bilmir və ya sifarişçiyə reallığı çatdırmır, yekunda sifarişçi öz biznesinin təhlükəsiz olduğunu zənn edir.
Şirkət olaraq sizdə bu sahədə strategiyanız nədən ibarətdir?
Bizim şirkətin bu sahədə strategiyası kibertəhlükəsizlik həllərinin düzgün tətbiqidir.
Bizim hər bir işimizdə yanaşmamız üç baza prinsip üzərində qurulub :
- Dürüstlük
İnteqrator və sifarişçi arasında etibarlı münasibətlərin qurulmasının təməlidir. - Keyfiyyət
İnteqrator və sifarişçi arasında görülən işin şəffaflığı, dünya təcrübəsinin dürüst çatdırılması və həqiqətən də təqdim edilən həllərin düzgün tətbiqidir. - Stabillik
İnteqrator və sifarişçi arasında yaranan biznes münasibətlərin əsaslı, tutarlı və davamlı olmasıdır.
Biznesinizi bizə tam etibar edə bilərsiz.
Dünyada baş verən münaqişələr kibertəhlükəsizliklə bağlı məsələləri də aktuallaşdırır?Belə olan halda istər hökumət istər özəl sektor hansı çağırışlara hazır olmalıdır? Daxili sistemlərin auditi hansı tezliklə mütəmadi keçirilməlidir?
Əlbəttə təsir qaçılmazdır. Dünyada heç bir faktor təsirsiz keçmir. Onun təsiri birbaşa və ya dolayı olmaqla ya indiki zaman, yada gələcək zamanda təsir edir.
Misal üçün, qlobal pandemiya dövrü ərzində çox az təşkilat öz əməkdaşlarını məsafədən işləmək üçün uzaqlaşdırılmış iş yerinin təhlükəsizliyini təmin edə bildi. Bunun üçün az sayda müəssisədə BYOD (Bring Your Own Device – bu, əməkdaşların iş yerlərinə qoşulmaq üçün öz şəxsi cihazlarından qoşulması üçün müəssisə tərəfindən tətbiq edilən informasiya təhlükəsizliyi qaydasıdır) siyasəti tətbiq olunmuşdur və ya tətbiq edilən siyasət texniki təchizat baxımından realizasiya olunmamışdır. Endpoint Protection (iş yerinin təhlükəsizliyini təmin etmək üçün nəzərdə tutulan həll) əksəriyyət şirkətlərdə mövcud deyildi.
Dövlət və özəl sektor informasiya təhlükəsizliyi yoxlamasından mütəmadi keçməlidir, çünki reallıq bilinməlidir.
Müəssisələr nə qədər bu işdən kənar dursalar bir o qədər bilinməz təhlükələrlə rastlaşa bilərlər. Elə müəssisələrdə var ki ümumiyyətlə təhlükəsizlik siyasəti (Security Policy) yoxdur, eləsi də var ki, təhlükəsizlik siyasəti var, amma tətbiq olunmayıb və ya düzgün tətbiq olunmayıb. Cürbəcür hallarla rastlaşırıq. Müəssisələrin informasiya təhlükəsizlik siyasəti mövcud reallığı əks etdirməyə bilər. Məhz bunun üçün sözügedən yoxlama (audit) olmalıdır.
Daxili sistemlərin informasiya təhlükəsizlik auditi ən azı ildə 2 dəfə keçirmək, ilin ortasında pre-audit (nöqsanlar aşkarlanır) və yarım il ərzində mümkün qədər aradan qaldırılır, ilin axırına yaxın yekun audit keçirilir. Bu dünya təcrübəsidir və özünü doğrultmuş yanaşmadır. Yoxlama zamanı müştərinin istəyi ilə pentest (zəifliklərin aşkarlanması) xidmətini təqdim edirik.
Bankların və digər maliyə qurumlarının dayanıqlığını necə qiymətləndirirsiniz? Daxili bazarda kibertəhdidlərə məruz qalması ilə bağlı, səs sala biləcək hadisə son bir ildə baş veribmi?
Ölkədaxili müəssisələrin kibertəhlükəsizlik yanaşmasını və dayanıqlığını qənaətbəxş hesab etmək olar. Lakin bu daha çox rəqəmsallaşmaya üz tutan müəssisələrə aiddir. Baş vermiş hadisələr biznes risklərini nəzərə almaqla hər bir müəssisədə qapalı qalır.
Tövsiyə olaraq müəssisələr daha çox kibergigiyenaya diqqət ayırmalıdırlar. Ən zəif bənd olaraq yenədə insan risk faktorudur. Çox sadə bir (büdcə tələb etməyən) təlimatlar var ki, Clean Screen Policy (İşçi stansiyasının virtual desktop-unda həssas məlumatların saxlanılmaması qaydasıdır) və ya Clean Desktop Policy (İş yerində həssas məlumatların kağız daşıyıcılarda olarkən göz qabağında olmaması qaydasıdır. Misal üçün istifadəçi adını və şifrəni sticker-lərdə yazaraq monitorun aşağısına yapışdırmaq təhlükəlidir və ümumiyyətlə düzgün deyil.). Bu cür sadə qaydalar təlimat şəklində istifadəçilərə çatdırılmalı və o qaydaların riayət olunması ilə bağlı mütəmadi monitorinq keçirilməlidir.
Şifrə siyasəti, onun tətbiqi və aktual saxlanılması istənilən müəssisənin başağrılı məsələsidir. Bizim baxışımız şifrəsiz (Passwordless) gələcəyə doğrudur.
Yekunda demək istədiyimiz odur ki, işi peşəkarlara vermək lazımdır.