‘Sıfır Güven’ ilkesi Türkiye’de yerleşemedi
ÜRÜN DİRİER/ Zero Trust (Sıfır Güven) yaklaşımı, "asla güvenme, her zaman doğrula" prensibiyle modern siber güvenliğin en kritik yapı taşlarından biri olarak kabul ediliyor. Kullanıcı, cihaz, uygulama ya da ağ fark etmeksizin hiçbir varlığın varsayılan olarak güvenilir kabul edilmediği bu model, son yıllarda küresel ölçekte bir zorunluluk haline gelmiş durumda. Özellikle veri ihlallerinin, fidye yazılımlarının ve kimlik tabanlı saldırıların hızla arttığı bir dijital dünyada, Zero Trust artık yalnızca ileri seviye bir güvenlik tercihi değil; kurumsal sürdürülebilirliğin temel şartlarından biri olarak görülüyor.
Bulut bilişim altyapılarının yaygınlaşması, uzaktan ve hibrit çalışma modellerinin kalıcı hale gelmesi, SaaS tabanlı uygulamaların kurum içi sistemlerin yerini alması ve mobil erişimin standart bir çalışma biçimine dönüşmesi, geleneksel çevre (perimeter) güvenliği anlayışını büyük ölçüde işlevsiz kıldı. Bir zamanlar "şirket ağı içinde olan her şey güvenlidir" varsayımı üzerine kurulan güvenlik mimarileri, bugün dağınık, sınırları belirsiz ve sürekli hareket halindeki dijital ekosistemler karşısında yetersiz kalıyor. Zero Trust yaklaşımı ise tam da bu noktada, kimlik doğrulama, sürekli erişim kontrolü ve bağlamsal güvenlik ilkeleriyle yeni bir paradigma sunuyor.
Buna rağmen Türkiye'de Zero Trust mimarisinin yaygın, bütüncül ve olgun bir şekilde benimsenmediği açıkça görülüyor. Pek çok kurum Zero Trust kavramını teorik olarak tanıyor olsa da, uygulamada bu yaklaşım genellikle sınırlı çözümler, parça parça ürün yatırımları veya yalnızca "etiket" düzeyinde kalan projelerle sınırlı kalıyor. Oysa Zero Trust, tek bir ürün ya da yazılım satın alarak hayata geçirilebilecek bir güvenlik çözümü değil; kurumsal mimariyi, iş yapış biçimlerini ve güvenlik anlayışını kökten dönüştüren stratejik bir yaklaşım gerektiriyor.
Bu tablo yalnızca teknik bir eksiklikle açıklanamaz. Türkiye'de Zero Trust'ın yeterince yaygınlaşmamasının arkasında ekonomik kısıtlar, organizasyonel olgunluk seviyeleri ve kurum kültürüne yerleşmiş alışkanlıklar gibi birden fazla faktör bulunuyor. Kısa vadeli maliyet odaklı bakış açıları, güvenliğin hâlâ bir "gider kalemi" olarak görülmesi, silo bazlı BT yapıları ve değişime dirençli organizasyonel kültürler, Zero Trust dönüşümünün önündeki en büyük engeller arasında yer alıyor. Sonuç olarak, dijitalleşme hızlanırken güvenlik mimarilerinin bu hıza ayak uyduramaması, kurumları giderek daha kırılgan bir yapıya sürüklüyor.
TÜRKİYE'DE İŞ DÜNYASI İLE YAPISAL ZITLIK İÇİNDE
Dijital dönüşüm, bulut bilişim ve uzaktan çalışma modellerinin eski sınırları ortadan kaldırdığını belirten Seccops Genel Müdürü Mustafa Haluk Kuşçuoğlu, "Kimlik merkezli erişim yönetimi (IAM) yaklaşımı benimsenmeye çalışıldığında zorlu bir süreçle karşı karşıya kalınıyor. Eskiden günümüze taşınmış olan 'legacy' sistemlerde bu entegrasyon mümkün olamamakta. Belki de tüm ağ topolojisini sil baştan yapılandırmak gerekecektir. Bunu mümkün kılmak adına girişilen modernizasyon projeleri kaçınılmaz halde büyük miktarda bütçe maliyetlerini de beraberinde getiriyor. Dönüşümdeki bir başka handikap ise Türk lirasının döviz karşısındaki hareketleridir. Zero Trust bileşenlerinin (ZTA, SDP, MFA) büyük çoğunluğu küresel pazar liderleri tarafından sunulmakta. Bu durum, çözümlerin lisanslama ve operasyonel maliyetlerini (OpEx) sürdürülebilir olmaktan çıkarıyor" diyor.
Türkiye iş dünyasında, kişilerin iş yapış yaklaşımının, Zero Trust (Sıfır Güven) mimarisini gerçekleştirme yolunda benimsenecek paradigmalarla yapısal zıtlık içinde olduğunu vurgulayan Kuşçuoğlu, "Bir işi tamamlarken en kısa süre içerisinde, en az katmandan geçerek sonuca varmak gibi eğilimler, tamamen Zero Trust felsefesine aykırı tutumlardır. Bu yapı, 'En Az Yetki Prensibi' (Principle of Least Privilege) üzerine kurulu bir sistemler bütünüdür. Personelin tabi tutulduğu erişim kısıtı ya da sürekli doğrulamaya maruz kalma hali; itibar kaybı veya işin yavaşlatıldığı iddialarına neden oluyor. Hiyerarşide yukarılara çıktıkça ilgili durumun itibar kaybı olarak yorumlanması örnekleri oldukça fazla" açıklamasında bulunuyor.
"DEVRİMSEL GEÇİŞTEN UZAK DURULMALI"
Bu durumda başarı sağlamak için hibrit bir yöntem benimsenmesinin kaçınılmaz olduğunu vurgulayan Kuşçuoğlu, şunları aktarıyor:
"Tek seferde devrimsel bir geçiş bilincinden uzak durulması önemlidir. Topyekun geçiş için planlama, hazırlık safhası, personel ve ekip mimarisindeki radikal değişiklikler gibi konular mevcut iş akışlarına balta vuracağı gibi ciddi bir efor ve zaman israfına da yol açabilir. Kademeli geçişler planlanmalı. Modüler geçişlerle hem efor hem de maliyetler rahatlıkla kontrol altında tutulabilmekte. Personel ise büyük bir değişime zor adapte olmak yerine küçük değişimlere ayak uydurabilecektir. Maliyet kontrolü sağlamak ve döviz etkisine çok kapılmamak adına da yerli IAM ve ağ geçidi çözümlerine yönelinebilir. Siber tehdit aktörlerinin sofistike hale geldiği ve içerideki tehdit (insider threat) kavramının büyüdüğü bir dünyada, geleneksel modellerle hayatta kalmak mümkün değildir. Bugün bu alana yatırım yapmamayı seçenek olarak görenler, yarın bu özgüvenin bedelini ekonomik ve itibar kayıplarıyla ödeyeceklerdir. Askerliğini yapmış olanlar bilir: Güven, tedbire mani değildir…"
KISA VADELİ BÜTÇE PLANLARINA KOLAYCA SIĞMIYOR
Zero Trust yaklaşımı, kurumların "içeride olan güvenlidir" varsayımını terk ederek kimlik, erişim ve sürekli doğrulama merkezli bir güvenlik modeli benimsemesini sağlıyor ve "asla güvenme, daima doğrula" anlayışını zorunlu kılıyor. Uzaktan çalışma, bulut servisleri, üçüncü taraf entegrasyonları ve artan tedarikçi bağımlılığının, kurum ağlarının sınırlarını belirsiz hale getirdiğini ifade eden Barikat Siber Güvenlik CEO'su Ramazan Çelik, "Bu ortamda Zero Trust; her kullanıcıyı, her cihazı ve her erişimi sürekli doğrulama prensibiyle ele alarak riskin yatayda yayılmasını engellemeyi ve olası ihlallerin etkisini sınırlamayı hedefliyor. Günümüz siber tehditlerinin büyük bölümü kimlikler üzerinden ilerlediği için Zero Trust artık ileri seviye bir siber güvenlik yaklaşımından ziyade, kurumlar için temel bir güvenlik gereksinimi haline gelmiş bulunuyor" diyor. Buna rağmen Türkiye'de Zero Trust yaklaşımının beklenen hızda benimsenemediğini ve bu durumun tek bir nedene indirgenemeyecek çok katmanlı bir tabloya işaret ettiğini vurgulayan Çelik, "Ekonomik faktörler bu tablonun önemli bir parçası olsa da, tek başına belirleyici değil. Birçok kurumda siber güvenlik yatırımları hâlâ reaktif bir bakış açısıyla ele alınıyor; ihlal yaşandıktan sonra aksiyon alma eğilimi, mimari dönüşüm gerektiren yaklaşımların ertelenmesine yol açıyor. Zero Trust ise tek seferlik bir ürün alımı değil, süreçlerin, yetkilendirme modellerinin ve operasyonel alışkanlıkların yeniden ele alınmasını gerektiren bir dönüşüm olduğu için kısa vadeli bütçe planlarına kolayca sığmıyor" diye konuşuyor.
Kültürel ve organizasyonel faktörlerin de bu noktada belirleyici rol oynadığının altını çizen Çelik'e göre, Türkiye'de birçok kurumda BT ve siber güvenlik ekipleri uzun yıllar boyunca ağ güvenliği, VPN ve segmentasyon gibi yaklaşımlar üzerine inşa edilmiş altyapılarla çalıştı. Zero Trust'ın merkezine yerleştirdiği kimlik, bağlam ve sürekli doğrulama kavramları ise yalnızca teknolojik değil, aynı zamanda karar alma ve yetki paylaşımı kültüründe de bir değişim gerektiriyor. "Yetkiyi minimumda tutma" prensibi, iş birimlerinde operasyonel hız ve kullanıcı deneyimi kaygıları nedeniyle zaman zaman dirençle karşılanabiliyor.
Bu noktada bulut dönüşümünün, Zero Trust ve özellikle Zero Trust Network Access (ZTNA) teknolojilerinin benimsenmesini hızlandıran önemli bir katalizör olarak öne çıktığını ifade eden Çelik, "ZTNA, klasik VPN yaklaşımlarının aksine uygulama düzeyinde güvenli erişim sunduğu ve kimlik temelli kontrol mekanizmalarını doğal olarak desteklediği için bulut servislerine geçen kurumlar tarafından daha kolay ve hızlı şekilde hayata geçirilebiliyor. Bulut altyapılarının esnek yapısı, merkezi politika yönetimi ve sürekli doğrulama prensipleriyle uyumlu bir zemin sunarken, buluta geçişin hızlanması ZTNA pazarının büyümesini de doğrudan etkiliyor. Bu nedenle Zero Trust'ın yaygınlaşması, büyük ölçüde kurumların bulut stratejileriyle paralel ilerleyen bir dönüşüm süreci olarak şekilleniyor" diyor.
KÜLTÜREL ENGELLER AĞIR BASIYOR
Doğuş Teknoloji Siber Güvenlikten Sorumlu Genel Müdür Yardımcısı Eray Gözener'e göre de Türkiye'de Zero Trust yaklaşımının yaygınlaşamamasının temel nedeni, bu kavramın bir zihniyet ve mimari dönüşüm yerine çoğu zaman tekil bir ürün veya teknoloji yatırımı olarak ele alınması. "Kurumlarımızda hâkim olan refleks, güvenlik duvarını güçlendirerek tehdidi belirli bir ağ sınırının dışında tutmaya dayanıyor. Ancak günümüz tehdit ortamında saldırganlar artık belirgin bir sınırı aşmaya çalışmıyor; kimlikleri, uygulamaları ve iş yüklerini taklit ederek en baştan meşru gibi hareket edebiliyor" diyen Gözener, özellikle Agentic AI teknolojilerinin hızla olgunlaştığı 2026 yılında, bir kullanıcıyı ya da servisi saniyeler içinde taklit edebilen saldırılarla karşı karşıya olduğumuza dikkat çekiyor. Böyle bir ortamda, güvenin ağ sınırları üzerinden tanımlanmasının sürdürülebilir bir güvenlik yaklaşımı olmaktan çıktığını vurgulayan Gözener, "Türkiye'de pek çok kurum, Zero Trust uyumlu bir yazılım satın aldığında dönüşümün tamamlandığını düşünüyor. Oysa Zero Trust; ağların mikro segmentlere ayrılmasını, kimliğin güvenliğin merkezine alınmasını, kimlik ve erişim yönetiminin bağlamsal ve dinamik hale getirilmesini ve operasyonel süreçlerin 'asla güvenme, her zaman doğrula' ilkesi doğrultusunda yeniden tasarlanmasını zorunlu kılan bütüncül bir güvenlik mimarisidir" açıklamasında bulunuyor.
Sıfır Güven ilkesinin ülkemizde yerleşememesinde kültürel engellerin ağır bastığının altını çizen Gözener'e göre, Türkiye'de iş dünyası büyük ölçüde "güven" ve "ilişki" temelli çalışıyor. Zero Trust ise doğası gereği sürekli doğrulama ve matematiksel şüphe istiyor. Yetki ve sorumluluk seviyesi ne olursa olsun, her kritik işlemin kimlik ve bağlam üzerinden yeniden değerlendirilmesi, pek çok kurumda hâlâ bir güvensizlik göstergesi ya da gereksiz bir kontrol katmanı olarak algılanabiliyor. Oysa modern tehdit ortamında bu yaklaşım, bir tercih olmaktan çıkıp kurumsal sürekliliğin temel koşullarından biri haline gelmiş durumda.
Diğer tarafta, tehditlere milisaniyeler içinde yanıt verilmesi gereken bir dünyada, kararların büyük ölçüde manuel onay akışlarına, e-posta trafiğine ve zaman alan koordinasyon süreçlerine bağlı olduğu yapılarla ilerlemeye çalıştığımızın da altını çizen Gözener, "Bu durum insanı devre dışı bırakmaktan ziyade, insan kararının gerçekten değer kattığı noktalarla, otomasyonun hız ve tutarlılık sağladığı alanların ayrıştırılmasını gerekli kılıyor. Zero Trust, insanı sistemin dışına iten bir yaklaşım değil; insan kararını daha anlamlı, daha bağlamsal ve daha yüksek seviyede konumlandıran bir güvenlik disiplinidir. Ama aynı zamanda, rutin ve yüksek hacimli risk senaryolarında, sistemlerin kendi kendine uyum sağlayabilmesini ve tutarlı tepkiler üretebilmesini bekler" diyor.
Ekonomik engeller olduğuna da işaret eden Gözener şunları paylaşıyor: "Sorun, yeni güvenlik teknolojilerinin maliyetinden ziyade, geçmişten miras kalan sistemlerin dönüşüm maliyeti. Türkiye'deki birçok büyük kurum hâlâ 15–20 yıllık, monolitik ve birbirine sıkı sıkıya bağlı sistemler üzerinde faaliyet gösteriyor. Bu yapıların, Zero Trust'ın gerektirdiği mikro segmentasyon ve kimlik merkezli mimariye evrilmesi ciddi bir modernizasyon yatırımı gerektiriyor. Pek çok kurum, bu görünmeyen ama kritik altyapı maliyetini üstlenmek yerine, mevcut riskle yaşamayı ya da geleneksel yöntemlerle geçici çözümler üretmeyi tercih ediyor."
İKİ TEMEL YANILGI
Siber güvenlik dünyasının son dönemde en çok konuşulan konularından biri, şüphesiz Zero Trust (Sıfır Güven) yaklaşımı. Ancak bu kavramın benimsenmesinin önünde, sektörde kafa karışıklığı yaratan iki temel yanılgı bulunduğunu vurgulayan WatchGuard Türkiye ve Yunanistan Kıdemli Satış Mühendisi Alper Onarangil ise, "Bunlardan ilki ve en yaygını; Zero Trust'ın herhangi bir üreticiden satın alınabilecek tek bir ürün olduğu düşüncesi. Oysa Zero Trust, bir ürünün ötesinde, stratejik bir süreç olarak ele alınmalı. İkinci yanılgı ise bu sürecin yalnızca BT ekiplerinin sorumluluğunda, teknik bir çalışma olduğu algısı. Tabii ki, işin içinde teknik gereklilikler ve uzmanlık isteyen pek çok detay yer alıyor. Ancak şirketlerin bu dönüşümü, bir süreç olarak ele alması ve tüm organizasyonu kapsayan bir süreç olarak değerlendirmesi gerekiyor. Büyük kurumsal yapılarda bu dönüşüm başlamış olsa da KOBİ'ler için konu hâlâ çok karmaşık ve maliyetli algılanıyor. Buradaki kilit nokta, süreci tek seferlik dev bir proje olarak görmek yerine, aşamalı bir yolculuk olarak planlamaktır. Parçalar halinde ilerlemek, benimsenmeyi ve uygulanmayı çok daha kolay hale getirecektir" diyor.
Türkiye'de Zero Trust yaklaşımının yerleşememesine neden olan ekonomik ve kültürel engellerin iç içe geçtiğine işaret eden Onarangil'in anlattıklarına göre, ekonomik açıdan bakıldığında, Zero Trust genellikle yüksek maliyetli bir model olarak düşünülüyor. Kimlik yönetimi, çok faktörlü kimlik doğrulama (MFA), cihaz durumu kontrolleri ve mikro-segmentasyon gibi bileşenler özellikle KOBİ'ler için karmaşık ve pahalı yatırımlar gibi görünebiliyor. Türkiye'deki ekonomik dalgalanmalar ve kur baskısı altında IT bütçeleri yönetilirken, şirketler genellikle sadece "mecburi" gördükleri güvenlik yatırımlarına odaklanıyor.
"KİMSEYE GÜVENME"
Çok büyük kurumları hariç tuttuğumuzda, KOBİ tarafında geleneksel sadece dışarıyı engelleme mantığı, daha kolay yönetilebilir ve ucuz bir çözüm olarak görülüyor. Zero Trust, her kullanıcıyı ve hatta içerideki trafiği bile sürekli denetlemeyi gerektirdiğinden, hem ürün ve lisans maliyetleri hem de bunu yönetecek nitelikli insan kaynağı ihtiyacı doğuruyor. Pek çok işletme için mevcut güvenlik duvarını yenilemenin, tüm mimariyi "sıfır güven" prensibine göre yeniden tasarlamaktan daha cazip olduğunu belirten Onarangil, "Ancak unutulmamalıdır ki bu yaklaşım, tasarruf sağlamanın aksine, risk satın almaya eş değerdir. Kültürel olarak ele alacak olursak, Zero Trust (Sıfır Güven) temelde kimseye güvenmemek üzerine kurulu bir felsefe. Ancak bizim toplumsal kültürümüze baktığımızda, birçok şey karşılıklı güven üzerine kurulu ve bu iki yaklaşım birbirine taban tabana aykırı. Bir yöneticinin veya kıdemli bir çalışanın erişim yetkilerini kısıtlamak ya da her adımda ondan kimlik doğrulaması istemek, teknik bir gereklilikten ziyade güvensizlik beyanı veya kişisel bir konu gibi algılanabiliyor. Günümüzde halen KOBİ'lerde yöneticilerin güvenlik duvarı kurallarını daha esnek yapılandırma, bilgisayarlarını çok faktörlü kimlik doğrulamadan hariç tutma gibi büyük güvenlik açıklarına sebep verebilecek uygulamalar sıkça yapılmaya devam ediyor. Oysa saldırganlar tam da bu ayrıcalıklı ve denetimsiz hesapları hedefliyor" açıklamasında bulunuyor.
İlkem ÖZAR / Kaspersky Türkiye Genel Müdürü
"Nitelikli siber güvenlikçilerin sayısı hâlâ sınırlı"
Pek çok kurum hâlâ çevre tabanlı güvenlik anlayışıyla tasarlanmış geleneksel (legacy) BT altyapıları üzerinde çalışıyor. Bu da sürekli kimlik doğrulama, mikro segmentasyon ve gerçek zamanlı izleme gibi Zero Trust prensiplerinin hayata geçirilmesini hem teknik açıdan karmaşık hem de maliyetli bir dönüşüm hâline getiriyor. Özellikle kimlik ve erişim yönetimi, uç nokta güvenliği ve görünürlük çözümleri için gereken yüksek başlangıç yatırımları, siber güvenlik bütçeleri sınırlı olan küçük ve orta ölçekli işletmeler için önemli bir bariyer oluşturuyor. Bununla birlikte, konunun yalnızca teknoloji ve bütçe ile sınırlı olmadığını da vurgulamak gerekir. Türkiye'de Zero Trust mimarilerini tasarlayabilecek ve operasyonel olarak yönetebilecek nitelikli siber güvenlik profesyonellerinin sayısı hâlâ sınırlı. Bu durum, kurumları dış kaynak kullanımına yönlendirirken toplam sahip olma maliyetini de artırıyor. Organizasyonel tarafta ise Zero Trust, ağ içindeki örtük güven anlayışından sürekli doğrulama esasına dayalı bir modele geçişi zorunlu kılıyor. Bu dönüşüm; kullanıcı deneyimi, operasyonel süreklilik ve iş yapış biçimlerinin değişmesi gibi endişeler nedeniyle hem çalışanlar hem de üst yönetim nezdinde doğal bir dirençle karşılaşabiliyor. Öte yandan, Zero Trust'ın teknik bir BT projesi olarak görülmesi de süreci yavaşlatan önemli faktörlerden biri. Oysa bu yaklaşım, insan kaynaklarından iş birimlerine kadar pek çok fonksiyonun dahil olduğu, üst yönetim sahiplenmesi gerektiren stratejik bir dönüşüm.
Erhan POLAT / Link Bilgisayar Ar-ge ve İnovasyondan Sorumlu Genel Müdür Yardımcısı
"Alışılmış hiyerarşik yapılarda dirençle karşılaşılıyor"
Zero Trust, işletmelerin kendi sınırları içinde veya dışında hiçbir cihaza ya da bireye otomatik olarak güvenmemesi ve erişim izni vermeden önce her şeyi sıkı bir şekilde doğrulaması gerektiği inancına dayanan bir güvenlik konsepti olarak tanımlanıyor. Bu yönüyle Zero Trust, bir mimariden çok bir zihniyet dönüşümünü temsil ediyor. Türkiye'de bu yaklaşımın yaygınlaşmasının önündeki temel engel, uzun yıllar boyunca "ağ içi güvenlidir" varsayımıyla şekillenen geleneksel güvenlik anlayışıdır. Kurumlar hâlâ çevre güvenliğine odaklı, tek katmanlı çözümlerle ilerlemeyi tercih edebiliyor. Ancak bulut, uzaktan çalışma ve mobil erişimin yaygınlaştığı günümüzde bu yaklaşım sürdürülebilir değildir. Ekonomik açıdan bakıldığında Zero Trust; altyapı, süreç ve insan kaynağı yatırımı gerektiren bir model. Kısa vadeli maliyet algısı ve oluşabilecek iş yükleri, bazı kurumların bu dönüşümü ertelemesine neden olabiliyor. Ancak asıl belirleyici faktör kültürel diyebiliriz. Yetki paylaşımı, sürekli kimlik doğrulama ve "varsayılan güven yok" prensibi; alışılmış hiyerarşik yapılarda dirençle karşılaşabiliyor. Önümüzdeki dönemde KVKK, veri egemenliği ve siber tehditlerin artan karmaşıklığı, kurumları Zero Trust'a daha hızlı yönlendirecek.
Can ERGİNKURBAN / ESET Türkiye Ürün ve Pazarlama Müdürü
"Zero Trust, ürün ya da yazılım değil, bir güvenlik felsefesi"
Türkiye'deki birçok kurum hâlâ güvenliği; firewall, antivirüs ve VPN üçlüsüyle "tamamlanmış" bir yapı olarak görüyor. Zero Trust ise bu yaklaşımı kökten reddeder. Bu kapsamda iç ağdaki hiçbir kullanıcı veya cihaz otomatik olarak güvenli kabul edilmez. Her erişim talebi kimlik, bağlam ve risk skoruna göre değerlendirilir. En önemlisi sürekli doğrulama ve izleme esastır. Zero Trust yalnızca bir ürün ya da yazılım yatırımı değil, bir güvenlik felsefesi olduğunun altını çizmemiz lazım. Türkiye'de ise güvenlik çoğu zaman "ürün satın alma" seviyesinde ele alınıyor; mimari ve süreç dönüşümü geri planda kalıyor. En iyi ürünü almanız ya da en doğru çözümü uygulamanız tek başına güvenliği sağladığınız anlamına gelmez. Zero Trust, kademeli ve ölçeklenebilir şekilde uygulanabilir. Yani kurumlar tek seferde tüm altyapıyı değiştirmek zorunda değildir. Buna rağmen Türkiye'de karar vericiler çoğu zaman kısa vadeli maliyetlere odaklanırken, uzun vadeli risk azaltımını göz ardı edebiliyor. Bu nedenle asıl engelin ya da benimsenmesindeki zorluğun kültürel ve organizasyonel alışkanlıklar olduğunu söylememiz yanlış olmaz. Bir diğer önemli konu insan kaynağı açığı ve yetkinlikler. Zero Trust mimarisi; mimari tasarım, politika yönetimi ve sürekli izleme gerektirir. Türkiye'de birçok kurumda güvenlik ekipleri operasyonel işlere boğulmuş durumda. Stratejik mimari tasarım için zaman ve kaynak ayrılamıyor ve Zero Trust konusunda deneyimli uzman sayısı sınırlı. Bu da kurumları "bildikleri ve alıştıkları" güvenlik modellerine bağımlı hale getiriyor.
Alev AKKOYUNLU / Laykon Bilişim Operasyon Direktörü
"Asla güvenme, her zaman doğrula"
Zero Turst, en yalın haliyle "Asla güvenme, her zaman doğrula" prensibine dayanır. İç veya dış ağ fark etmeksizin gerçekleşen her hareket potansiyel bir risk olarak değerlendirilir, her erişim isteği ayrı ayrı doğrulanır ve kullanıcılara sadece işlerini yapabilecekleri minimum yetkiler verilir. Türkiye'de bu yaklaşımın tam anlamıyla benimsenememesinin temelinde, bunun bir "dönüşüm" süreci olması yatıyor. Mevcut BT altyapısını Zero Trust mimarisine uygun hale getirmek, şirketler için hem operasyonel bir iş yükü hem de ciddi bir maliyet kalemi olarak görülüyor. Ülkemizdeki kurumlar genellikle güvenlik stratejilerinde köklü bir "dönüşüm" gerçekleştirmekten ziyade, mevcut yapıdaki delikleri kapatan "yama" çözümlerini tercih ediyor. Ancak Zero Trust, bir teknoloji yatırımı olmaktan öte bir zihniyet değişimidir ve bu değişimi yönetmek, eski alışkanlıkları ve sistemleri değiştirmeyi gerektirdiği için dirençle karşılaşılıyor. Zero Trust, ülkemizde genelde "Çok pahalı, sadece büyük global şirketlerin işi" şeklinde algılanıyor. Oysa uzun vadede daha uygun maliyetli oluyor. Güvenlik bütçeleri genelde reaktiftir. Bu durum, başımıza bir bela gelmeden önce genellikle yeterince önlem almadığımız anlamına geliyor. Siber saldırılar yaşandıktan sonra kuruluşların yatırım yapma konusunda daha cesur olduğunu gözlemliyoruz. Özellikle, "Ben bu parayı testi kırılmadan önce harcayacağıma kırıldıktan sonra yeni bir testi alırım" mantığı ön planda diyebiliriz.
Zero Trust mimarisi için gerekli yatırımlar…
• Kimlik ve erişim yönetimi (IAM, MFA)
• Cihaz durumu ve uç nokta görünürlüğü
• Ağ segmentasyonu
• Sürekli loglama ve davranış analizi
• Güvenlik ekipleri için operasyonel yetkinlik