Şirketler, siber güvenlik önlemleri alırken öncelik odaklı bir yaklaşımla zayıf noktalarını tespit etmeli ve şirket içi sorumlulukları belirlemeliler.
Hızla değişen iş dünyasında siber saldırılar şirketlerin karlılığını, itibarını ve yatırımlarını tehdit ederek şirketleri milyar dolarlık zarara uğratıyor. Fortinet, bu saldırılarla mücadelede siber güvenlik konusunun öncelik odaklı bir bakış açısıyla ele alınması gerektiğini vurguluyor. Bu doğrultuda şirketlerin üst düzey koruma için “en değerli varlıklarını” belirleyerek bir önceliklendirme yapması önem arz ediyor.
Siber güvenlik yatırımları ve operasyonları için ayrılan bütçeler hem kamu hem de özel sektörde faaliyet gösteren kuruluşlar için genellikle kısıtlı olsa da şirketlerin hem kendi hedeflerini (büyüme, karlılık, rekabet gücü) hem de müşterilerini, yatırımcıları, çalışanları, kamu paydaşlarını ve hükümetleri siber saldırılara karşı korumak için vekaleten üstlendikleri sorumluluklarını göz etme yükümlülüğü bulunuyor.
Siber güvenlik alanında her şeyi korumaya çalışmak hiçbir şeyi koruyamamak anlamına geliyor. Bu sebeple, şirketlerin hangi varlıkları koruyacaklarına, hangi tehditlere karşı savunma geliştireceklerine ve siber güvenlik önlemleri konusunda nereye harcama ve yatırım yapacaklarına ilişkin önceliklerini belirlemesi gerekiyor.
Zayıf noktaların saptanması
Güvenlik yetersizliğinin sonuçları karşısında uzmanlar, “mağduru suçlamamak” gerektiğini ancak siber güvenlik risk faktörlerinin şirket dışı sebeplerden ziyade şirket içi sebeplerden kaynaklandığını belirtiyor. Bu noktada şirket dışı tehdit ortamlarından bağımsız olarak şirketin gücünü kıran şirket kaynaklı zayıf noktalar arasında şu etmenler yer alıyor; şirket içi tehdit faktörleri (şirketten memnun olmayan ya da kötü niyetli çalışanlar, yükleniciler ya da altyapı erişim yetkisini sahip herkes), parçalı ve koordine edilmemiş savunma uygulamaları veya sağlayıcı/çözüm düzensizliği, son kullanıcıların siber güvenlik farkındalığının olmaması, uzmanlık becerileri yetersiz olan güvenlik ekipleri veya güvenlik görevleri bulunan personele ilişkin sorunlar, şirketin değerli varlıklarının tanımının ve bunların önceliklendirilmesinin yapılmamış olması, güvenlik stratejisi ve yatırımlarının önüne geçen iş faaliyetleri ve süreç değişiklikleri, güvenliğin üst düzey yöneticiler tarafından sahiplenilmemesi, görev ve sorumluluklardaki belirsizlikler, gerçek anlamda koruma çözümlerine değil soyut bir güvenlik düşüncesine odaklanılması.
Bunların yanı sıra, şirketlerin siber güvenlik anlamında gücünü kıran en önemli dış faktörler de şirketlerin büyümesine paralel olarak genişleyen saldırı alanı, yeni teknoloji yatırımlarının artması ya da BT altyapısının genişlemesi, tehdit aktörlerinin yöntemlerini daha da sofistike hale getirmesi, yeni tehdit türlerinin ortaya çıkması, teknolojik inovasyonların kötüye kullanılması ve hızla değişen iş ortamı olarak tespit ediliyor.
Şirketlerin iç ve dış kaynaklı siber risk faktörlerinin farkında olması gerektiğini vurgulayan Fortinet Türkiye Ülke Müdürü Serdar Yalçın şunları söyledi: “Bu konudaki en bilinen tavsiyelerinden birini tekrar hatırlamakta fayda var: Organizasyonlar risk faktörlerini değiştirebileceklerinin ve değiştirmeleri gerektiğinin, hangilerine karşı en güçlü şekilde savunma geliştirmek durumunda olduklarının ve değişimi fark edecek öngörüyü geliştirmek zorunda olduklarının farkında olmalıdır.”
Siber güvenlikte rol ve sorumlulukların belirlenmesi
Şirketin karar verici mekanizmaları ile siber güvenlik uzmanlarının siber güvenlik öncelikleri, rol ve sorumlulukları noktasında ortak bir anlayışa sahip olmaları son derece önem arz ediyor. Bu anlayışa dayalı ortaklık ilişkisinin kurulması ve başarıyla sürdürülebilmesi hem iş yönetimi hem de güvenlik tarafında kimin ne tür sorumluluklar üstleneceğinin net bir şekilde belirlenmiş olmasını gerektiriyor.
İş yönetimi tarafında üstlenilecek sorumlulukların başında iş yönetim liderlerinin zayıf siber güvenlik yönetiminden kaynaklanan olumsuz sonuçlar anlamında tam olarak hangi noktalarda endişe duyduklarını ve başarılı bir siber güvenlik programını nasıl tanımladıklarını net olarak ortaya koymalarına ilişkin sorumluluklar yer alıyor. Ayrıca, şirketin misyonunun hayata geçirilmesinde kritik öneme sahip olan varlıkların, çalışanların ve süreçlerin belirlenmesi de iş yönetim tarafının sorumlulukları arasında gösteriliyor. Bunlara ek olarak siber güvenlik yatırım ve süreç hedefleri ile bütçelerinin belirlenmesini de iş yöneticilerinin gerçekleştirmesi gerekiyor.
Buna karşılık, siber güvenlik liderlerinin üstlenmesi gereken sorumluluklar arasında ilk sırada siber güvenlik zayıflıklarını tespit etme ve raporlama sorumluluğu yer alıyor. Bunun yanı sıra şirket için risk oluşturabilecek tehditleri saptamak, savunma programları ve etkin önlem önerileri getirmek, siber güvenlik yatırım ve harcamalarını takip etmek, denetlemek ve maliyet etkinliği hakkında bilgilendirmede bulunmak siber güvenlik yöneticilerinin üstlenmesi gereken sorumluluklar olarak kabul ediliyor. Siber güvenlik için kaynak geliştirmek, güvenlik personeli istihdam kararlarını üstlenmek ve siber güvenlik faaliyetlerini uygulamak da siber güvenlik yöneticilerinin görev tanımları kapsamında yer alıyor.
Her şeyden önemlisi iş yönetimi ve siber güvenlik yöneticilerinin üstlendikleri sorumlulukları gerektiği şekilde yerine getirmek için birbirlerine ihtiyaç duyacaklarını unutmamaları gerekiyor. Örneğin, iş birimleri yöneticilerinin siber güvenlik uzmanlarının görüş ve tavsiyelerini almadan; öncelikleri, hedefleri ve bütçeleri belirlememeleri gerekiyor. Aynı şekilde siber güvenlik yöneticileri de sorumluluklarını etkin bir şekilde yerine getirmek için iş yönetimi anlayışına ve desteğine ihtiyaç duyuyor.
Çözüm: Dinamik ve Güçlü Güvenlik Dokusu
Önceliklendirme ve en değerli varlıkların belirlenmesi odaklı savunma yaklaşımı, güvenlik dokusuna dayalı operasyonlar ve yatırım programı gerektiriyor. Siber güvenlik alanındaki değişim hızı ve bu hızın sonuçlarını değerlendiren Yalçın şunları söyledi: “İş yönetimi ve siber güvenlik alanında mutlak olan tek şey değişim. İş yönetimi hedefleri, süreçleri, öncelikleri, pazar koşulları, organizasyonel yapılar ve paydaşlar sürekli bir değişim içerisinde. Tehdit ‘inovasyonunun’ hızı da her geçen gün güçlenerek artıyor. Bu süreçte, dijital teknolojiler ekonomik, siyasi ve toplumsal ilişkileri her anlamda dönüştürüyor ve dünya dördüncü endüstri devrimini yaşıyor. Bu değişim ve devrim karşısında siber güvenlik program ve süreçlerinin de değişmesi gerekiyor. Ama pek çok açıdan bir siber güvenlik programının ne kadar hızla değiştiği, değişimi mümkün olduğunca küçük sarsıntılar atlatacak şekilde yönetebilme yeteneği kadar önemli değil. Sürekli bir yatırım döngüsü, hızlı değer kayıpları ve siber güvenlik donanımlarının kapsamlı bir şekilde yenileriyle değiştirilmesiyle şekillenen bu değişim giderek daha da az sürdürülebilir bir hal alıyor. Değişimi, geleceğe yönelik olası performans gereklilikleriyle başa çıkabilecek yeterlilikte, gelişime alan açabilecek ve yazılıma yeni özellik ve yetenekler ekleyebilecek bir teknoloji altyapısıyla yönetmek çok daha kolay ve verimli olacaktır.”