Yazan: Craig Burland, CISO, Inversion6
Teknolojinin, inovasyonun ve hızlı değişimin yönlendirdiği bir dünyada şirketler sıklıkla kendilerini “acımasız önceliklendirme” mantrasını söylerken buluyor. Fikir pragmatik gibi görünüyor: Sınırlı kaynaklar ve zamanla, gerçekten önemli olana odaklanmak için gereksizleri acımasızca kesmelisiniz. Ancak birçok şirket için gerçek şu ki, bu düzeyde önceliklendirmeyi gerçek anlamda uygulamak için yeterli donanıma sahip değiller. Bu durum özellikle siber güvenlik alanında geçerlidir; çünkü proje ve operasyonel taleplerin yoğun barajı, sınırlı kaynaklarla birleştiğinde, orta düzey yöneticileri istikrarsız bir duruma sokar. Bu liderler sürekli olarak öncelikler arasında denge kurmalıdır; sıklıkla kaynakları sonuna kadar zorlamak, taahhütleri yerine getirmemek veya her ikisi arasında seçim yapmak zorunda kalırlar. “Acımasızlık” cilası hızla siliniyor ve birbiriyle çatışan ilgi alanları ve görevlerin kaotik karmaşasını ortaya çıkarıyor. Çokça övülen acımasızlık yerine, siber ekipler için daha temelli, pratik bir yaklaşım var: risk azaltmaya dayalı önceliklendirme.
Acımasız Önceliklendirme Yanılsaması
“Acımasız önceliklendirme” kavramı, kararlı liderlerin en kritik görevlere sarsılmaz bir şekilde odaklanarak zor seçimler yaptığı ve bu kararları işi yapan ekiplerle açıkça paylaştığı görüntülerini çağrıştırıyor. Önlerinde net hedefler olan ekipler büyük ilerleme kaydeder, birlikte çabalayarak ortak bir hedefe ulaşırlar. Ancak bu prensibin gerçek dünya senaryolarına uygulanması çoğu zaman yetersiz kalıyor. Bir şirketin operasyonel gereksinimlerinin karmaşık ağında, hangi projelerin en “kritik” olduğuna karar vermek disiplin, veri ve işbirliği gerektirir. Liderler sürekli olarak yeni fırsatları değerlendirmeli, mevcut kaynakları değerlendirmeli ve herhangi bir değişiklik üzerinde toplu olarak anlaşmaya varmalıdır. Hem büyük hem de küçük şirketler bu sürecin birçok unsurunda başarısız oluyor. Proje seviyesinden kritik stratejileri belirlemek için geri çekilmek bile çoğu organizasyonun yeteneğinin ötesindedir. Sonuç, organizasyon için en iyi sonuçları verebilecek veya vermeyebilecek bir tür Darwinizm projesidir. Hayatta kalan projeler, en ısrarcı proje yöneticilerine, C düzeyinde görünürlüğe veya acil bir son teslim tarihine sahip olabilir; tüm bunlar, onları kuruluşun başarısı için değerli kılabilecek veya yapmayabilecek niteliklerdir.
Risklerin yüksek ve tehditlerin dinamik olduğu siber güvenlik kapsamında bu soru daha da karmaşık hale geliyor. Siber güvenlikteki orta düzey yöneticiler kendilerini bir dizi operasyonel taleple karşı karşıya buluyor. Güvenlik açıklarının kapatılmasından uyumluluğun sağlanmasına, tehditlerin izlenmesinden yeni güvenlik çözümlerinin uygulanmasına kadar liste oldukça kapsamlı ve giderek artıyor. İnce ayarlanmış, acımasız bir önceliklendirme sistemi olmadan, bu yöneticiler sıklıkla kendilerini bir açmazın içinde bulurlar. Kaynakları daha da genişleterek tükenmişlik veya verimliliğin azalması riskini mi taşıyorlar? Potansiyel bir olayı riske atarak yeni bir çabaya ağırlık vermek için operasyonel tehditleri görmezden gelmeyi mi tercih ediyorlar? İyi bir ortak olamamanın siyasi sonuçlarını riske atarak, Acımasız Önceliklendirme ilkesi olan ‘Hayır’ demeyi mi seçiyorlar? Bunların hepsi kaybet-kaybet senaryolarıdır.
Risksiz Önceliklendirme: Pratik Bir Alternatif
Acımasız önceliklendirmenin uygulanmasının zorlukları göz önüne alındığında, siber güvenlik profesyonellerinin alternatif bir yaklaşım düşünmesinin zamanı geldi: risksiz önceliklendirme. Bu yöntem, soyut anlamda hangi görev veya projelerin daha “önemli” olduğuna karar vermeye çalışmak yerine, en önemli risklerin anlaşılmasını ve azaltılmasını vurgular.
Siber güvenlik alanında tüm görevler eşit yaratılmamıştır. Bazı eylemler bir kuruluşu sekteye uğratabilecek ciddi tehditleri hafifletebilirken, diğerleri istismar edilme olasılığı düşük olan küçük güvenlik açıklarını ele alabilir. Siber ekipler, riske göre öncelik vererek enerjilerini ve kaynaklarını en önemli etkiyi yaratacakları yere odaklayabilirler. Bu yaklaşım, siber güvenliğin özüyle uyumludur: kritik varlıkları en önemli tehditlerden korumak.
Risksiz önceliklendirmenin uygulanması birkaç temel adımdan oluşur:
- Risk Değerlendirmesi: Kuruluşa yönelik en acil tehditleri anlamak için siber güvenlik ortamını düzenli olarak değerlendirin. Potansiyel güvenlik açıklarına ve bunların kötüye kullanılma olasılığına ilişkin öngörüler elde etmek için araçları, analizleri ve tehdit istihbaratını kullanın.
- Etkiyi Ölçün: Farklı tehditlerin potansiyel sonuçlarını anlayın. Hangi güvenlik açıkları önemli mali kayıplara yol açabilir? Hangileri şirketin itibarına zarar verebilir veya düzenleyici cezalarla sonuçlanabilir?
- Kaynakları Tahsis Edin: Riskler değerlendirilip ölçüldükten sonra kaynakları potansiyel etkiye göre tahsis edin. Önce en önemli tehditlere odaklanın ve daha küçük tehditlerle ilgilenmeden önce bunların hafifletildiğinden emin olun.
- İletişim kurun: Doğru kişilerin azaltılan riskleri ve hangilerinin geçici olarak kabul edildiğini bildiğinden emin olun. Bu, değerlendirme aşamasında alınan kararların doğrulanması ve desteğin sağlamlaştırılması açısından önemlidir.
- Yineleyin ve Gözden Geçirin: Siber ortam dinamiktir ve düzenli olarak yeni tehditler ortaya çıkar. Tehdit ortamı değiştikçe önceliklerin de değişmesini sağlamak için risk değerlendirmesini sürekli olarak yeniden gözden geçirmek hayati önem taşımaktadır.
Çözüm
Acımasız önceliklendirme övgüye değer bir ideal olsa da çoğu şirket için bir efsane olarak kalıyor. Özellikle siber güvenlik alanında, acil taleplerin çeşitliliği göz önüne alındığında, böyle bir yaklaşımı uygulamanın zorlukları çoktur. Ancak odağı belirsiz bir “önem” kavramından somut risk azaltmaya kaydırarak siber ekipler önceliklerini daha etkili bir şekilde yönlendirebilir. Risksiz önceliklendirme, pratik, etkili ve temelli bir yaklaşım sunarak siber ekiplerin kuruluşlarını öncelikle en önemli tehditlere karşı korumasını sağlar. Siber tehditlerle dolu bir dünyada, acımasızca değil akıllıca öncelik vermenin zamanı geldi.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, bir Fortune 200 Şirketi için bilgi güvenliği operasyonlarına liderlik eden en son rolü de dahil olmak üzere onlarca yıllık sektör deneyimini Inversion6’ya taşıyor. Aynı zamanda Kuzeydoğu Ohio Siber Konsorsiyumunun eski Teknik Eş Başkanı ve Çözümsel MSSP, NTT Küresel Güvenlik ve Oracle Web Merkezi’nin eski Müşteri Danışma Kurulu Üyesidir. Craig’e çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi http://www.inversion6.com’dan ulaşılabilir.