Bugünün iş dünyası liderleri birbirine zıt iki zorlukla boğuşuyor. Bir yandan, günümüzün küresel ekonomik ve durgunluk baskıları, harcama politikalarının gözden geçirilmesi ve nakit rezervlerinin oluşturulması gerektiği anlamına geliyor. Öte yandan, siber güvenlik tehditlerinin hacmi ve artan karmaşıklığı, kuruluşun tehlikeye atılmaktan kaçınmak için savunmalarını sürdürmesi ve güçlendirmesi gerektiği anlamına gelir.
Bu, CIO’ları büyük bir muamma ile karşı karşıya bırakır. Maliyet artık evrensel bir iş kaygısı olduğundan, mümkün olan her yerde yağı azaltmak için baskı var ve güvenlik de bir istisna değil. Yine de şu anda CIO’lara güvenliği ilk sıraya koymalarını ve artan siber tehdit ortamına karşı koymak için BT güvenliği satın alımlarını artırmalarını söyleyen tavsiyeler eksik değil.
Güvenlik açıklarından yararlanmaya çalışan saldırganların sayısının artmasını azaltmak için siber güvenlik yatırımlarını artırmak için bariz bir argüman olsa da, ticari gerçekler, CIO’lardan daha azıyla daha fazlasını yapmalarının istendiği anlamına geliyor.
İyi haber şu ki, doğru planlama ve etkili süreçlerle hem maliyetlerden tasarruf etmek hem de riskleri azaltmak mümkün.
Varlık yönetimini ikiye katlayın
İyi güvenlik uygulamalarının dünyaya mal olması gerekmez. Bütçe kısıtlaması zamanlarında, istismar için olgunlaşmış potansiyel güvenlik açıklarının yaygınlığını azaltacak bütüncül eylemlere yatırım yapmak faydalıdır.
Varlık yönetimi, siber riski en aza indirmek için ele alınabilecek temel bir alandır. Tüm BT varlıklarının doğru ve merkezi bir envanterinin tutulması ve her bir BT varlığının kullanım ömrünün izlenmesi, yazılım yamalarının ve güncellemelerinin zamanında uygulanmasını sağlamak için hayati önem taşır. Ayrıca, gereksiz veya ömrünü tamamlamış varlıkların uygun şekilde hizmet dışı bırakılmasını da sağlar.
Donanım ve yazılım envanterinin nerede olduğunu ve nasıl korunduğunu bilmek, yanlış yapılandırmaları belirlemeyi ve olası güvenlik açıklarını gidermeyi mümkün kılar. Ayrıca, güvenlik gereksinimlerinin uygulanmasını, yönetilmeyen cihazları belirlemeyi ve kritik sistemlere erişimi olan hangi kullanıcıların çok faktörlü kimlik doğrulama gibi korumalara sahip olmadığını değerlendirmeyi kolaylaştırır.
Artık bir amaca hizmet etmeyen BT’yi kaldırmak ve eski ekipman ve yazılımları kullanım ömrü sona ermeden önce güncellemek, kaynakları güçlendirmenin anahtarıdır. Doğru planlama ve iyi temel varlık yönetimi uygulamalarının devreye girmesiyle, kuruluşlar gereksiz risklere maruz kalmayı azaltan kontrolleri devreye sokabilecektir.
Çalışanları kuruluşun ilk savunma hattı olmaları için güçlendirin
Sezgilere aykırı gelebilir, ancak çalışanların eğitimine yatırım yapmak siber güvenlik maliyetlerini azaltmanın başka bir yoludur. Kaynak, çaba ve harcama açısından, titiz ve sürekli bir eğitim programı uygulama maliyeti, bir ihlalle ilişkili operasyonel, ticari ve itibar maliyetiyle karşılaştırıldığında önemsiz kalır.
Acı gerçek şu ki, siber güvenlik bir teknoloji sorunu olduğu kadar bir insan sorunudur. Geçen yıl kimlik avı ve kötü amaçlı e-posta ekleri, Birleşik Krallık işletmelerinin karşılaştığı en yaygın saldırı vektörü biçimiydi. Bu e-postaları açmak veya bunlara tıklamak, kötü amaçlı yazılım indirme ve hatta çalışanları fikri mülkiyet ve hatta para çalmak için kullanılabilecek web sitelerine götürme potansiyeline sahiptir.
En temel tehdit türleri hakkında bile bilgi sahibi olmayan herhangi bir çalışan, bir kuruluşu önemli risklere açık bırakır. Herkesin en son siber suçlu hilelerini bilmesini, iyi siber uygulamalar ve davranışlarla ilgili sorumluluklarının farkında olmasını ve şüpheli e-postalar veya diğer tehdit olaylarıyla karşılaştıklarında ne yapacaklarını bilmelerini sağlamak, güvenlikten ödün verme olasılığını en aza indirmeye yardımcı olacaktır.
Kuruluşlar, göz ardı edilmesi kolay olan e-postalar ve PowerPoint sunumları yoluyla daha geniş bir işgücünü eğitme görevine sözde bağlılık göstermek yerine, ideal olarak insanları hem katılmaya hem de öğrendiklerini uygulamaya motive eden gerçek dünya eğitim deneyimlerine yatırım yapmalıdır. Örneğin, çalışanları ortak istismarlara hazırlayan simülasyonlar ve öğrenmeyi daha alakalı ve ödüllendirici hale getiren oyunlaştırılmış etkileşimli eğitim.
Daha akıllı güvenlik seçimleri yapma
Ekonomik gerileme, kuruluşları harcama konusunda bazı zor kararlar almaya zorluyor. Siber suçlular tetikte beklerken, siber güvenlik yatırımlarında kesintiye gitmenin yanlış bir ekonomi olup olmadığı konusundaki endişeler giderek artıyor. Ancak, kuruluşlar doğru temel güvenlik uygulamalarını yerine getirmeyi ihmal ederse, pahalı güvenlik araçlarına yatırım yapmak etkisiz olacaktır.
Kurumsal dayanıklılığı artırma söz konusu olduğunda, CIO’ların tasarruf ve güvenlik arasında seçim yapması gerekmez. Kuruluşlar süreçleri gözden geçirerek, temelleri yeniden gözden geçirerek, mevcut kaynaklardan en iyi şekilde yararlanarak ve şirket içi eğitime odaklanarak güvenliklerini ve dijital dayanıklılıklarını artırabilir. Siber güvenlik araçlarını ve ürün kitlerini seçerek dağıtmak, bu iyi uygulamaları oldukça uygun maliyetli bir şekilde tamamlayabilir.
Bir gerileme döneminde, siber güvenlik önceliklerini sıfırlamak ve sınırlı kaynakların en iyi şekilde nasıl ve nerede konuşlandırılabileceğini gözden geçirmek işe yarar. Ne yazık ki, çoğu zaman kuruluşlar, bir şekilde “güvenliği satın almanın” mümkün olduğuna dair yanlış inanışla, iyi güvenlik uygulamalarını iyi güvenlik satın alımlarıyla birleştirir.
Nihayetinde, siber esnekliğe ulaşmak insanları, süreçleri ve teknolojiyi içerir. Finansal kısıtlama zamanlarında, önleme tedaviden daha iyidir. Saldırı vektörlerini en aza indirmek amacıyla varlık yönetimi gibi uygulamaları incelemeye yönelik harcamalara odaklanmak, güvenlik politikalarının açıkça ifade edilip edilmediğini ve etkili bir şekilde uygulanıp uygulanmadığını değerlendirmek ve uç nokta güvenliği ile kimlik ve erişim yönetimi gibi şeyler için belgelenmiş prosedürlere sahip olmak görev açısından kritik olacaktır. Aynı şekilde, tüm iş gücü genelinde gerçek siber dayanıklılık oluşturan bir eğitim programı da olacaktır.