Son birkaç yıl her yerde inişli çıkışlı bir yolculuk oldu. Pandemiyi çevreleyen belirsizlik büyük ölçüde azaldığından, 2022’nin CISO’lar için bir soluklanma olması gerekiyordu. Ne yazık ki, bunun yerine kendilerini yeni “asla normal değil” ile hesaplaşırken buldular.
Artan yaşam maliyeti, jeopolitik çatışmalar, yıkıcı iklim krizi ve hızla gelişen düzenleyici ortam, bu yıl siber güvenlik manzarasını şekillendirecek. Daha yeni tehditler ortaya çıktı ve daha eskileri gelişti. Kritik altyapı, kamu hizmeti sunumu ve insanların mahremiyeti, ateş hattında gibi görünüyor. Ve devam eden dijital dönüşüm girişimleri, üstel veri büyümesi, sınırlı fonlar ve devam eden bir beceri eksikliği ile CISO’lar ve ekipleri, görünüşe göre zar zor bir arada tutuyor.
Eyleme Giden Yoldaki Ara Noktalar
2023’te ortaya çıkan tehditlere ve zorluklara ayak uydurmak, kuruluşların tutarlı bir güvenlik stratejisi geliştirme yolunda ilerlemesine yardımcı olabilir.
1. Siber saldırılar artar, taktikler gelişir: Fidye yazılımı olayları, 2022’nin başlarında %34 oranında düştü, ancak büyük bir şiddetle geri döndü. Fidye yazılımı, veri hırsızlığı ve hizmet reddi ile ikiye ve üçe katlanacak şekilde gelişti. Dark Web forumlarında satılan ve daha sonra yüksek oranda hedeflenen kimlik avı saldırılarında kullanılan çalınan verilerde bir artış göreceğiz.
Yeraltı siber suç ortamı da hizmet olarak siber suçtan kiralık siber paralı askerlere doğru kayıyor. Siber suçluların ve ulus devlet aktörlerinin, büyük saldırılara ve ihlallere yol açabilecek ayrıntılı görevler için son derece yetenekli siber paralı askerler tutmasını bekleyin. Bu saldırılar çok etkili olacak ama izini sürmek neredeyse imkansız.
2. Tedarik zinciri risk balonu: Tedarik zinciri güvenlik riskleri, operasyonların ticari tarafına hızla sızarak, genellikle onları durma noktasına getirir. İşletmeler ihtiyaç duydukları altyapıyı, uygulamaları ve hizmetleri birden fazla bulut ve hizmet olarak yazılım (SaaS) satıcısına yaptırdıkça, bu riskler büyük olasılıkla bu yıl artacaktır. Bu kadar çok harici sağlayıcı ve iş ortağıyla, saldırganlar kolay erişim elde etmek için en savunmasız olanları hedefleyecektir.
3. Veri kuyusu zehirlenmesi saldırıları ortaya çıkıyor: Yapay zeka destekli sistemler, sağlıklı kararlar almak için beslendikleri verilerin bütünlüğüne bağlıdır. İşletmeler 2023’te yapay zeka ile gerçeğe dönüştükçe, veriler bir yükümlülük olduğu kadar paha biçilmez bir varlık haline gelecek. Siber suçlular, sistemleri hileli kararlar almaları için manipüle etmek üzere veri kuyularını hedef alacak. Gizlilik ve kullanılabilirliğin ötesinde, veri bütünlüğü artık risk altındadır.
4. Teknoloji, tehdit ve düzenleyici ortamlar sürekli olarak değişir: Tehditler gelişiyor ve düzenleyici manzara da öyle. Genel ve ülkeye özgü düzenlemeler, kuruluşları etik veri toplama, saklama ve kullanma konusunda zorlayacaktır. Bu değişiklikler, güvenlik pastasının tüm iyi parçalarını korumaya çalışırken aynı zamanda yeni değişikliklere uyum sağlamak için yeterli esnekliği de sağlayarak CISO’ları tetikte tutacak.
İş Tabanlı Güvenlik Stratejisi Oluşturma
Güvenlik, ekonomi ve ticaret açısından zorlu geçecek gibi görünen bu yıl boyunca onlara yön verebilecek bir güvenlik stratejisi oluşturmak için genel olarak kuruluşların odaklanması gerekenler burada.
1. Güvenliği iş stratejisiyle uyumlu hale getirmek: CISO’lar, işletme yöneticilerine siber güvenliğin yalnızca bir BT sorunu değil, bir iş riski olduğu konusunda güvence vermekten sorumludur. Kurullar bir işletmenin stratejik yönünü belirlerken, CISO’lar güvenliği bu sürece dahil etmelidir. Bunu yapmak için, siber risklerin ele alınması yönetim kurulu toplantılarının gündeminde sıklıkla yer almalıdır.
Kuruluşun hedeflerini destekleyen bir güvenlik stratejisi geliştirme iş taktiğini takdir eden bir CISO, muhtemelen güvenlik fonları ve kaynakları için yönetim kurulunun peşinden koşmak zorunda kalmayacaktır.
2. Siber dayanıklılık oluşturmak: Siber dayanıklılık, bir kuruluşun tahmin edilemeyen veya önlenemeyen tehditlerin etkisiyle başa çıkma hazırlığıdır. Siber dayanıklılığa ulaşmanın ilk adımı, iş ortağı işbirlikleri ve ilgili düzenleyici değişiklikler dahil olmak üzere siber etkinlikleri izlemek için bir yönetişim çerçevesi benimsemektir. Kuruluşlar ayrıca siber tehdit istihbaratı toplama, analiz etme ve paylaşma yoluyla siber durumsal farkındalık geliştirmelidir.
Ardından, kritik varlıkları belirlemeli ve önceliklendirmeli ve değerleri değiştikçe bunları sürekli olarak değerlendirmelidirler. Topladıkları içgörülere dayanarak, her ihtimale karşı senaryolar için planlama ve prova yapmaları gerekir. Prova edilmiş olay müdahale planları, bir veri ihlalinin maliyetini neredeyse yarı yarıya azaltabilir.
Siber dayanıklılık oluşturmak devam eden bir süreçtir çünkü tehditler gelişir, işletmeler olgunlaşır ve farklı varlıkların değeri değişir. Sürece ayak uyduran kuruluşlar, ortaya çıkan tehditleri ve bunların sonuçlarını anında ve etkili bir şekilde önleyebilir, tespit edebilir ve bunlara yanıt verebilir.
3. Siber risk toleransının belirlenmesi: Kuruluşların siber kayıp olaylarına ilişkin risk toleranslarını belirlemesi ve tanımlaması gerekir. Bu, harici ortakların ve sağlayıcıların bağımlılıklarını, istikrarını ve güvenliğini de değerlendirmeyi içerir. Varlıkları ve verileri izlemek ve korumak, okyanusu kaynatmakla ilgili değildir. Küçükten başlamak, kritik veri öğelerini belirlemede çok spesifik olmak ve ardından veri yaşam döngüsünün tüm aşamalarında güvenlik ve bütünlüklerini sağlamakla ilgilidir.
Benzer, seçici bir yaklaşım, düzenleme ve uyumluluk gerekliliklerindeki değişiklikleri ele almak için de çalışmalıdır. Kuruluşların hepsini yapacak zamanı veya kaynağı yoktur. Neyin önemli olduğunu belirlemeli ve stratejik iş hedeflerine göre seçici olarak değişiklikler yapmalıdırlar.
Siber riskleri ele almak statik bir süreç değildir. Güvenlik ekipleri bunu biliyor ve yönetim kurulları da bunun farkına varmalı. İş dünyası değişiyor ve politikalar ve prosedürler bunu yansıtmak zorunda kalacak. Hızla gelişen bu iş ve güvenlik ortamı, siber yorgunluğa ve zihinsel sağlık sorunlarına neden olabilir. Kuruluşlar, çalışanların eğitimine, memnuniyetine ve ruh sağlığına öncelik vermelidir. Aksi takdirde, her şeyin yanı sıra içeriden gelen tehditlerde de bir artışa tanık olacağız.