Günümüzde siber suçlular yalnızca Fortune 500’leri hedef almıyor. Siber ihlallerin neredeyse yarısının 1.000’den az çalışanı olan kuruluşları etkilediği göz önüne alındığında, küçük ve orta ölçekli işletmeler artık büyüyen bir hedef olarak ortaya çıkıyor. Aslında bugün küçük işletmelerin %87’si, bir siber saldırıda tehlikeye girebilecek müşteri verilerine sahip olduklarını söylüyor.
Boyutlarının küçük olması nedeniyle bu kuruluşların artan tehdide karşı koyması daha zor. Dört kuruluştan biri, temel korumaları bile uygulayacak vasıflı personele sahip olmadıklarını söylüyor. Büyüyen işletmeler aynı zamanda şu anda piyasada mevcut olan güvenlik araçlarının karmaşıklığı ve hacmiyle de karşı karşıyadır. İşletmeler, bazıları halihazırda örtüşen veya mevcut yeteneklerle çatışan çok fazla seçenekle karşı karşıya kaldıklarında, dayanıklılık oluşturmak için ihtiyaç duydukları çözümlerin seçilmiş bir listesini belirlemekte sıklıkla zorluk çekerler.
İyi haber şu ki bu saldırılara karşı korunmak imkansız değil. Şirketler artık ürün tavsiyelerinin ötesine geçen rehberlik için MSP’lere yöneliyor. Birçok KOBİ’nin başka bir güvenlik aracına ihtiyacı yoktur. Gerçekten ihtiyaç duydukları şey, CIS (İnternet Güvenliği Merkezi) Kritik Güvenlik Kontrolleri gibi kanıtlanmış çerçevelerin sağladığı netlik ve maruz kaldıkları riskleri önemli ölçüde azaltacak sonuç odaklı stratejilerdir.
Büyük ya da küçük işletmeler konuşmayı ötesine taşımalı Hangi satın alınacak ürünler veya maliyet gerekçesi ve doğru Neden onlar önemli ne risk altında ve Nasıl iş hedefleriyle uyumludurlar.
Her kuruluşun güvenlik stratejisini geliştirirken öncelik vermesi gereken üç şeyi ve MSP’lerin nasıl yardımcı olabileceğini burada bulabilirsiniz.
- Trendlere değil, stratejiye dayalı bir güvenlik teknolojisi yığını.
Günümüzde siber güvenlikteki en büyük risklerden biri, araçların vaat ettiği, MSP’lerin sunduğu ve müşterilerin gerçekte ihtiyaç duyduğu şeyler arasındaki uyumsuzluktur. Noktaları birleştirecek ve kör noktaları ortaya çıkaracak biri olmadığında, sınıfının en iyisi teknolojiye sahip güvenlik yığınları bile aşırı inşa edilebilir ve yetersiz kullanılabilir.
Bu, özellikle işletmelerin güvenlik olgunluğu düşük olduğunda tehlikelidir. Gelişmiş araçları aceleyle satın almak ve bunları herhangi bir temel kontrol olmadan uygulamaya koymak, değerinden daha fazla sorun yaratarak felakete yol açabilir. Ekipler, artan operasyonel ek yüklerden giderilmeyen açıkların açığa çıkmasına kadar, aracın benimsenmesinin doğrudan bir sonucu olarak ortaya çıkan çeşitli sorunlarla (ve maliyetlerle) karşı karşıya kalabilir. Hatta bu durum, iç güvensizliğin artmasına neden olabilir ve liderliği gelecekteki güvenlik önerilerini hayata geçirmekten caydırabilir; bu da artan tehditlere karşı mücadelede çok önemli bir başarısızlık haline gelebilir.
Yelpazenin diğer ucunda, gelişmiş araçların uygulanması yersiz bir güven duygusu yaratabilir. Çözümleri sırf yeni oldukları için eklemek, ekiplerin çoğu halihazırda örtüşen veya koruma açısından gereksiz olan çok fazla araca sahip olmasına neden olur. Güvenlik işlevsel olmaktan ziyade “performatif” hale gelebilir; kağıt üzerinde etkileyici görünen ancak tehditleri anlamlı bir şekilde caydıramayan, tespit edemeyen veya bunlara yanıt veremeyen pahalı bir araç yığını.
Çok fazla araca sahip olmanın veya yanlış yapılandırılmış araçların aslında riski azaltmak yerine artırabileceğini belirtmeye bile gerek yok. Her yeni araç, bir kuruluşun genel güvenlik altyapısını etkileyen, potansiyel olarak siber suçluların kolayca yararlanabileceği yeni açıkları ortaya çıkaran kendine özgü güvenlik açıklarıyla birlikte gelir.
Bu döngüyü kırmak için iş sonuçları dikkate alınarak oluşturulan kişiselleştirilmiş programlar gerekli olacaktır. Bir MSP ortağı, bir kuruluşun neyi düzeltebileceğini görmek için kullandığı güvenlik araçlarını denetlemek amacıyla uzmanlığından yararlanabilir. Stratejik bir MSP, yalnızca moda oldukları için bir araç listesi önermek yerine, bir müşterinin güvenlik altyapısını bütünüyle değerlendirebilmeli, ardından ortaya çıkan tehditlere, uyumluluk gereksinimlerine ve dahili iş akışlarına göre öncelikleri belirleyebilmeli, yalnızca birlikte iyi çalışan değil, aynı zamanda geride daha dar boşluklar bırakan, özenle seçilmiş çözümlerden oluşan bir seçkiyi optimize edebilmelidir.
- Güvenebilecekleri ve gerçekten anlayabilecekleri bir güvenlik programı.
Siber güvenlik zaten inanılmaz derecede teknik ve karmaşık bir konudur. Asla kasıtlı olarak karıştırılmamalıdır. Çoğu zaman bir güvenlik stratejisini araba satın almaya benzetiyorum. Modern araçlar ciddi bir parasal yatırımdır ve binlerce parça, gelişmiş elektronik ve katmanlı güvenlik sistemleri kullanılarak üretilir. Ancak bu karmaşıklığa rağmen hiç kimse sırf bir bayi onlara “Güven bana, buna ihtiyacın var” dediği için araba satın almıyor. Alıcılar seçeneklerini dikkatlice araştırır, modelleri karşılaştırır, belirli özellikleri belirler, ödünleri tartar ve sürüş ihtiyaçlarına en uygun olanı seçer.
Güvenlik farklı olmamalı. Teklifler anlamlı bir şekilde açıklanmalı, gerçek risklere ve önceliklere bağlı olmalı ve net sonuçlarla gerekçelendirilmelidir.
CIS Kritik Güvenlik Kontrolleri gibi yerleşik çerçevelerin yardımcı olabileceği yer burasıdır. CIS Kontrolleri, belirli teknik korumaların ne işe yaradığını sade bir dille açıklar ve her birini gözlemlenebilir bir iş sonucuna (veri sızıntısının önlenmesinden kaynaklanan maliyet tasarrufları gibi) bağlar; bu da MSP’lerin bir güvenlik stratejisine yatırım yapmanın neden önemli olduğunu açıklamasını sağlar. Örneğin, güvenlik açığı yönetimi (7), donanım ve yazılımın güvenli yapılandırılması (4) ve e-posta filtreleme (9.1) gibi CIS Kontrolleri, kuruluşların bir düğmeye tıklayarak satın alabileceği ürünler değildir. Bunlar bir savunma stratejisinin bileşenleridir. Bağlam içinde uygulandığında bu kontroller, güvenlik programını kuruluşlar için anlaşılır hale getirerek güvenlik önceliklerini gerçek tehditlere göre belirlemelerine yardımcı olur. Risklerin neler olduğunu, kuruluşlarının nasıl korunduğunu ve en önemlisi paralarının nereye ve neden gittiğini daha kolay anlayabilirler.
Bu çerçeve odaklı yaklaşım, MSP’lerin yapı konusunda liderlik etmelerine olanak tanıyarak işletmelerin güvenliklerini artırmak için neye ihtiyaç duydukları konusunda kendileriyle daha düşünceli konuşmalar yapmalarına olanak tanır. “DNS filtreleme istiyor musunuz?” gibi yüzeysel sorular sormak yerine şirketler MSP’lerden “Çalışanlarınız kimlik avı bağlantılarını nasıl tespit edeceklerini biliyor mu?” gibi soruları aramalıdır. Ve “Hadi X platformunu satın alalım” yerine konuşma şuna doğru kaymalı: “Fidye yazılımına maruz kalırsanız kesinti süresini nasıl en aza indiririz?”
En etkili MSP’ler, müşterileri için gerçekten önemli olan şeylere odaklanır; yalnızca onları geceleri uykusuz bırakan güvenlik tehditlerine değil, aynı zamanda onları her gün işe geri getiren motivasyonlara da. Bir MSP’nin hedefi, “Güvenlik endişelerini biz halledelim, böylece en iyi yaptığınız işe geri dönebilirsiniz” diyecek kadar güven kazanmaktır.
- Erişimi olan bir topluluk gerçek zamanlı tehdit istihbaratı
İşletmeler genellikle güvenlik hakkında bilmediklerini bilmezler; bu nedenle hem kendilerinin hem de MSP’lerinin sürekli olarak tehditler ve korumalar hakkında yeni bilgiler arayışında olmaları kritik öneme sahiptir. Neyse ki kuruluşların kendilerininki gibi ortamlarda zaten test edilmiş, kanıtlanmış yaklaşımlardan öğrenmelerine yardımcı olmak için tasarlanmış topluluklar, eğitim ve öğretim kaynakları var. Bu paylaşılan bilgi, iç ekiplerin tek başına geliştirebileceklerinin ötesine geçen yeni bakış açıları ve çözümler sağlayabilir.
Büyüyen şirketler de MSP ortaklarının kendilerini en iyi şekilde korumak için aynı şeyi yapmasını beklemelidir. Sherweb’in CyberMSP Topluluğu gibi gerçek zamanlı tehdit güncellemeleri sunan ve eş değişimini kolaylaştıran yeni MSP özellikli ağlar var. MSP’lerin tehdit istihbaratını paylaştığı dinamik merkezler olarak hizmet vererek siber risklere daha hızlı ve daha bilinçli yanıtlar sağlarlar. MSP’lerin karmaşık tehditleri bir boşlukta çözmeye çalışmasını engeller ve müşterileri için daha iyi koruma sağlar.
Örneğin, düzenli olarak çalıştaylara ve tehdit paylaşım forumlarına katılan orta ölçekli bir sağlık hizmeti sağlayıcısı, normalde fark edilmeyebilecek tehditler hakkında erken uyarılar alabilir. Hassas bilgileri çalmak amacıyla sağlık hizmeti sağlayıcılarını ve sigorta şirketlerini hedef alan bir kimlik avı kampanyasına katılın. Aktif, sıkı sıkıya bağlı bir MSP topluluğuna bağlı bir kuruluş, saldırı ağlarına sızmadan çok önce hızlı uyarılar alacaktır. Ayrıca kendi sektörlerine özgü güvenlik sorunlarının benzersiz nüanslarını kavrayan bilgili meslektaşlara ve uzmanlara da güvenebilirler. İşletmelere, e-posta filtrelerini güncelleyerek veya çalışanlar için ek kimlik avı eğitimine yatırım yaparak proaktif yanıt verme fırsatı sunar. Doğru zamanda yapılacak doğru eylemleri bilmek, bir saldırıyı engellemekle maliyetli bir ihlalle karşı karşıya kalmak arasındaki fark anlamına gelebilir.
Siber tehditler, bireysel kuruluşların tek başına yönetemeyeceği kadar hızlı gelişiyor. İşletmeler, güvenlik stratejilerini hızla değişen önceliklere uyum sağlayacak şekilde dönüştürmeye gelince, izole bir şekilde çalışmayı göze alamaz. Ekipler, güvenlik girişimlerini statik bir araç kontrol listesinden kolektif zekaya sahip uyarlanabilir bir savunma stratejisine etkili bir şekilde değiştirebilir.
Amaç en büyük yığını derlemek olmamalıdır. Bunun yerine, araç yedekliliğini azaltan, gelir koruyucu olarak değer gösteren ve kapsamlı kurumsal etki için stratejik CIS Kontrollerini vurgulayan birleşik bir güvenlik sistemi geliştirmek olmalıdır. Teknoloji önemlidir ancak denklemin yalnızca bir bileşenidir; insanlar ve süreçler resmi tamamlar. Bir sonraki popüler aracı satın almak yerine genel sonuçlara odaklanan MSP’ler, güvenlik stratejilerini geliştirmek isteyen ancak nereden başlayacağından emin olmayan büyüyen şirketler için vazgeçilmez iş ortakları haline gelebilir.
Yazar Hakkında
Roddy Bergeron, yaklaşık 8.000 MSP’yi tekliflerini çalıştırmak ve ölçeklendirmek için ihtiyaç duydukları her şeyle donatan teknoloji ve hizmet sağlayıcısı Sherweb’de Siber Güvenlik Teknik Üyesidir. Bergeron’un kariyeri, hükümet denetimi, kar amacı gütmeyen çalışmalar, Louisiana Eyaleti ile kamu/özel sektör ortaklıkları, yönetilen güvenlik, vCISO ve uyumluluk programları dahil olmak üzere çeşitli yollar izledi.
Roddy’nin Sherweb ile çalışması hakkında daha fazla bilgi edinmek için web sitemize göz atın: https://www.sherweb.com/