Yazan: Paul Brucciani, WithSecure™ Siber Güvenlik Danışmanı
Siber güvenlik artık sadece sistemleri ve cihazları güvende tutmakla ilgili değil, aynı zamanda işletmelerin stratejik hedeflerine ulaşmasını sağlamada da merkezi hale geldi.
WithSecure™ Siber Güvenlik Danışmanı Paul Brucciani, kuruluşların zorlu zamanların üstesinden gelmesine yardımcı olma konusunda önemli bilgilere sahip ve sonuç odaklı güvenlik zihniyetinin nasıl oyunun kurallarını değiştirebileceğine ışık tutuyor.
Modern İşletmede Sonuca Dayalı Güvenlik üzerine bu Soru-Cevap formatındaki sunumu sunuyor.
Reaktif bir yaklaşımdan sonuç odaklı bir güvenlik yaklaşımına geçiş, bir kuruluşun güvenlik duruşunu nasıl geliştirir?
Kuruluşlar siber tehditleri yönetmeyi giderek daha zor buluyor. Forrester tarafından WithSecure tarafından yaptırılan bir araştırmaya göre, küresel olaylar, dijital dönüşüm ve sıkılaşan düzenlemelerin birleşiminden etkilenen kuruluşların %75’i siber güvenliği öncelik listesine yerleştirdi. Ancak rakipler yöntemlerini sürekli geliştirerek birçok kişiyi hazırlıksız yakalıyor.
Bütçe artışlarına rağmen küresel BT karar alıcılarının %90’ı, devam eden bu tehditlere karşı koymak için sürekli bir mücadele içinde. Pek çok şirket savunmaya geçerek tehditlere karşı geldikleri anda tepki veriyor. Araştırma, şirketlerin %60’ının bu ‘yangınla mücadele’ modunda çalıştığını ve bunun da ekip çalışmaları, süreçler ve teknoloji araçlarında uyumsuzluğa yol açtığını ortaya çıkardı.
Bu döngünün ötesine geçmenin bir yolu, siber güvenlik önlemleri için net bir yön sağlayan, güvenliğe sonuç odaklı bir yaklaşımı benimsemektir. Bu, güvenlik faaliyetinin kendisinden ziyade siber stratejilerin sonucunu vurgulamaktadır. ‘Servitizasyon’ olarak da bilinen sonuç odaklı yaklaşım, imalat gibi alanlarda uzun yıllardan beri kullanılmaktadır. Ancak siber güvenlik nispeten genç bir sektör olduğundan bu alanda yeni bir kavramdır.
Buradaki fikir, siber güvenliği iş dokusuna kusursuz bir şekilde dahil etmek ve onu kuruluşların stratejik hedeflerine ulaşmalarını sağlayacak bir kolaylaştırıcı olarak konumlandırmaktır. Şirketler, operasyonlarını korurken iş sonuçlarını iyileştirmek, dayanıklılığı artırmak, üretkenliği ve rekabet gücünü artırmak için sonuç odaklı bir siber güvenlik stratejisine yöneliyor.
Bu, yalnızca öngörülemeyen zorlukların üstesinden gelmeye yardımcı olmakla kalmayıp aynı zamanda siber güvenliği iş büyümesi için bir katalizör olarak konumlandıran, somut sonuçlara odaklanan bir stratejidir.
Kritik iş varlıklarının proaktif olarak önceliklendirilmesi ve korunması nasıl daha yüksek bir yatırım getirisine yol açar?
Eski bir haritayla araba kullandığınızı ve birdenbire kendinizi kaybolmuş hissetmenize neden olan altyapı gelişmelerini bulduğunuzu hayal edin. Sonuç odaklı bir güvenlik modeline geçiş, navigasyon yönteminizi geleneksel haritalardan modern GPS’ye değiştirmeye benzer. Başlangıç noktası, risk yönetimini geliştirmek, müşteri deneyimini optimize etmek veya operasyonel çevikliği güçlendirmek gibi iş hedefleriyle örtüşen net hedefler belirlemektir. Buradaki yararlı yaklaşımlardan biri, temel girişimleri, kaynakları ve maliyetleri haritalandıran ve bunları fırsatlar, riskler ve iş sonuçlarıyla dengeleyen ‘güvenlik tuvali’dir.
Forrester’ın da belirttiği gibi, sonuca dayalı güvenlik tamamen bu belirlenen hedeflere ulaşılmasına yardımcı olacak yeteneklerin kullanılmasıyla ilgilidir. Bu, risk yönetimi planlarınızın bu kurumsal amaçlarla uyumlu olması gerektiği anlamına gelir. Bu sadece duvarlar inşa etmekle ilgili değil, aynı zamanda potansiyel tehditleri görmek ve bunlara karşı koymak için gözetleme kulelerini stratejik olarak yerleştirmekle ilgili.
En önemlisi bu dönüşüm yeni bir bakış açısı gerektiriyor. İşletmeler, siber güvenliği bir maliyet merkezi olarak görmek yerine, büyümenin önemli bir itici gücü olarak siber güvenliğin potansiyelini kabul etmeli, kuruluşun yeni hizmetleri güvenli bir şekilde kullanıma sunma veya ekiplerin güvenli bir şekilde işbirliği yapmasına yardımcı olma gibi temel hedeflere ulaşmasına yardımcı olmalıdır. Bunu yaparak, şirketler yalnızca gelişimlerini ilerletmekle kalmaz, aynı zamanda pazardaki itibarlarını da yükseltebilirler, bu da daha yüksek yatırım getirisine yol açar.
Siber güvenlik stratejilerini iş sonuçlarıyla uyumlu hale getirmeye çalışırken kuruluşların karşılaştığı zorluklardan bazıları nelerdir?
Organizasyonların boğuştuğu önemli barikatlardan biri de siber tehditlere ilişkin net görünürlük ihtiyacıdır. Siber risk yönetiminde minimum hata marjı vardır ve yönetim kurullarından yatırımcılara ve müşterilere kadar paydaşlar bir şirketin siber güvenlik stratejisinin kristal netliğinde bir görünümünü talep eder. Ancak çalışmamızda profesyonellerin %41’i bu görünürlüğü sağlamada zorluk yaşadıklarını ifade etti.
Ayrıca, yetenek edinme konusunda acil bir sorun var. İşletmelerin üçte birinden biraz fazlası, yani %35’i, bütçelerini zorlamadan vasıflı siber güvenlik uzmanlarını işe almanın zor olduğunu düşünüyor.
Bunun yanı sıra, çoğu siber tehdit zamana duyarlıdır ve kuruluşlar kendilerini zor bir durumda bulurlar ve bu sınırlı görünürlük nedeniyle çoğu zaman derhal yanıt veremezler. Bu durum, siber güvenlik çabalarının daha geniş iş hedefleriyle senkronizasyonunu daha da engelledi.
Siber uzay, her gün yeni yapıların ortaya çıktığı ve manzarayı daha karmaşık hale getirdiği, hızla büyüyen bir şehre benzetilebilir. Profesyonellerin %37’si, bu genişleyen dijital alanın en temel siber güvenlik görevlerini bile nasıl zorlaştırdığına dikkat çekti. Peki bu hareketli şehir manzarasında nasıl gezineceğiz?
Kuruluşların, tüm BT bölgelerinin kuşbakışı görünümünü sunan, potansiyel tehlikeleri tespit eden, iş faydaları sağlayan ve operasyonel verimliliği artıran, iyi yapılandırılmış bir siber güvenlik yol haritası benimsemesi gerekiyor. Son teknoloji araçlara yatırım yapmak çok önemlidir. Yapay zeka gibi makine öğrenimi ile desteklenen bu dijital gözlemciler, ağınıza gerçek zamanlı olarak göz kulak olur ve potansiyel tehditleri öngörür. Kuruluşlar ellerindeki bu tür araçlarla ön adım atabilir, siber tehditleri çığ gibi büyüyerek daha büyük krizlere dönüşmeden önleyebilir ve dijital alanda daha sorunsuz bir yolculuk sağlayabilirler.
Göz önünde bulundurulması gereken diğer bir zorluk da radikal belirsizlikle, yani tahmin edilemeyen beklenmedik olaylarla başa çıkmaktır. Siber bağlamda bu genellikle tamamen yeni teknolojilerin veya saldırı tekniklerinin ortaya çıkması anlamına gelir. Bu ‘bilinmeyen-bilinmeyenler’ için önceden plan yapmak mümkün değil. Bununla birlikte, köklü bir güvenlik tuvaline sahip olan işletmeler radikal belirsizlikle başa çıkma konusunda daha iyi bir konumda olacak, iş ve güvenlik hedeflerini aynı hizada tutmakta zorlananlar ise beklenmedik durum karşısında daha fazla yanlış adım atacak.
yazar hakkında
Paul Brucianni, WithSecure™ Siber Güvenlik Danışmanı
“Siber güvenlik kariyerim World Wide Web’in icat edilmesinden kısa bir süre sonra başladı. Merkezi Helsinki’de bulunan, Avrupa’nın en büyük siber güvenlik şirketlerinden WithSecure’da siber güvenlik danışmanıyım.
Altın arama jeologu, uydu görüntüleme uzmanı, sistem mühendisliği danışmanı, barista, fırıncı ve öğretmen olarak çalışan eklektik, büyük ölçüde planlanmamış bir kariyerimin başındayım. Yeminli Bilgi Güvenliği Enstitüsü Üyesiyim ve siber güvenlik riski ve belirsizlikle ilgili konularda düzenli olarak blog yazarıyım.”
Paul’a çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi www.withsecure.com’dan ulaşılabilir.