Kuruluşunuz siber güvenlik felci mi yaşıyor? Pek çok işletme, bilgisayar korsanlarından ‘kimsenin güvende olmadığına’ dair sürekli endişe verici haberler akışı nedeniyle siber güvenlik paniği modunda. Tüm işletmelerin teknik olarak “saldırılabilir” olduğu doğru olsa da, büyük resmi görmek önemlidir – siber suçlular çabalarını öncelikle yüksek verimli hedeflere odaklama eğilimindedir. Bu, siber güvenlikte mükemmellik için çabalamanın çoğu şirket için gereksiz olduğu anlamına gelir.
Aslında mükemmellik, siber güvenlikte ilerlemenin düşmanıdır. ‘Tamamen güvenli’ olmaya çalışmak, nihayetinde, yenilikçiliğe ve üretkenliğe büyük zarar veren gerçekçi olmayan ve ulaşılamaz bir hedeftir. İşletmeler, mükemmelliği hedeflemek yerine kendilerini daha az savunmasız hale getirmek için pragmatik bir yaklaşım benimsemeli ve çabalarını yalnızca bilgisayar korsanı için en önemli risklere odaklamalıdır. Siber güvenliğe ölçülü, stratejik bir yaklaşım benimsemek, önemli olduğu yerde en fazla etkiye sahip olacak ve bu yaklaşım aynı zamanda bir işletmenin yenilik ve üretkenlik kapasitesini de koruyacaktır.
Çoğu şirket çoğu zaman saldırıya uğramaz
Bilgisayar korsanları mantıklıdır ve nakit ya da bilgi çalmak açısından en kolay hedefleri seçerler. Örneğin, yeni bir web sitesi belirli bir miktarda gelir sağlamadığı sürece, onu “tamamen güvenli” tutmaya acilen gerek yoktur, çünkü bilgisayar korsanları büyük olasılıkla küçük, kâr getirmeyen hedeflerle ilgilenmezler.
Bir işletmenin “saldırılabilirlik” açısından sektör ortalamasının üzerinde kalmasını sağlamak için kıyaslama kullanmak, saldırı olasılığını azaltmaya yardımcı olur. Şirketler, sağlam siber güvenlik önlemlerini uygulamaya koymak için doğru zamanı ortaya çıkarmak üzere geliştirdikleri yeni uygulamaların ve ürünlerin yaşam döngüsünde kilometre taşları belirleyebilir. Bu, işletmelerin siber güvenlik çabalarına öncelik vermesine ve önemli olduğu yerde en fazla etkiyi yaratmasına yardımcı olabilir.
‘Sağlıklı paranoyayı’ yenilikle dengelemek
Güvenlik, bir işin en önemli parçası değildir – bir güvenlik uygulayıcısı olarak benim açımdan şok edici gelebilecek bir açıklama. Evet, siber güvenlik tehditleri artıyor ve her kuruluşta sağlam bir güvenlik stratejisi uygulanmalıdır, ancak aşırı hevesli siber güvenlik uygulamalarının şirketlerin yenilik yapma, risk alma ve yeni teknolojiyi benimseme yeteneğini tehdit etmemesi hayati önem taşır. Ne yazık ki, bu her gün olduğunu gördüğüm bir şey.
Günümüzde STK’lar, CISO’lar ve BT liderleri, kuruluşlar içinde çeşitli yönlere çekiliyor ve çoğu zaman tüm güvenlik açıklarının ele alındığından emin olmak için çok büyük miktarda bilgiyle hokkabazlık yapmaları ve hızlı kararlar almaları bekleniyor. Birçokları işgücünü tamamen terk etmeye yetecek kadar, ancak diğerleri sadece ‘sağlıklı paranoya’ ile artan sayıda güvenlik tehdidiyle mücadele ediyor ve girdilerinde ekstra güçlü davranıyor. Bu yaklaşım, bir cevizi kırmak için balyoz kullanmaktır: orantısız bir tepki, bir işletmenin diğer bölümleri üzerinde istenmeyen olumsuz etkilere neden olabilir.
Güvenlik konusunda aşırıya kaçmak, şirketleri küresel başarıya iten benzersiz kültürel unsurları bastırabilir; bu, siber güvenliğe yatırım yapan iş liderlerinin bunu şirketlerinin çıkarlarını en iyi şekilde düşünerek yaptıkları için ironiktir. Ancak tünel görüşlü güvenlik, yeniliği önemsemez; sadece tam bir felaketi önlemekle ilgileniyor. Sonuç olarak, her şeyden önce güvenlik için çabalamak, genellikle yeni fikirler üzerinde daha az şansa sahip olmak veya yenilik yapma iştahını ve kapasitesini kaybetmek anlamına gelir. Daha düşük üretkenliğe sahip morali bozuk bir iş gücü yaratabilir ve şirketleri potansiyel olarak değerli riskler almaktan korkutabilir – bunların tümü bir şirketin geleceği ve daha geniş pazar fırsatları için zararlıdır.
İyi haber şu ki, işletmelerin büyük hacimli siber tehditlerle karşı karşıya kaldıklarında paniğe kapılmasına gerek yok çünkü çoğu durumda – ve çoğu işletme için – riskler çok düşük. Güvenlik uzmanları tehditleri her yerde görürler, ancak bunun telafisi için düzenli olarak geri adım atılmalı ve hangi risklerin şu anda gerçek, hangilerinin gelecekte gerçek olabileceği ancak acil müdahale gerektirmeyeceği konusunda bir perspektif duygusu kazanılmalıdır. Ancak – bunu söylemek yapmaktan daha kolay! Şans eseri, riski değerlendirmenize ve en büyük tehditleriniz hakkında önceden uyarı almanıza yardımcı olacak araçlar var.
İşletmeler, hangi risklerin gerçek zararla sonuçlanacağı ve hangilerinin tamamen teorik olduğu konusunda rasyonel (ve bir bilgisayar korsanının bakış açısıyla) düşünerek, siber güvenlik konusunda onları gereksiz korku olmadan fırsatları takip etme ve normal şekilde yenilik yapma konusunda güçlendirebilecek daha dengeli bir bakış açısı bulabilir. Sağlıklı dozda paranoya her zaman iyi bir şeydir, ancak (mükemmeliyetçilik yerine) ılımlılık ve mantık uygulamak, güçlü siber güvenlik temelleri oluşturmanın en mantıklı ve sürdürülebilir yoludur.