İyi bir siber güvenlik stratejisi her zaman bir işletmenin hangi riski tolere etmeye istekli olduğunu tanımlayarak başlamalıdır ve bu, BT güvenlik yöneticisinin iş arkadaşlarını da dahil etmesi gereken bir görevdir.
Ancak bilgi güvenliği sorumlusunun (CISO) siber güvenlik stratejisini hazırlarken risk azaltma çabalarını destekleyecek yatırımları ve eylemleri net bir şekilde nasıl tanımlayacağını bilmesi de önemlidir. Bu, 2021'de IBM'den ayrılan BT hizmetleri sağlayıcısı Kyndryl'in küresel uygulama lideri, güvenlik ve dayanıklılık uzmanı Kris Lovejoy'un tavsiyesi.
“CISO'ların çoğu kez yatırımların insan, süreç ve teknoloji açısından sunacağı değer konusunda net olmadıkları için başarısız olduklarını gördüm. Açık bir anlayış olmadan, yönetim genellikle yatırımların mükemmel koruma sağlamasını bekler. Bunun mümkün olmadığını hepimiz biliyoruz” diyor.
Buna üretken yapay zekanın (GenAI) benimsenmesi de dahildir. Lovejoy'a göre GenAI, BT güvenlik ekiplerinin günümüzün şiddetli tehditleriyle başa çıkma becerilerini geliştirmelerine olanak tanıyan bir araçtır ancak onu “güvenilir bir ortak” olarak kullanmak, öncelikle uygun sınırların ve yönetimin oluşturulmasını gerektirir.
ComputerWeekly ile yaptığı röportajda Lovejoy, BT güvenliğini geliştirmek için BT ortamlarını basitleştirmenin ve eski altyapıları modernleştirmenin gerekli olduğunu açıklıyor ve kurumsal siber dayanıklılık kültürüne ulaşmak için çalışanların farkındalığını güçlendiren eğitim ve alıştırmalara yatırım yapmanın önemini vurguluyor.
CIO'lara ve CISO'lara önerilerinizden biri, yönetimi ve güvenliği iyileştirmek için BT ortamlarını basitleştirmeye çalışmaktır. Peki bunu yapmaya nasıl başlayacaksınız? Bunu başarmak için farklı modeller var mı? Sizce bunu yapmanın en iyi yolu nedir?
Kris Lovejoy: Basitleştirmeye “önce kritik hizmetler” perspektifinden yaklaşmak her zaman en kolay yoldur. Kritik iş fırsatlarını destekleyen sistemler hakkında doğru bir anlayışa sahip olduğunuzu varsayarsak, CIO'lara ve CISO'lara, tasarrufları kontrol otomasyonuna kaydırmak amacıyla satıcıları birleştirme ve maliyetleri düşürme fırsatının olup olmadığını belirlemek için güvenlik kontrollerini analiz etmelerini öneririm.
Buna paralel olarak, kritik olmayan sistemler için bunları kullanımdan kaldırma veya en azından operasyonlarını destekleyen altyapıyı radikal bir şekilde basitleştirme seçeneklerini değerlendirin. Bu yolculuğun neresinde olursanız olun, başarının işbirliği kültürüne ve sürekli iyileştirmeye bağlı olduğunu unutmayın. Bu bileşenler olmadan herhangi bir basitleştirme yolculuğu başarısız olur.
Siber güvenlik tehditleri ve riskleri birden fazla cepheden gelebilir ve sürekli olarak gelişir. Yapay zeka destekli araçlar bunları başarılı bir şekilde tanımlamaya hazır mı?
Aşk keyfi: Yapay zeka, kuruluşların potansiyel tehditleri ve güvenlik açıklarını çok daha hızlı ve kolay bir şekilde belirleme ve tespit etme yeteneğini giderek daha fazla geliştiriyor. Güvenlik ekiplerine her gün yüksek düzeyde veri akışıyla, bunların hepsini anlamlandırmak büyük bir zorluk haline geldi.
Sonuç olarak kuruluşlar, otomasyon ve analitik tekniklerini kullanarak gürültüyü daha etkili bir şekilde elemek için makine öğrenimini ve yapay zekayı kullanıyor. Üretken yapay zekayı, yapay zeka ve makine öğreniminin bir sonraki evrimi olarak görüyoruz. Uygun korumalar uygulanırsa üretken yapay zeka, bu tehditleri daha hızlı analiz etme yeteneğimizi daha da geliştirmek ve güvenlik ekibini daha etkili hale getirmek için bir sonraki adımı atabilir.
Çalışanlarınızı yapay zeka destekli saldırılarla başa çıkmaları için nasıl eğitebilirsiniz?
Aşk keyfi: Siber dayanıklılık ortamı her yıl daha karmaşık hale geliyor. Gelişmiş ve iyi finanse edilen aktörler, fidye yazılımı ve hizmet reddi saldırıları gibi başarılı yıkıcı saldırıların artan oranları, beceri eksiklikleri, bütçe kısıtlamaları, savunmasız eski cihazlardan oluşan büyüyen bir gayrimenkul ve giderek daha kuralcı hale gelen siber düzenlemeler, siber güvenliğin yönetimini her zamankinden daha zorlu hale getirdi .
Kuruluşlar değişen bu dinamikleri takip etmek için doğru adımları atabilir ve işlerini korumak için güçlü önlemler uygulayabilirken, iş gücü en zayıf halka olmaya devam ediyor. Üretken yapay zeka, bu bağlantıdan yararlanmak için kullanılabilecek giderek daha etkili bir teknoloji olduğunu kanıtlıyor.
Riske karşı koymak için liderlerin sorumluluk ve şeffaflığa değer veren bir şirket kültürü geliştirmesi gerekiyor. Bu, çalışanların siber dirençli bir ortam yaratılmasına aktif olarak katkıda bulunmalarını sağlamayı ve güvenlik sorunlarını herhangi bir sonuç korkusu olmadan bildirmenin önemini vurgulamayı içerir.
Daha taktiksel olarak, siber güvenlik eğitimine, masa üstü tatbikatlara, testlere ve siber simülasyonlara yatırım yapmak, çalışanların eğitimin önemini anlamalarını ve bilgileri akılda tutmalarını sağlamak için çok önemlidir.
Üretken yapay zekanın artmasıyla birlikte birçok kuruluş buna uyum sağlama konusunda istekli. Yapay zeka projeleriyle etkileşime geçmek isteyen kuruluşlar bu zorlukların üstesinden nasıl gelebilir?
Aşk keyfi: Kuruluşlar, özerk teknolojiyi etik ve sorumlu bir şekilde geliştirip kullanan, keşfedilmemiş ve büyük ölçüde düzenlenmemiş alanlara giriyor. Bu stratejileri akılda tutmak ve bunu sistematik ve riske duyarlı bir şekilde yapmak önemlidir.
Rehberlik için yeni ortaya çıkan yapay zeka standartlarına bakın. Verilerin kaynağına ve bütünlüğüne dikkat edin. Üretken yapay zeka yolculuğuna bir kullanım senaryosu ile başlayın; GenAI'yi başarılı bir şekilde kullanmanın en etkili yaklaşımlarından biri müşteri desteğidir.
Yapay zeka son derece çekici ve iyi niyetli olsa da, uygun şekilde yönlendirilip yönetilmediği takdirde ortalığı kasıp kavurma potansiyeli de taşıyor. Bu nedenle, yapay zekanın işletmeler için güvenilir bir yardımcı olarak işlev görmesi için uygun korkulukların ve yönetimin en baştan ayarlanması gerekir. Ve bu korkulukların riskleri yönetmek ile sürdürülebilir inovasyon ve büyümeyi sağlamak arasındaki dengeyi uygun şekilde kurması kritik önem taşıyor.
Başarılı olabilecek bir siber güvenlik stratejisi geliştirirken nelere dikkat edilmelidir? Bir CISO'nun atması gereken ilk adım nedir? Yeterli koruma durumuna nasıl ulaşırsınız?
Aşk keyfi: Siber güvenlik bir risk yönetimi sürecidir. Bu, bir kuruluşun iş operasyonlarını ve verileri etkileyebilecek siber saldırıları tanımlamasına, bunlara karşı koruma sağlamasına, bunlara dayanmasına ve kurtarma yapmasına olanak tanır.
İyi bir siber güvenlik stratejisi her zaman iş riski toleransının tanımlanmasıyla başlar; işletme ne kadar risk almaya isteklidir? Risk yok, minimum risk, orta risk, diğer? Bu, CISO'ların en başından itibaren işle ilgilenmesini ve “iyi”nin neye benzediğine dair ortak bir anlayışı açıkça tanımlamasını gerektirir.
“Güvenlik ekiplerine her gün yüksek düzeyde veri akışıyla, bunların hepsini anlamlandırmak büyük bir zorluk haline geldi”
Kris Lovejoy, Kyndryl
Bu anlayışla, bir CISO'nun, risk azaltma çabalarını destekleyecek hangi yatırımların veya eylemlerin somut terimlerle tanımlanmasına olanak tanıyan, bir risk çerçevesine dayanan mantıksal bir strateji oluşturması mümkün hale gelir. Daha sonra risk/ödül dengesinin kabul edilebilir olup olmadığına karar vermek yönetimin meselesi haline gelir.
“Neyin yeterince iyi olduğu” ortak anlayışına dayalı bir strateji oluşturarak, CISO, kaçınılmaz ihlal meydana geldiğinde “çantayı elinde tutmak” zorunda kalmayacaktır.
CISO'ların strateji geliştirmede başarısız olmasının bir diğer önemli nedeni de doğası gereği güvence altına alınamayan şeyleri güvence altına almaya çalışmalarıdır. Günümüzde çoğu kuruluş hiçbir zaman kullanımı güvenli olmayacak bir dizi eski varlığa sahiptir. Bu durumda CISO'nun, daha dayanıklı iş operasyonlarını desteklemek için modernizasyonun birincil savunucusu olması gerekiyor.
Veri kalitesi güvenlikle nasıl ilişkilidir?
Aşk keyfi: Eski bir atasözü vardır: Kötü veri girer, kötü veri çıkar. Yapay zekaya giderek daha fazla bağımlı hale geldiğimiz bir çağda, bu ifadenin mutlak gerçeğini kabul etmeliyiz: Kaynak ve bütünlüğün minimum düzeyde sağlandığı güvenilir veriler, her türlü analitiğin temelidir. Bu, kuruluşların ciddi risk altında olduğunu gördüğüm bir alandır.
Yapay zeka algoritmaları etrafında etik ve güvenlik konusunda sağlıklı tartışmalar olsa da, algoritmaları beslemek için kullandığımız verilerin kaynağını ve bütünlüğünü çoğu zaman dikkate almıyoruz. Kendimize şu soruyu sormamız kritik önem taşıyor: Verilerin manipüle edilmediğine güvenebilir miyiz? Bir yapay zeka algoritması eğitildikten sonra geri dönüp kötü verileri temsil eden özellikleri kaldırarak “eğitimden çıkarmanın” neredeyse imkansız olduğunu unutmayın.
Sanki bir çocuğa eğitim veriyormuşsunuz gibi düşünün. Nasıl ki bir çocuğun televizyonda izlediklerini “görmemesini” sağlayamazsınız, aynı şekilde yapay zekanın da beslediği verileri görmemesini sağlayamazsınız.
İş esnekliği nasıl sağlanır? Şirketlerin bu kavramı ve bunun neleri gerektirdiğini iyi anladığını düşünüyor musunuz?
Aşk keyfi: Kyndryl, müşterilerin dijital olarak etkinleştirilmiş işletmelerinin dayanıklılığını sağlama ihtiyaçlarını karşılamak için farklı bir yaklaşım benimsemiştir. Yaklaşımı siber dayanıklılık olarak adlandırdığımız kavramla özetledik. Bunu, siber etkin bir işletmeyi etkileyen herhangi bir olumsuz durumu, kesintiyi veya uzlaşmayı öngörme, bunlara karşı koruma, dayanma ve bunlardan kurtulma kapasitesi olarak tanımlıyoruz.
Kuruluşların, geleneksel siber güvenlik tehditlerine dar görüşlü bir odaklanmanın ötesine geçmesi ve fidye yazılımı saldırıları, kasırgalar, su baskını, elektrik kesintileri, salgın hastalıklar ve siber saldırılar gibi siber etkin işlerinde meydana gelebilecek çeşitli kesintileri öngörmeyi, korumayı, bunlara dayanmayı ve bunları iyileştirmeyi düşünmesi gerektiğine kuvvetle inanıyoruz. Daha.
Bu, yukarıda açıklanan geniş pencereden bakan bir siber risk yönetimi çerçevesinin benimsenmesiyle başarılabilir.
Bu, insan davranışıyla ilgili bir ifade olsa da, olgun farkındalık sahibi kuruluşların düzenlemeye tabi ülkelerde ikamet ettiğini veya sektörlerde faaliyet gösterdiğini gördük. Düzenleme olmadığında kuruluşlar yalnızca bir olay yaşadıktan sonra yatırım yapma eğilimindedir. Siber düzenleme haritasına bakıldığında, önemli bir aksaklık veya ihlal karşısında hangi kuruluşların diğerlerinden daha iyi durumda olacağını tahmin etmek kolaylaşıyor.