CYE Kurucusu ve İcra Kurulu Başkanı Reuven Aronashvili tarafından
2021’de fidye yazılımı saldırılarının sayısı iki katına çıktı, tedarik zinciri saldırılarının sayısı üçe katlandı ve devlet destekli bilgisayar korsanlarından gelen tehditler artmaya devam ediyor. Finans ve sağlık gibi sektörler diğerlerinden daha fazla zarar görürken, saldırılar her yerde artıyor ve herkes savunmasız durumda.
Artık çoğu kuruluşun bir tür siber saldırı yaşaması kaçınılmazdır. Bu, bir şirketin siber riske maruz kalmasını tam olarak anlamaya ve daha akıllı planlama ve kapsamlı karar verme yetenekleri için gereken araçları anlamaya yönelik – artık gerçekçi olmayan – salt önleme tutumunda bir değişim olması gerektiği anlamına gelir.
Riske maruz kalmayı veya olası bir ihlalin maliyetini ve olasılığını dolar bazında ifade etmek, kuruluşlar için her zamankinden daha önemli. Şirketlerin uzun vadede kendilerini koruyabilmelerinin ve kuruluşlarının siber güvenliğini bir maliyet merkezinden iş farklılaştırıcısına ve hatta pazar avantajına kaydırırken kendilerini güçlendirebilmelerinin tek yolu budur. Peki kuruluşlar bunu tam olarak nasıl yapabilir?
Bütünsel Düşün
CISO güvenlikten sorumlu olsa da, bu artık yalnızca CISO’nun alanı değildir. Güvenlik değerli bir iş varlığıdır ve risktir ve CISO’ların yönetim kurullarında yer alması da dahil olmak üzere tüm üst düzey yöneticilerin dahil olması gerekir. Siber güvenlik, her sektörde verimliliği ve günlük operasyonları giderek daha fazla etkiliyor ve saldırılar veya ihlaller, operasyonları saatlerce veya günlerce durdurma veya kesintiye uğratma potansiyeli taşıyor. Geçen yıl Colonial boru hattının kapatılması gibi durumlarda görüldüğü gibi, siber saldırılar işi kesintiye uğrattığında, teknik azaltmanın çok ötesinde bir eylem talep ediyorlar. Bu tür durumlar halkla ilişkiler, ticari faaliyetlerde değişiklik, yasal işlemler ve daha fazlasını gerektirir. Saldırılara yanıt vermek tüm departmanları içerir, bu nedenle saldırıları planlamak ve güvenlik stratejisini tanımlamak gerekir. Günümüzün CISO’ları, güvenlikten sorumlu olarak görülmek yerine, işletme ve teknik kaygılar arasında, organizasyonu korumak için ortak bir çabaya öncülük eden önemli bir köprü olarak görülmelidir.
Riski ve maruziyeti ölçmek için otomatik araçları benimseyin
Siber güvenliğe gerçekten bütüncül bir yaklaşıma sahip olmak için, teknik olarak düşünmeyen yöneticiler de dahil olmak üzere herkesin riski ve olası çözümleri anlaması gerekir. Bu, riskin ve şirketin potansiyel tehditlere maruz kalmasının dolar bazında çevrilmesi ve açıklanması gerektiği anlamına gelir. Uygun bir riske maruz kalma hesaplaması, her bir varlığı, saldırıya uğrama olasılığını ve bu tür bir saldırının sonuçlarını dikkate alacaktır. Bu şekilde şirketler uygun çözümlere etkin bir şekilde yatırım yapabilir ve neyin korunmaya değer olduğuna ve ne pahasına olduğuna karar verebilir.
Otomasyon, veri ve yapay zeka, maruz kalmanın hesaplanmasında büyüyen ve önemli bir rol oynamaktadır. İnternet, siber risk hesaplayıcılarla dolu ve birçok güvenlik şirketi de bunları sağlıyor. Ancak çoğu, temel bileşenlerden yoksundur ve kurum içi bir IR ekibinin fiyatı gibi doğrudan maliyetlerin ve ihlallerin ardından para cezaları veya kriz iletişimi gibi dolaylı maliyetlerin dökümünü veremez. Çoğu, bir saldırı nedeniyle bir işletmeyi veya bir işletmenin bir bölümünü kapatmanın maliyeti gibi faktörleri de hesaba katmaz.
Bu nedenle CYE’de, saldırı rotalarını belirleyen ve teknik güvenlik açıklarını kurumsal risk profilinin bilimsel analizi yoluyla siber maruziyetin azaltılmasını optimize eden iş anlayışları ile ilişkilendiren bir SaaS çözümü sunuyoruz. Bu, sistemin olası her ihlale bir dolar tutarı atamasına izin verir ve tam olarak azaltmaların gerekli olduğu yerleri gösterir. Bu değerlendirmeler her şirket için benzersizdir ve en alakalı ve güncel verileri kullanan bir algoritmaya dayanır. Bu bir simülasyon değildir, daha ziyade gelişmiş algoritmalar ve grafik modelleme kullanımı yoluyla risk senaryosunun gerçek hayattaki bir resmini ve iş üzerinde sahip olabileceği nihai etkiyi sunar, aynı zamanda ulusal- seviye deneyimi. Bu, kullanıcıların daha büyük iş resminde güvenlik duruşlarını anlamalarına yardımcı olmak için şirketimizin genel yaklaşımıyla uyumludur.
Hedefli güvenlik çözümleri arayın ve insan faktörünü unutmayın
CISO’ların dikkati, özellikle en son güvenlik açıklarını takip eden yenileri sürekli olarak piyasaya sürüldükçe, tüm siber güvenlik çözümleri tarafından sıklıkla dikkati dağıtır. Bu, çok özel sorunları çözen birçok çözümle sektörde aşırı farklılaşma durumuna yol açmıştır. Şirketler, yalnızca birkaç konuyu birlikte ele alan daha bütünsel çözümler ve platformlar aramamalı, aynı zamanda yalnızca en son veya en popüler genel tehdit türünü çözmeyi hedeflemek yerine, çözümlerin gerçek risk maruziyetlerini azalttığından emin olmalıdır.
Çözümleri uygularken, insan ekibi de eşit derecede önemlidir. Kuruluşlar, güvenlik ekibinin, araçlardan en büyük faydaları elde etmek için araçları nasıl düzgün şekilde çalıştıracağını bildiğinden emin olmalıdır. Şirketler ayrıca en olası tehditlerin arkasındaki aktörleri anlamalı ve buna göre özel ve nitelikli siber yeteneklerle yanıt vermelidir. Bu, özellikle devlet destekli aktörlerin saldırılarının önlenmesi söz konusu olduğunda önemlidir.
Siber güvenlik sorunları ve çözümleri, yalnızca dünya daha dijital hale geldikçe çoğalacaktır. Ancak anahtar, çözümleri tehditlerle eşleştirmektir; ve insan faktörünü de hesaba katarken hangi tehditlerin en acil çözümler ve azaltma gerektirdiğine karar vermek.
yazar hakkında
CYE’nin Kurucusu ve İcra Kurulu Başkanı Reuven Aronashvili. Reuven, seri bir siber güvenlik girişimcisi ve ulusal bir siber güvenlik uzmanıdır. Reuven, eski bir Matzov ve İsrail ordusunun Kızıl Timi (Bölüm 21) ve Olay Müdahale Ekibi’nin kurucu üyesidir. Uzmanlığı, dünya çapında hükümetler ve çok uluslu kuruluşlar için yenilikçi güvenlik çözümleri tasarlama ve geliştirmenin yanı sıra yüksek profilli güvenlik iyileştirme programları yürütmektir. Reuven, önde gelen Fortune 500 şirketlerinde yöneticiler için güvenilir bir danışman olarak hizmet vermektedir ve ABD İç Güvenlik Bakanlığı tarafından dünya çapında bir ICS ve SCADA siber güvenlik uzmanı olarak sertifikalandırılmıştır. Reuven, askerlik hizmeti sırasında mükemmellik programının bir parçası olarak Tel-Aviv Üniversitesi’nde Bilgisayar Bilimleri alanında yüksek lisansını tamamladı.
www.cyesec.com
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.