Yazan: Mike Fleck, DigiCert Ürün Pazarlama Müdürü
İnternet bağlantılı deneyimleri değerli kılan şeyin temelinde dijital güven yer alıyor. İster bir e-ticaret satın alımı yapıyor olun, ister yasal bir belgeyi imzalıyor olun, ister telefonumuzu bir glikoz monitörüyle eşleştiriyor olalım, etkileşimde bulunduğumuz kişi ve cihazların meşru olduğundan emin olmamız gerekir. Bu etkileşimlerin güvende kaldığını bilmenin rahatlığına da ihtiyacımız var.
İş karar vericileri, dijital güvenin günümüzün iş süreçleri için temel olduğunu anlıyor. Yapay zeka ve deepfake gibi yeni güvenlik tehditleri ve gelişen teknolojiler güveni sarsmakla tehdit ederken, kuruluşların tüm iletişim ve tedarik zincirlerinde güveni korumak için proaktif bir şekilde çalışmaları daha da önemli hale geliyor.
DigiCert, kurumsal kuruluşların ne kadar başarılı olduğuna dair daha derin bir bakış açısı elde etmek için 2024’te yeni bir Dijital Güven Durumu anketi gerçekleştirdi. Dallas, Teksas’taki Eleven Araştırması, EMEA, Kuzey Amerika ve APJ’de küçük ve büyük işletmelerdeki 300 üst düzey karar vericiyle anket yaptı . Rapor, dijital güvene ilgiyi artıran bazı temel etkenleri araştırdı, kuruluşlardan ilerlemelerini değerlendirmelerini istedi ve belirli güven girişimlerinin başarısına ve zorluklarına yakından baktı.
Dijital güven akıllarda kalmayı sürdürüyor
Dijital Güvenin Durumu anketi, işletmelerin neden dijital güvene bu kadar odaklandığını belirlemeye çalıştı. En önemli sürücüler şunları içeriyordu:
- Günümüzün giderek karma hale gelen iş gücünün bir parçası olarak daha fazla uzaktan çalışanın ortaya çıkması
- Ağ ucunda iş ortaklarına ve müşterilere bağlanan ek cihazlar da dahil olmak üzere daha fazla ağ
- Müşterilerin dijital güvene yönelik beklentileri artıyor
Anket katılımcıları aynı zamanda artan iş temposu gibi etkenleri de dile getirdi; Tehdit yüzeyinin artması, ağ ve uygulama karmaşıklığının artması; ve kötü aktörlerden ve istismarlardan kaynaklanan artan tehditler.
Dijital güvenin gerekliliğini anlamalarına rağmen kuruluşlar hâlâ bunu başarma konusunda gerçek zorluklarla mücadele ediyor. Pek çok paydaş, tüm personelin dijital güveni merkezi, ölçeklenebilir bir şekilde yönetmek için gereken uzmanlığa sahip olmaması nedeniyle, çoğu personel uzmanlığı eksikliğiyle karşı karşıyadır.
Bağlantılı kullanıcıların ve dijital varlıkların sayısı arttıkça, işletmelerin koruması gereken şeylerin kapsamı da göz korkutucu hale geliyor. Kuruluşlar ayrıca ekonomik ortamın daha zorlu hale gelmesi ve kaynakların daha sınırlı olması nedeniyle yönetim desteğinin eksikliğini de dile getirdi.
Organizasyonlar ne kadar iyi çalışıyor?
Yeni anket çoğu işletmenin dijital güven konusuyla tamamen ilgilendiğini gösterse de başarıları belirli odak alanlarına bağlı olarak farklılık gösteriyor. Anket, dijital güven “liderleri” ile “geri kalanlar” arasındaki farkları daha iyi anlamak için sonuçları katmanlandırdı ve yanıtlarına göre kuruluşları karşılaştırdı.
Kurumsal güven uygulamaları
Kurumsal dijital güven genellikle BT tarafından yönetilir ve sertifika yönetimi, kimlik ve erişim yönetimi, uç nokta veya e-posta güvenliği gibi girişimleri içerir. Çoğu kuruluşta bu girişimler yıllardır uygulanıyor; dolayısıyla 100 kuruluştan yalnızca 1’inin kurumsal dijital güven uygulamalarını “çok olgun” olarak tanımlaması şaşırtıcıydı.
Yüzde 90’dan fazlası kesintiler, kesintiler ve veri ihlalleri bildirirken, çoğu kesintilere ve güvenlik olaylarına müdahale etme konusunda sınırlı çeviklik bildirdi. Ancak dijital güven liderleri olarak tanımlanan kuruluşlar çok daha iyi performans gösterdi. Bu kuruluşlar kurumsal güven ile ilgili daha az sorun yaşadı; herhangi bir kesinti olmadı, çok az veri ihlali yaşandı ve uyumluluk ya da yasal sorun yaşanmadı.
IoT ve bağlı cihaz güven uygulamaları
Bu kategori, fabrika sensörleri, ev termostatları ve akıllı saatler gibi IoT cihazları satan veya üreten şirketlere odaklandı. Kurumsal organizasyonlar gibi, bu üreticilerin çoğu iyi gidiyordu, ancak harika değildi.
Şaşırtıcı bir şekilde %87’si IoT’den ve bağlı cihazlardan şifrelenmemiş kanallar aracılığıyla kişisel bilgi alışverişinde bulunduklarını bildirdi. Ancak dijital güven liderleri bir kez daha geride kalanlardan daha iyi performans göstererek bağlantı ve IoT cihaz güveniyle ilgili herhangi bir uyumluluk sorunu bildirmedi.
Yazılım güveni
Anket ayrıca kuruluşların son müşterilere sattıkları veya dağıttıkları yazılımlar için dijital güveni ne kadar iyi sağladıklarını da inceledi. Neredeyse hepsi (%99) kod imzalama yazılımı kaynak kodu olduklarını bildirdi. Ancak kaplar gibi ortamların yalnızca üçte biri kod imzalıdır.
Bu uygulamalar harika bir başlangıç olsa da, 20 kişiden yalnızca biri kurumsal güven uygulamalarını son derece olgun olarak değerlendirdi. Hiçbiri, güvenliği ihlal edilmesi durumunda belirli bir kod imzalama özel anahtarına yönelik tüm uygulamaları keşfedebileceklerini bildirmedi. Dijital güven liderleri arasında daha az dijital güven sorunu bildirildi. Üst düzey kuruluşların hiçbiri uyumluluk sorunları veya yazılım tedarik zincirinde sorun yaşandığını bildirmedi.
E-imza güveni
E-İmza güven uygulamaları ankete katılan alanlar arasında en düşük puanı aldı. Katılımcıların yaklaşık yarısı satış, satın alma, maaş bordrosu ve yasal belgeler için elektronik mühür kullandı. Bu kategori ayrıca, kimlik hırsızlığı veya kimliğe bürünmeyle ilgili sorunların %100 raporlanması, kağıt bazlı sözleşme süreçleriyle ilgili sorunlar ve kötü aktörlerin bir belgeyi kendi kuruluşlarından geliyormuş gibi yanlış tanıtmasıyla dijital belge güven sorunlarıyla ilgili sorunların yüksek oranda görüldüğünü gösterdi.
Bununla birlikte, özellikle dijital güven liderleri arasında e-İmza güven uygulamaları, kuruluşlara dijital inovasyon, çalışan verimliliği ve marka itibarı konularında yardımcı olmuştur.
Güven konusunda proaktif bir yaklaşım benimsemek
Dijital güvenin önemi arttıkça, yönetimde başarılı olan kuruluşlar ile geride kalan kuruluşlar arasındaki uçurum da büyüyor. Dijital güven liderlerinin ve geride kalanların çoğu, nerede durduklarının zaten farkında. Ancak risk, kuruluşların sınırlamalarının farkında olmadığı durumlarda ortaya çıkar.
Dijital güven söz konusu olduğunda daha iyi bir kişisel farkındalık kazanmak ve etkili bir stratejiyi uygulamaya koymak için hangi adımları atabilirsiniz?
Envanter al
Dijital güveni yönetmenin ilk adımı, işletmenizin ona en çok bağlı olan kısımlarına ilişkin görünürlük ve içgörü kazanmaktır. Dijital güvene dayanan süreçlere yakından bakın ve kuruluşunuzun dijital kimlikleri, kriptografik anahtarları ve ilgili varlıkları nasıl koruduğunu, kullandığını ve yönettiğini anlayın. Envanteri manuel olarak yapabilir veya sistemlerinizi taramak ve/veya BT varlık yönetimi sistemlerinizden ve diğer kaynaklardan veri almak için teknoloji araçlarını kullanarak süreçleri otomatikleştirerek zamandan tasarruf edebilirsiniz.
Süreçlerinizi anlayın ve tanımlayın
Dijital güven süreçlerinize ilişkin güçlü bir anlayışa sahip olduğunuzda, bunları daha etkili bir şekilde destekleyecek ve bunları özel ihtiyaçlarınıza göre hizalayacak politikalar oluşturabilir veya güçlendirebilirsiniz. Kriptografi ve genel anahtar altyapısı gibi alanları kapsayan temel güven politikaları başlamak için iyi bir yerdir. Daha sonra daha özel dikkat gerektiren süreçlere ve araçlara odaklanabilirsiniz.
PKI yönetimini optimize edin
Kripto çevikliğine ulaşmak, gelecekteki tehditlere karşı proaktif bir yaklaşımın anahtarıdır. Politika uygulamasının merkezileştirilmesi ve kriptografik varlıkların yönetiminin otomatikleştirilmesi, kriptografik varlıkların geniş ölçekte güncellenmesini kolaylaştırabilir veya sorunları daha hızlı azaltabilir. Dijital varlıkları ve sertifikaları yönetmeye yönelik merkezi bir yaklaşım aynı zamanda görünürlük kazanmanıza, yönetimi kolaylaştırmanıza ve riski azaltmanıza da yardımcı olabilir.
Sonraki adımlar
Dijital güvene olan ihtiyacı çeşitli sektörlerde çoktan gördük ve önemi giderek artacak. Dijital güveni benimsemede nerede olursanız olun, yeni tehditlerle, yeni dijital iş süreçleriyle ve yeni fırsatlarla aynı hızda ilerlemek önemlidir. İleriye dönük bir stratejiyle, kuruluşunuzu hem bugünün hem de yarının değişen ihtiyaçlarını karşılayacak şekilde konumlandırabilirsiniz.
yazar hakkında
Mike Fleck, DigiCert’te Ürün Pazarlama Müdürüdür. Ağ güvenliği, veri şifreleme, tehdit istihbaratı, kötü amaçlı yazılım analizi, kimlik koruması ve e-posta güvenliği konularında 25 yıldan fazla siber güvenlik sektörü deneyimine sahiptir ve şeffaf veri şifrelemeye yönelik bir patente sahiptir.
Mike’a çevrimiçi olarak https://www.linkedin.com/in/mfleckca/ adresinden ve şirketimizin web sitesi https://www.digicert.com/ adresinden ulaşılabilir.