Tedarik zincirlerinin giderek dijitalleştiği ve siber saldırılara karşı savunmasız olduğu bir çağda CISO’nun rolü hiç bu kadar kritik olmamıştı. Cyber Express, lojistik sektöründeki siber güvenlik profesyonellerinin karşılaştığı zorlukları ve fırsatları tartışmak üzere Allcargo Group’un CISO’su Mihirr P Thaker ile bir araya geldi. Bu alanda yirmi yılı aşkın deneyime sahip olan Mihirr, dijitalleştirilmiş bir dünyada küresel tedarik zincirlerini güvence altına almanın karmaşıklıkları üzerine düşünerek bir BT uzmanından siber güvenlik liderine dönüşen yolculuğunu paylaştı.
Bu röportajda, güvenlik ile operasyonel verimlilik arasındaki kritik denge, tehdit tespitinde yapay zekanın rolü ve dayanıklı siber güvenlik çerçeveleri oluşturmada işbirliğinin önemi hakkında CISO’nun bakış açısını sunuyor.
İşte röportajdan bir alıntı.
: Siber güvenlik alanındaki kişisel yolculuğunuzu ve sizi Allcargo Group’ta Bilgi Güvenliği Direktörü olmaya iten şeyin ne olduğunu paylaşabilir misiniz?
Mihir P Thacker: Bilgisayar Bilimleri alanında ilk resmi eğitimim ve BT altyapı hizmetleri için sistem entegrasyonu ortaklarıyla iş rollerine başladığım ilk işlerden sonra, siber güvenlik alanına profesyonel yolculuğum 2005 yılında başladı. ISACA (Bilgi Sistemleri Denetim ve Kontrol Derneği) ile tanıştım. bir arkadaşım tarafından. ISACA, sürekli öğrenme, eğitim ve fikir alışverişi için bir platform sunan IS/IT profesyonellerinden oluşan küresel bir topluluktur. O dönemde beş yıllık tecrübeye sahip genç bir bilişim uzmanı olarak ISACA’ya üye olmak kariyerimde bir dönüm noktası oldu.
2006 yılında Sertifikalı Bilgi Sistemleri Denetçisi sertifikasını aldım ve kariyerime bilgi güvenliği, siber güvenlik, iş sürekliliği yönetimi, risk yönetimi uygulamaları vb. alanlarda başladım. Bu, sürekli öğrenmenin heyecan verici bir aşamasıdır ve halen devam etmektedir. Veri koruma ve siber güvenlik uygulamaları işin merkezi aşamasında olduğundan ve devam eden teknoloji ilerlemesi ve büyümesi nedeniyle sürekli olarak geliştiğinden, bilgi tabanımı ve becerilerimi daha da güçlendirmek için 2021’de ISACA’da Siber Güvenlik Nexus Profesyonel (CSX-P) sertifikası aldım. İnternetin dijitalleşmesi ve yaygınlaşması.
Bu arada bilgi birikimim ve uzmanlığım sayesinde çeşitli kuruluşlarda kademeler yükseldim. Allcargo Group’ta Bilgi Güvenliği Baş Sorumlusu (CISO) rolü bana deneyimli bir siber güvenlik uzmanı olarak kendimi yeniden keşfetme ve sağlam bir siber güvenlik ve bilgi güvenliği sistemi oluşturmak için öğrenimimi ve deneyimimi ortaya çıkarma fırsatı verdi.
Temel teknolojileri ve insan sermayesini kullanarak küresel lojistik holdingi için gelişmiş bir siber güvenlik çerçevesi geliştirme sürecinin tamamı sınırlarımı zorladı. Dik bir öğrenme eğrisi üzerindeydim. Bununla birlikte, siber güvenlik alanında başarılarınıza güvenmeyi göze alamazsınız. Bu nedenle, ekip üyelerimiz ortaya çıkan zorluklarla yüzleşmek için her zaman tetiktedir.
: Bir CISO olarak karşılaştığınız en önemli sorun noktalarından bazıları nelerdir ve bunları nasıl ele aldınız?
Mihir P Thacker: Bir CISO’nun istenen etkiyi yaratabilmesi için kurumsal BT ortamında hem işbirlikleri hem de işbirlikleri gerekir. Kontrol mekanizmaları çeşitli noktalarda (masaüstü bilgisayarlar ve dizüstü bilgisayarlar gibi uç noktalar, sunucular, uygulamalar, veritabanları ve hatta güvenlik duvarları gibi çevre savunmaları) uygulandığından, güvenlik kontrollerini uygulama süreci işbirliği gerektirir.
Bu kontroller sunucu yöneticileri veya masaüstü uygulama yöneticileri gibi farklı ekipler tarafından yönetilmektedir. Beklentilerin ve güvenlik hedeflerinin açık bir şekilde iletilmesi ve operasyonel önceliklerle uyumlu hale getirilmesi gerektiğinden, bu platformlarda güvenlik önlemlerinin uygulanması önemli bir işbirliğini gerektirir.
İnsan ruhu, herkesin kesintisiz erişimi tercih etmesidir. Bu nedenle yazılımlara, sistemlere vs. erişmek için her seferinde şifre girme fikri dirençle karşılaşabilir. Böyle bir senaryoda, bu önlemlerin öneminin aktarılmasında etkili iletişim hayati önem taşıyor. Güvenlik bir engel olarak değil, büyümeyi kolaylaştırıcı olarak görülmelidir. Siber güvenlik, Formula 1 araçlarının en iyi fren sistemine benzer. Gerekli güvenliği sağlayarak daha yüksek performansı kolaylaştırır.
Siber güvenlik alanında Hindistan, teknoloji dağıtımı açısından hızlı ilerleme kaydediyor. Gelişmiş siber güvenlik önlemleriyle donatılmış UPI’nin başarılı bir şekilde kullanıma sunulması, bu ilerlemenin bir kanıtıdır. Bununla birlikte, yazılımlarda sıfır gün güvenlik açıklarının ortaya çıkması, sağlam bir güvenliği sürdürmek için dikkatli olmayı ve hızlı yama uygulamayı gerektiren bir zorluk teşkil etmektedir.
Siber güvenlik tehditlerinin proaktif olarak tanımlanmasını, değerlendirilmesini, önceliklendirilmesini ve hafifletilmesini içeren etkili güvenlik açığı yönetimi, tıpkı bir salgın karşısında bağışıklığın korunması gibi, anahtardır.
: Stratejik gözetim ile CISO rolünün günlük operasyonel talepleri arasındaki dengeyi nasıl yönetiyorsunuz?
Mihir P Thacker: Bir CISO kendisini günlük operasyonların yönetimine kaptırırsa, daha geniş stratejik hedeflere ve daha büyük organizasyonel hedeflere olan odağını kaybeder. Detaylara dikkat inkar edilemez derecede önemlidir. Sonuçta şeytanın ayrıntıda gizli olduğu söylenir. Dolayısıyla bir adım geriye çekilip büyük resmi görmek de gerekiyor. Bilgi çağında, verileri analiz etme, anlamlı içgörüler elde etme ve bunları eyleme dönüştürülebilir istihbarata dönüştürme yeteneği, bilinçli kararlar almak için hayati öneme sahiptir.
Ancak kendinize çok fazla şey yapmakla takıma çok fazla şey devretmek arasında ince bir çizgi var. Her şey devredilirse kritik ayrıntılarla bağlantının kopma riski vardır. Öte yandan her şeyi kendiniz yapmanız ekibin gelişimini engelleyebilir ve genel stratejik denetimi sınırlayabilir. Bir CISO’nun hem kontrolü sürdürmek hem de ekiple bağlantıları geliştirmek için bu dengeyi bulması gerekir.
Dengeyi tutturmak için benim tarifim, stratejik bir bakış açısını korurken devam eden operasyonlara katılmak için ekiple günlük etkileşimler ve haftalık, aylık ve üç aylık incelemeler yapmaktır. Etkili strateji oluşturma ve operasyonel dayanıklılık sağlamak için bunlar arasında bir denge oluşturmaya çalışıyorum.
: Lojistik sistemlerin güvenliğinin sağlanmasında dış siber güvenlik uzmanları ve satıcılarla işbirliği ne kadar önemli?
Mihir P Thacker: Dijital olarak etkinleştirilmiş bir tedarik zinciri operasyonu, sektörün işleyişi için kritik bir hizmet olduğundan güçlü bir siber güvenlik çerçevesi gerektirir. Dolayısıyla siber güvenlik olaylarının olasılığını azaltmak, operasyonel dayanıklılığın oluşturulması sürecinde bir öncelik haline geliyor. Birbirine bağlı bir ekonomide, tedarik zinciri şirketleri, mobil uygulamalar, e-posta, API’ler vb. gibi birden fazla dijital platform üzerinden birden fazla ortakla etkileşime girer.
Bu nedenle, siber güvenlik uzmanlarıyla harici işbirlikleri aramak, genellikle yetkisiz erişime ve siber saldırılara karşı daha güçlü güvenlik kalkanları geliştirmeye yardımcı olur. Ancak, dış uzmanları işe alırken bazı önlemlerin alınması gerekir ve bu güvenlik önlemleri arasında durum tespitinin yapılması, dış uzmanların veri erişim faaliyetlerinin takip edilmesi, veri erişimine bir sınır belirlenmesi vb. yer alır.
: Teknolojinin hızla ilerlemesiyle birlikte, lojistik sektöründe siber güvenliği dönüştüren yapay zeka odaklı tehdit tespitini ve yanıtını nasıl görüyorsunuz?
Mihir P Thacker: Yapay zeka, siber tehditleri ve siber güvenlik ihlallerini tespit etmede tahmine dayalı karar verme yeteneklerini güçlendirir. Çeşitli kaynaklardan gelen geniş veri kümelerini işleyerek ve insan analistlerin fark edemeyebileceği ince uyarı işaretlerini belirleyerek tehdit algılama yeterliliklerini artırır. Ayrıca insan müdahalesi olmadan görevleri otomatikleştirir.
Bu bir bakıma lojistik ve tedarik zinciri organizasyonlarının hayati sorunlu alanları ele almada insan zekasını kanalize etmelerine yardımcı olur. Küresel tedarik zinciri giderek daha karmaşık hale gelirken yapay zeka, saldırıları önlemek için siber güvenlik yeteneklerinin optimize edilmesine yardımcı olabilir.
: Sıkı güvenlik önlemleri uygulamak ile çoğu zaman hız ve gerçek zamanlı veri erişimi gerektiren lojistik operasyonlarının verimliliğini sürdürmek arasında nasıl bir denge kurarsınız?
Mihir P Thacker: Dijitalleştirme, hem iç hem de dış paydaşlar için kusursuz ve sorunsuz bir kullanıcı deneyimi yaratmayı amaçlıyor. Ancak aynı zamanda paydaşlarla ilk aşamada müzakerelerin yapılması ve bunların siber güvenlik hedefleri ile uyumlu hale getirilmesi de önemlidir. Çünkü uygun güvenlik önlemleri ve uygulamaları olmadan dijitalleşmeye acele etmek, güvenlik açıklarının artmasına neden olabilir.
Herkesin siber güvenliğin rolünün polislikle ilgili olmadığını anlamasını sağlamak da kritik önem taşıyor. Güvenliğin sağlanması herkesin sorumluluğundadır. Bir kuruluşta herkesin siber güvenlik çalışmalarına katkıda bulunması gerekir. Paydaşları bu uygulamaların önemi konusunda eğitmek, güvenli bir ortamın teşvik edilmesi açısından çok önemlidir. Dijital güven bu şekilde oluşturulur ve sonuçta sağlam güvenlik uygulamalarına bağlı kalınır. Güçlü bir siber güvenlik çerçevesinin gizlilik, bütünlük ve kullanılabilirlik üçlüsüne dayandığı ve bir siber güvenlik profesyonelinin bu temelin temel mimarı olduğu unutulmamalıdır.
: Sizin bakış açınıza göre lojistik sektörünün şu anda karşı karşıya olduğu en önemli siber güvenlik zorlukları nelerdir ve bunlar nasıl gelişiyor?
Mihir P Thacker: Lojistik ve tedarik zinciri operasyonları, malların verimli bir şekilde taşınması için çeşitli düzeylerde birden fazla paydaş arasında işbirliği ve işbirliği gerektirir. Elektronik veri alışverişinin (EDI) ve uygulama programı arayüzünün (API) ortaya çıkışı, tedarik zinciri paydaşları arasında veri alışverişini hızlandırdı ve işbirliklerini senkronize etti. Artık bu teknolojilerin giderek daha fazla benimsenmesiyle birlikte, bir lojistik şirketinin siber güvenlik yöneticisinin temel sorumluluklarından biri, hayati önem taşıyan sistem ara bağlantılarını siber risklerden uzak tutmaktır.
Ayrıca, gelişmiş lojistik hizmet verimliliğine yönelik artan talep göz önüne alındığında, lojistik şirketleri eski sistemlerini elden geçiriyor ve bulut bilişimi benimsiyor. Bu nedenle, bunları bir zorluk olarak adlandırmak yerine, senaryoyu siber güvenlik profesyonellerinin öğrenme eğrisini iyileştirmeleri ve karmaşık dijital tedarik zincirindeki güvenlik açıklarını gidermeleri için bir fırsat olarak görmek istiyorum.
: Siber güvenlik sektörünün hala yenilik veya iyileştirme konusunda eksik olduğu temel alanların neler olduğuna inanıyorsunuz?
Mihir P Thacker: Hindistan’daki siber güvenlik ortamı bir değişim halinde ve dijital ilerleme, daha fazla iyileştirme için hem fırsatlar hem de potansiyel sunuyor. Bununla birlikte, teknolojik gelişmelerin hızlı temposunun ortasında, teknolojinin benimsenmesi gerici olmaktan ziyade stratejik bir yaklaşım gerektirir. Yeni teknolojiyi sırf trend olduğu için benimsemek kötü sonuçlara yol açabilir. Örneğin, yapay zeka şu anda moda bir kelime, ancak güvenlik uzun süredir SIEM (Güvenlik Bilgileri ve Olay Yönetimi) gibi benzer kavramları kullanıyor. Mekanizmalar günlükleri birleştirir ve eyleme geçirilebilir bilgiler sağlar.
Yapay zeka ve veri bilimi artık bu yetenekleri geliştirerek daha hızlı ve daha verimli işlemeyi kolaylaştırıyor. Bu nedenle abartılı reklamlardan elde edilen gerçek faydaların belirlenmesi önemlidir. Gartner’ın heyecan döngüsü, her teknolojinin çeşitli yaşam döngüsü aşamalarından geçtiğini ve siber güvenlik liderlerinin benimsenmeden önce bu teknolojinin alaka düzeyini ve değerini dikkatle değerlendirmesi gerektiğini gösteriyor.
Üstelik siber güvenlik alanındaki tehdit aktörleri artık her zamankinden daha akıllı. Bu nedenle, bu kötü niyetli bireyleri veya grupları belirlemek ve bunlara karşı bir savunma hazırlamak için siber güvenlik profesyonellerinin işbirliği yapması ve girdi alışverişinde bulunması gerekir. Bilgi paylaşımındaki kolektif çabalar, sürekli iyileştirmeyi teşvik edecek ve siber güvenlik savunucularının ortaya çıkan tehditlerin önünde kalmasını sağlayacaktır.
İlgili