Siber dayanıklılık bugün önde gelen bir stratejik önceliktir ve çoğu kuruluş artık saldırıları azaltma yeteneklerini desteklemek için programlar izliyor.
Yine de siber esnekliğe verilen öneme rağmen, birçok kuruluş yeteneklerini ölçmekte veya ilerlemelerini takip etmekte zorlanıyor. Geçmişteki saldırı yanıt süreleri gibi güvenilmez göstergelere dayanan veya gerçek bir çerçeve olmadan çalışan, esasen kör uçarlar.
Pek çok kuruluş, dirençle ilgisi olmayan göstergeler, testler ve ölçütler kullanarak bir değerlendirme çerçevesi oluşturmaya çalışarak çarklarını döndürmeye çalışıyor. Doğru ölçütlerin olmaması aynı zamanda birçok firmanın gerçek yetenekleri hakkında çok az fikre sahip olduğu anlamına gelir ve bu da aşırı güven ve hazırlıksızlığın tehlikeli bir kombinasyonuna yol açar.
İşletmeler siber dayanıklılık söz konusu olduğunda anlamlı iyileştirmeler yapmaya nasıl başlayabilir?
Siber direnç, güvenlik becerilerinin ve bilgilerinin geliştirilmesine bağlıdır
Siber dayanıklılığın kalbi en son teknolojide değil, kuruluşun işgücünde yatmaktadır. Şirketin diğer yatırımları ne olursa olsun, çalışanlarına yatırım yapmazsa güvenlikte anlamlı bir artış görmesi pek mümkün değil.
Her şeyden önce bu, doğru eğitim ve deneyime sahip güvenlik personeline erişim sağlamak ve sürekli olarak öğrenip yeni tehditlere uyum sağlayabilmelerini sağlamak anlamına gelir.
Ama aynı zamanda teknik olmayan personel anlamına da geliyor. Güvenlik geçmişi olmayan üst düzey yöneticilere, ciddi ve zamana duyarlı bir krizin ortasında soğukkanlılıklarını korumaları ve kritik stratejik kararlar almaları için güvenilecek. Son olarak, şirket genelinde personelin kimlik avı gibi çok çeşitli siber tehditleri tanıma ve bunlara yanıt verme yeteneği anlamına gelir.
Kuruluşlar genellikle iş güçlerinin güvenlik stratejilerinin önemli bir parçası olduğunu bilirler, ancak genellikle nasıl etkili bir şekilde yatırım yapacaklarından emin değildirler.
Geleneksel siber güvenlik eğitimi, genellikle güncel olmayan öğrenme yöntemleri kullanılarak geçici olarak verilir ve kanıtlanmış yetenekler değil, öncelikle katılımı ölçer. Bu yaklaşım, siber hızına ayak uyduramayacak kadar yavaş ve yapmacık. Sınıf içi eğitim oturumları genellikle en az üç ay geridedir, bu nedenle ekip bunlarla başa çıkana kadar taktikler ve kötü amaçlı yazılım türleri zaten kullanım dışı kalmış olabilir.
Sınıf ortamları genellikle daha geniş iş gücü için varsayılandır, ancak kurslar çok nadiren sunulur ve katılımcıların davranışlarını anlamlı bir şekilde değiştirmek için yeterli bilgi birikimine sahip olmaları ve bu bilgileri elde tutmaları pek olası değildir. Liderlik aynı zamanda masa başı tatbikatlarla da meşgul olabilir, ancak yine bunlar çok seyrek ve gerçek bir siber krizin gerçekliğinden çok uzak tutularak genellikle etkisiz hale getirilir.
Sertifikalar, stratejik yönlendirmenin yerine geçmez
Kuruluşların güvenlik eğitimi ve geliştirme programlarına rehberlik etmesi için genellikle endüstri sertifikalarına güvendiklerini bulduk. Ancak güvenlik uzmanlarına tehditlere nasıl yaklaşabilecekleri konusunda genel bir yön verebilirlerken, mevcut belirli tehditleri ele almak veya gerçek hazırlıklı olmak için çok az şey yaparlar.
Birçok güvenlik karar vericisi, tehdit azaltma üzerinde anlamlı bir etkiye sahip olan sertifikalara güvenmediklerini bize söylediler. Anlamlı bir şekilde, güvenlik işe alımlarının çoğu sertifikaları dikkate almaz.
Siber güvenlik yeteneklerini gerçekten artırmak, beceri boşluklarını belirlemeyi, bunları doldurmayı ve şirketin üst düzey liderliğine dayanıklılıktaki artışı kanıtlamayı gerektirir.
Bunu başarmak, güvenlik becerileri ve farkındalığına amaçlı ve proaktif bir yaklaşım gerektirir.
Sürekli bir yaklaşım anahtardır
Siber dayanıklılığın sürdürülmesi, sürekli bir gelişim yaklaşımı gerektirir. Bir süredir sporadik, sınıf temelli öğrenme çabalarının, ne siber profesyoneller ne de teknik olmayan liderlik ve diğer personel için işletmelerin ihtiyaç duyduğu sonuçları vermediği açıktı.
Güvenlik gelişimini unutulabilir bir yıllık takvim hatırlatıcısına havale etmek yerine, sürekli bir yaklaşım, güvenliği yıl boyunca ön planda tutmalıdır.
Güvenlik tehditlerinin de gerçekçi simülasyon tatbikatlarıyla hayata geçirilmesi gerekiyor. Bu yaklaşım, katılımcılar için çok daha ilgi çekici bir deneyim ve yeteneklerinin çok daha doğru bir şekilde gösterilmesini sağlayacaktır. Gerçek hayattaki alıştırmalar, bir kişinin zihniyeti ve potansiyeli hakkında, bir sertifikanın genellikle ezberci, statik doğasından çok daha fazla fikir verir.
Güvenlik ekipleri, sektördeki en iyi uygulamalarla uyumlu olarak ortaya çıkan en son tehditlere hızlı ve güvenli bir şekilde yanıt vermeye hazır olmalıdır. Yeni keşfedilen sıfır günleri kapatmaktan Log4Shell’i kullanan saldırılar gibi gelen ciddi tehditleri hafifletmeye kadar doğru becerilere sahip olmaları gerekir.
Ancak, yaklaşan bir krizle karşı karşıya kalsalar bile, bunları sakince ve kontrollü bir şekilde uygulayabilmeleri gerekir. Bu yetenek ancak sürekli egzersizle geliştirilebilir.
Güvenlik stratejilerine odaklanmak için çerçeveleri kullanma
Bu faaliyet, kuruluşun önceliklerini ve hedeflerini tanımlayan bir çerçeve içinde gerçekleşmelidir. NIST gibi mevcut çerçeveler iyi bir başlangıç noktası olurken, firmalar ideal olarak bunu yapacak güvene ve verilere sahip olduklarında kendi çerçevelerini oluşturmalıdır. Amaç, liderlerin organizasyonlarındaki tüm ekiplerin ve departmanların güçlü ve zayıf yanlarını göstermeleri ve bunu endüstri kıyaslamaları ile karşılaştırmalarıdır.
Kuruluşlar sürekli olarak siber güvenliği stratejik bir öncelik olarak kabul ettiğinden, CISO’ların yönetim masasında yer alması da önemlidir. Bu daha yaygın hale gelse de, bazı işletmeler hala CISO raporlarını CIO’ya alıyor ve bu da güvenliği BT’nin bir alt bölümü olarak etkili bir şekilde sunuyor. CISO’nun yönetici seviyesinde doğrudan dahil olması, şirketin güvenlik hazırlığının kendi güveniyle eşleşmesini sağlamaya yardımcı olacak ve dayanıklılığa ihtiyaç duyduğu proaktif stratejik önemin verilmesini sağlayacaktır.