%100 güvenlik diye bir şeyin olmadığı kesin olarak kabul edilmiştir; aslında, bir güvenlik ihlali ‘eğer’ değil, ‘ne zaman’ meselesidir. Başka bir deyişle, risk her zaman var olacaktır ve işletmelerin düşüncelerini onu tamamen etkisiz hale getirmekten (ki bu imkansızdır) buna göre yönetmeye kaydırmaları gerekir.
Bu gerçeğe rağmen, birçok iş lideri ne yazık ki ekiplerinden %100 güvenlik bekliyor ve talep ediyor. Böyle bir duruş imkansız olduğundan, şirketler çalışanlarının işlev görmesini sağlamak için sahte bir güvenlik duygusuna razı olacaklardır. Bu zihniyet sadece yanlış değil, aynı zamanda sorumsuzdur.
İş liderleri bu modası geçmiş %100 güvenlik anlayışını terk etmeli ve risk yönetimi zihniyetini benimsemelidir. Bu strateji, patlama yarıçapının büyüklüğü ve ekiplerin tespit edip düzeltmesinin ne kadar sürdüğü hakkında sorular sorar. Böyle bir yaklaşım ayrıca insanların siber güvenlikte temel bir rol oynadığını, yani riski yönettiğini kabul eder ve stratejileri ve süreçleri uygun şekilde ayarlar.
Genel Çalışanları Siber Ekiplere Benzer Şekilde Eğitin
Siber güvenlik yeteneğine ihtiyaç duyulmasına rağmen, yaklaşık dört milyon siber profesyonelinin küresel olarak yetersiz olması işe alımları zorlaştırıyor. Bu yetersizlik, yetersiz personele sahip ekipler üzerinde baskı oluşturarak onları daha azıyla daha fazlasını yapmaya zorluyor ve sonuç olarak tükenmişliği artırıyor. Şanslı olup yetenekli bir çalışanı işe almanın dışında, işletmeler yalnızca işe alım yaparak yetenek açığını sihirli bir şekilde çözemezler. Ancak şirketler, aşırı çalışan siber güvenlik ekiplerinin omuzlarındaki yükü hafifletmek için genel çalışanlarının güvenlik yeterliliğini artırabilirler.
Genel çalışanlar yeterli eğitim almıyor. Tipik güvenlik farkındalığı eğitimi, videolar izlemek ve basit anlama sınavlarını tamamlamaktan biraz daha fazlasıdır. İnsan hatasının siber güvenlik sorunlarının %95’ini oluşturması şaşırtıcı olmamalıdır. Alternatif olarak, işletmeler siber güvenlik ekiplerinin herkese kullandığı aynı eğitim yöntemlerini sağlamalıdır – yani etkileşimli simülasyonlar ve gerçekçi provalar.
Sahte kimlik avı e-postaları gibi spontan güvenlik simülasyonları, şirketlerin iş gücünün güvenlik yeterliliğini anlamalarına ve kötü performans gösteren departmanlara özel eğitim sunmalarına olanak tanır. Ayrıca, rol ile ilgili eğitim maketleri kullanarak, kuruluşlar çalışanlarını gerçek olaylar için uygun protokolle donatabilir, kaygıyı azaltabilir ve güven aşılayabilir.
Karmaşıklıktan Kaçının, İnsanları Düşünerek Tasarlayın
Eğitim, bir şirketin güvenlik duruşunu güçlendirmek için paha biçilemezdir. Ancak güvenlik süreçleri çok karmaşık veya zahmetliyse ve kullanımı kolay değilse, hiçbir eğitim miktarı insanları bir sorunu çözmeye çalışarak değerli dakikalar harcamaya teşvik etmeyecektir. Örneğin, çalışanlar şüpheli bir bağlantıya tıklamamaları gerektiğini bilseler de, bağlantının güvenli olmadığını doğrulamak için zaman harcamak istemezler. Büyük olasılıkla, bir bağlantının içgüdülerinin ötesinde tehlikeli olduğunu nasıl doğrulayacaklarını bilmiyor olabilirler.
Kuruluşlar, tasarıma göre güvenli ve insan merkezli tasarım ilkelerini içerecek şekilde güvenlik süreçleri tasarlamalıdır. İlk yaklaşım, güvenliği teknik bir özellik olmaktan ziyade temel bir iş hedefi olarak konumlandırır. İkinci yaklaşım, insanları çözümün merkezine yerleştirir – daha spesifik olarak, tasarımcılar yardım etmeye çalıştıkları insanlara karşı empatiktir. Örneğin, gölgeli bağlantılarla uğraşırken, güvenlik ekibi ve tasarımcılar karmaşık olmayan ancak kullanımı hızlı ve kolay olan, çalışanların değerini algılayacağı ve tüm kuruluşun yararına kullanmaya teşvik edileceği kullanıcı dostu bir bağlantı doğrulama çözümü oluşturmalıdır.
İlginçtir ki, insan odaklı güvenlik çözümlerine yönelik bu eğilim ivme kazanmaya devam ediyor. Gartner, 2027’ye kadar siber güvenlik işlevlerinin %30’unun uygulama güvenliğini doğrudan siber uzmanlar tarafından tüketilecek ve uygulama sahiplerine ait olacak şekilde yeniden tasarlayacağını öngörüyor.
Sıfır Güven Modelini Uygulayın
İşletmeler siber güvenliği düşündüklerinde, yüksek duvarları ve derin bir hendeği olan bir kale hayal edebilirler. Kalelerini dışarıdan gelen saldırganları püskürtmek için inşa ederler, genellikle duvarların içinde gizlenen tehditleri unuturlar. İçeriden gelen tehditler olarak bilinen bu riskler, veri ihlallerinin %60’ını oluşturur ve kötü niyetli veya kazara olabilir.
Sıfır güven, patlama yarıçapını yönetmekle ilgilidir – yani kötü bir şey olduğunda ve olduğunda, hasarın boyutu ve miktarı nedir; benzer şekilde, ekiplerin ihlali tespit edip düzeltme yapması ne kadar sürer? Bu model, sıkı erişim kontrolleri sağlar, her şeyi doğrular ve sürekli olarak izler. Sıfır güven mimarisi ayrıca, saldırıları izole etmek ve engellemek için ağı mikro segmentlere böler ve kötü aktörlerin erişim elde etmeleri durumunda yanal hareketlerini kısıtlar.
Sıfır güven modeli, basit bir kaleyi geçitler, kapılar ve kontrol noktalarından oluşan bir labirente dönüştürerek, kasıtlı ve kasıtsız tehditlerden kaynaklanan hasarı en aza indirir. Bu yaklaşım çalışanlara karşı aşırı güvensiz görünebilirken, günümüzün öngörülemeyen tehdit ortamında fazlasıyla uygundur.
Güvenlikte Her Bireyin Bir Rolü Vardır
Siber güvenlik, yeni teknolojilerin tanıtılmasıyla sürekli olarak gelişmektedir. Örneğin, üretken yapay zeka, işletmelere ve kötü aktörlere eşit şekilde fayda sağlayarak manzarayı sonsuza dek değiştirir. Teknoloji sürekli olarak gelişse de, tekniklerin ve en iyi uygulamaların bir gecede alakasız hale gelmesine neden olsa da, insanlar her zaman herhangi bir risk yönetimi stratejisinin temel bir unsuru olacaktır. Bu nedenle, işletmeler, kuruluşun her bir üyesinin kuruluşun güvenlik refahı veya bunun eksikliği üzerindeki etkisini hatırlamalıdır.
Yazar Hakkında
Sam Rehman, EPAM Systems’da Baş Bilgi Güvenliği Sorumlusu (CISO) ve Siber Güvenlik Başkanıdır ve burada bilgi güvenliğinin birçok yönünden sorumludur. Bay Rehman, yazılım ürünü mühendisliği ve güvenliğinde 30 yılı aşkın deneyime sahiptir. Bay Rehman, EPAM’ın CISO’su olmadan önce Cognizant’ın Dijital Mühendislik İşletmesi Başkanı, Arxan’ın CTO’su ve Oracle’ın Sunucu Teknolojisi Grubu’nda çeşitli mühendislik yönetici rolleri de dahil olmak üzere sektörde bir dizi liderlik rolü üstlendi. EPAM’daki ilk görevi Baş Teknoloji Sorumlusu ve Küresel Teslimat Eş Başkanı olarak gerçekleşti.
Bay Rehman, yazılım güvenliği, bulut bilişim, depolama sistemleri ve dağıtılmış bilişim alanlarında patentli buluşlara sahip bir seri girişimci, teknoloji uzmanı ve müjdecidir. Birçok güvenlik ve bulut şirketine stratejik danışman olarak hizmet vermiştir ve çeşitli güvenlik sektörü yayınlarında düzenli olarak katkıda bulunmaktadır.
Web sitesi: https://www.epam.com/