Siber güvenlik artık işletmeler için önemsiz bir sorun değil. Bir zamanlar silolar halinde bir işlev olan, her şeyden çok zorunluluktan dolayı orada olan şey, artık her başarılı işin dokusuna işliyor. Siber güvenlik girişimlerini bir yan proje olarak görmeye devam eden herhangi bir işletme, kendisini başarısız olmaya hazırlıyor.
Güvenlik ve Borsa Komisyonu (SEC), yönetim kurullarının konuya nasıl yaklaşması gerektiğine dair yeni düzenlemelerle siber güvenliğin önemi hakkındaki tüm şüpheleri giderdi. Son haline getirilme sürecinde olan düzenlemeler, şirketlerin herhangi bir ciddi siber güvenlik saldırısını açıkça bildirmesini ve bununla başa çıkmaktan yönetim kurullarında kimin sorumlu olduğunu açıklamasını gerektirecek. Yönetmelikler ayrıca işletmelerin, herhangi bir kamuya açıklamanın bir parçası olarak yönetim kurulunun siber güvenlik deneyimini ve kimlik bilgilerini dahil etmesini gerektirecektir. Bu, entegre siber güvenliğin modern ticari operasyonlar için ne kadar önemli hale geldiğinin bir başka göstergesidir.
Artan Kesinti Maliyetleri
Sophos tarafından yapılan bir ankete göre 2021’de işletmelerin üçte ikisinden fazlası (%66) bir fidye yazılımı saldırısına uğradı. Bu, bir önceki yıla göre %78’lik bir artış ve meydana gelen hasarların toplam maliyeti yaklaşık 20 milyar dolar. Bu maliyetler yalnızca fidye ödemelerinden ibaret değildir, aynı zamanda hedeflenen işletmelerin katlandığı kesinti ve aksama sürelerini de içerir. Bilgi Teknolojisi Endüstrisi Konseyi’nin Kapalı Kalma Süresinin Saatlik Maliyeti Anketinde, şirketlerin %40’ından fazlası saatlik kesinti maliyetlerinin 1 milyon ABD doları ile 5 milyon ABD doları arasında değiştiğini bildirdi; buna yasal ücretler, para cezaları veya cezalar dahil değil – yetersiz kalan halka açık şirketler siber güvenlik standartlarına tabi olabilir.
Gelişen tehdit ortamı – SEC tarafından öne sürülenler gibi yeni düzenleyici çerçevelerle birleştiğinde – siber güvenliğin sonradan düşünülemeyeceği veya sonradan eklenemeyeceği anlamına gelir. İş operasyonlarının özü olmalıdır ve bu, yönetim kurulu masasında bir koltuğa ihtiyacı olduğu anlamına gelir. Ancak yakın tarihli bir habere göre CAP Grubu tarafından verilerin analizi, panoların %90’ı Olumsuz yeni SEC siber düzenlemelerine hazır.
Hazırlanamamak, Başarısızlığa Hazırlanmaktır
Siber güvenlik ekosistemi son yıllarda büyük bir hızla ilerledi. Bir zamanlar tehditleri kovalamak ve yalıtmak için gerici taktikler kullanan bir iş birimi işlevi, artık siber direnci desteklemek için genellikle tehdit istihbaratından, sızma testinden ve yapay zekadan yararlanan proaktif, ağ çapında bir varlığa sahip. Bununla birlikte, çoğu siber güvenlik ekibi, daha sonra güvenlik politikasını bilgilendirmek ve riski azaltmak için kullanılan teknik düzeydeki tehditleri ele almaya hala yoğun bir şekilde odaklanmaktadır. Bu, güvenlik ekipleri ile politikaları yazanlar ve zincirin üst basamaklarında kararlar alanlar arasında bir anlayış boşluğu bırakır.
Bu boşluk bir güvenlik açığıdır. Çoğu siber güvenlik ekibi, tehditleri diğer ticari, operasyonel ve finansal personel tarafından harekete geçebilecek şekilde bağlamsallaştırmak için gereken araçlardan veya işlevlerden yoksundur. İş hedefleri ile siber dayanıklılık arasındaki bu “kopukluk” devam ederse, siber güvenlik girişimleri ne kadar kapsamlı olursa olsun işletmeler kendilerini savunmasız bırakacaktır.
İletişim Boşluğunu Kapatmak
Tehditleri değerlendirmek ve kuruluşlarını ne ölçüde tehdit edebileceklerini anlamak, yeni güvenlik düzenlemeleri doğrultusunda önlem alınabilmesi için bilgi ve güvenlik şeflerinin sorumluluğundadır. Bu, tehditlerin bağlamsallaştırılması ve finans, uyum, operasyon ve yönetim ekipleri ile yönetim kurulu üyelerini içeren genel bir kurumsal risk yönetimi stratejisinin bir parçası olarak iletilmesi gerektiği anlamına gelir.
Bunu başarmak için CISO’ların teknik jargon konfor alanlarının dışına çıkmaları ve tehditleri ve bunların potansiyel etkilerini diğer üst düzey yöneticilere kolayca yorumlanıp anlaşılabilecek bir şekilde iletmeleri gerekecektir.
Bu, güvenlik girişimlerini daha geniş risk azaltma girişimlerine dönüştürmek anlamına gelecektir. Makine öğrenimi destekli risk azaltma, işletmelerin siber tehditleri bağlamsallaştırmasına yardımcı olmada önemli bir rol oynayabilir. Makine öğrenimi algoritmaları, büyük hacimli verileri analiz ederek ve insan analistleri tarafından hemen görülemeyebilecek kalıpları tespit ederek potansiyel güvenlik tehditlerini belirleyebilir ve böylece işletmeler bunlarla başa çıkmak için proaktif önlemler alabilir.
Örneğin, makine öğrenimi algoritmaları, tekrarlanan başarısız oturum açma girişimleri veya olağandışı konumlardan ya da cihazlardan erişim girişimleri gibi normal kullanım modellerinden sapan kalıpları belirlemek için kullanıcı davranışı verilerini analiz edebilir. İşletmeler, bu anormallikleri belirleyerek olası bir saldırıyı belirlemek için kullanıcı hesaplarını kilitleme veya ek kimlik doğrulama önlemleri uygulama gibi proaktif önlemler alabilir.
Siber tehdit azaltma bağlamında makine öğreniminin yararlı olabileceği bir başka alan, gelecekteki saldırıların olasılığını tahmin etmektir. Algoritmalar, geçmiş saldırı verilerini analiz ederek ve başarılı saldırıların ortak özelliklerini belirleyerek potansiyel saldırı vektörlerini belirleyebilir ve işletmelerin güvenlik çabalarını buna göre önceliklendirmesine yardımcı olabilir. Bu, saldırıların sıklığı ve şiddetindeki kalıpların yanı sıra saldırganlar tarafından kullanılan yöntem ve tekniklerin analiz edilmesini içerebilir. Bu bilgiler daha sonra, işletmelerin gelecekteki tehditleri tahmin etmesine ve yalnızca bunları hafifletmek için önlemler almasına değil, aynı zamanda en tepedekilerle bunları belirleyip bunlar hakkında iletişim kurmasına yardımcı olabilecek tahmine dayalı modeller geliştirmek için kullanılabilir.
Halka açık şirketlerin risk duruşları ve savunmasızlıkları konusunda sağlam bir anlayışa sahip olmaları hayati önem taşır. Direktörlerin artık şirketlerinin siber güvenlik altyapısından sorumlu tutulmasıyla, direktör seviyesindeki ekiplerin bu güvenlik açığını ve olası ihlalleri hızlı ve kolay bir şekilde anlayabilmesi daha da hayati önem taşıyor. Bu, yeni, makine öğrenimi destekli çözümler, tehditlerin olası etkilerini “tercüme edebilen” ve çözümleyebilen danışman kiralama ve siber tehdit direnciyle nasıl başa çıktıkları konusunda daha danışma ve danışmanlık yaklaşımı benimseyen CISO’ların bir kombinasyonu yoluyla elde edilebilir.
Siber güvenlik artık önemsiz bir sorun değil – yönetim kurulu masasında bir yeri var ve eğer işletmeler o koltuğu dolduramazlar, orada oturan kişinin olabildiğince bilgili olduğundan emin olmaları gerekir.