1990’ların başından beri, internetin çevirmeli bağlantılardan yüksek hızlı, bulut tabanlı bilgi işleme doğru evrilmesini izledik. Kuruluşlar, siber saldırılara karşı savunma yaparken değişen bir teknoloji labirentinde geziniyor. Ne yazık ki, siber güvenlikte geçen otuz yılın ardından, kuruluşların 1995’te internete ilk bağlandıklarında boğuştukları sorunlarla 2023’te aynı sorunlarla boğuştuğunu görüyorum.
Kullanıcılara e-posta yoluyla yapılan saldırılar, hizmet reddi kampanyaları yoluyla kullanılabilirliğe yapılan saldırılar ve güvenlik açığı bulunan uygulamalar aracılığıyla sistemlerin kötüye kullanılması, tehdit aktörleri için verimli olmaya devam eden uzun süredir devam eden stratejilerdir.
Bugün bile, artan farkındalık ve veri ihlallerinin kamuya açıklanmasıyla, iş liderlerine ve geliştiricilere yeni teknolojileri gerekli güvenlikle dengelemeleri öğretilmiyor. Kuruluşlar, güvenli, öngörülebilir davranış sağlamaya değil, hâlâ işlevselliğe ve pazara sunma süresine odaklanıyor. Bu, saldırganların başarılı bir şekilde ve her gün avlanmaya devam ettiği zayıflamış bir altyapı oluşturur.
Öyleyse, bilgi güvenliği ve risk yönetimi ürün ve hizmetlerine yıllık 188,3 milyar dolarlık tahmini harcamaya rağmen siber güvenlik kayıpları neden artmaya devam ediyor?
Sebepleri Değil Semptomları Tedavi Ediyoruz
On yıllar boyunca satıcı mesajlaşması, pazarı siber güvenlik sorunlarının çözümünün teknoloji olduğuna inanması için eğitti. Giderek daha fazla teknoloji. Aynı önerme, insanların bir hapla kilo verebileceklerini düşünmelerine yol açar – daha iyi yemek yemek veya daha fazla egzersiz yapmak değil, sorunu ortadan kaldırmak için para ödeyebilecekleri hızlı ve kolay bir çözüm.
Güvenlik bütçelerinin büyümesi, bu düşünce tarzının yaygın olduğunu ve riski aşmaya çalışmak gibi bir kısır döngüye yol açtığını gösteriyor. Gerçekte, teknolojinin çoğu değerli olsa da, boşluklarda siber güvenlik sorunları ortaya çıkıyor.
Tedavinin ortasında durdurulan reçeteler veya kırık kemiklerin üzerine yapılan bandajlar gibi, plansız benimsenen teknoloji, tamamlanmamış bir sistemde yersiz bir güven yaratabilir. Pek çok kuruluş, sağlam temel koruma pahasına parlak, yeni saldırılara odaklanıyor ve bu yanlış önceliklendirme, bir mağduriyet kültürünü ve hiç bitmeyen güvenlik açıklarını sürdürdü.
Siber saldırıların artan maliyeti ve yıkıcı gücü yeni değil; temel güvenlik politikalarını ve en iyi uygulamaları yıllarca ihmal etmekten kaynaklanan tali zararlardır. Artan güvenlik yatırımı, analistler, satıcılar, basında yer alan haberler ve uygulayıcı merakı tarafından desteklenen niş koruma teknolojilerine harcanmaktadır.
Araç ve odaktaki sürekli değişiklik, deneyimli liderler arasında tükenmişliğe ve iş tatminsizliğine yol açarak siber güvenlik becerileri eksikliğini şiddetlendiriyor. Devam eden savunmasızlığı ve artan stresi ele almak için, başarılı işletmelerin sağlıklı bir güvenlik duruşuna güvendiğini kabul ederek siber güvenlik hakkında farklı düşünmemiz gerekiyor.
Siber Güvenliğin Önleyici Tıbbı
Kuruluşlar, güvenlik uygulamalarını, insanların refahı hakkında düşündükleri gibi düşünmelidir. Gördüğünüz her güvenlik belirtisi için yeni bir hap bulmak yerine sağlıklı kalmaya odaklanın. Doktordan duyduğunuz aynı ilkeler siber güvenlik dayanıklılığı için de geçerlidir: Diyet, egzersiz ve düzenli kontroller.
Güvenliğin temel gıda grupları önleme, tespit, müdahale ve iyileştirmedir. Organizasyonel ihtiyaçlarınızın özelliklerine göre her birini uygun şekilde ele alın. Önleme çok az olursa tespitiniz, yanıtınız ve düzeltmeniz boşa gidecektir. Çok az yanıt ve güvenlik olayları uzayacaktır. Güvenlik programınız yalnızca ihtiyaç duyduğu ve ekibinizin sindirip kullanabileceği kadarını tüketmelidir. Bundan daha fazlası ve bütçenizde fazladan ağırlık taşıyacaksınız.
Siber güvenlik şartlandırması, düzenli olarak bilinçlendirme eğitimi, masaüstü tatbikatları, uygulayıcı sertifikaları, varlık envanteri doğrulamaları ve sızma testleri yürütmek anlamına gelir. Ekibi roller ve sorumluluklar konusunda güncel tutun. Bu güvenlik kasını düzenli olarak çalıştırmak için zaman ayırırsanız, yanıtınız daha hızlı ve daha hedefli olacak ve kuruluşunuz daha az rahatsız olacaktır.
Kimse yılda bir fizik muayeneye gitmekten hoşlanmaz, ancak bu, düşündüğünüz kadar sağlıklı olup olmadığınızı öğrenmenin harika bir yoludur. Hâlâ dengeli olduğundan emin olmak için güvenlik programınızı gözden geçirmek için zaman bulun. Ekibinizin kritik kontrolleri ve ilgili standartlara veya en iyi uygulamalara uygunluğu tekrar kontrol etmesini sağlayın. Arada bir ikinci bir görüş alın. İşletmenizin bağlamına sahip olmayan bir üçüncü taraf bulun ve ne gördüklerini sorun. İyi bir siber güvenlik sağlığı, bir şeylerin gözden kaçmış olabileceğine dair küçük göstergeler aramak anlamına gelir. O kör noktanın tüm çabanızı riske atması uzun sürmez.
Eğer Hastalanırsanız…
Dirençli, güvenilir bir güvenlik sisteminin sürdürülmesi, yeni yetenekler ve çeşitli tehdit ortamı nedeniyle karmaşıktır. Bazı tahminlere göre, her gün 250.000’den fazla yeni kötü amaçlı yazılım tespit ediliyor. Sağlık sektörünün sürekli değişen epidemiyolojik zorlukları ele alması gibi, yeni sorunları teşhis etmemiz ve tedavi etmemiz gerekiyor.
Sağlık sistemi yeni ve mutasyona uğrayan hastalıklara ayak uydurur çünkü uzmanlar tek bir duruma odaklanarak onu tanımlamanın ve teşhis etmenin en iyi yolunu belirler. Başka bir grup, sorunu erkenden gidermek için tedaviye odaklanır. Diğerleri teşhis ve tedaviye güç veren özel ekipmanı geliştirirken, hastaneler ve tüm sağlık hizmetleri ekosistemi hastaları destekler.
Kuruluşlarımızı ve karşılaşmamız muhtemel tehditleri anlarsak, onlarca yıldır aradığımız sağlıklı, bütçeye uygun ve öngörülebilir kurumsal siber güvenlik hayatını yaşamaya başlayabiliriz. Siber sağlığı daha ciddiye alarak, son 30 yıldır sektörün başına bela olan temel sorunları tedavi edebilir ve yalnızca semptomları ve saldırıları tedavi etmekten vazgeçebiliriz.