Başarı, siber güvenlikte kararsız ve çoğunlukla soyut bir hedeftir. Sonuçta, varsayılan bir zayıflık konumundan hareket eden çok fazla iş yok.
Savunmacılar, sorunun bir örgütün saldırıya uğrayıp uğramayacağının değil, ne zaman saldırıya uğrayacağının önemli olduğunu hemen kabul ediyorlar. Bu, siber güvenlikte başarıyı incelikli hale getiriyor; kötü şeyler olabilir ve olacaktır, ancak her zaman daha kötü olabilir.
Savunmacıların nihai hedefi en kötü senaryolardan kaçınmaktır; bir olay ne kadar az etkili olursa o kadar iyidir.
“Gerçeklik [is] çoğu kuruluşun ne yazık ki bir tür olayla karşılaşacağı. Arctic Wolf CEO’su Nick Schneider, bu tür olayların ne şekilde ortaya çıktığı gerçekten önemli” dedi.
Bu önerme ilk bakışta pek umut verici olmayabilir ancak her siber güvenlik profesyonelinin kabul etmeye istekli olduğu bir şeydir.
Bir savunma oyuncusunun, bir olay iltihaplı bir yaraya dönüşmeden önce riski azaltabildiği veya kanamayı durdurabildiği her an, siber güvenlik açısından iyi bir gün demektir.
CrowdStrike CTO’su Elia Zaitsev, işleri yalnızca bir kez düzeltmesi gereken son derece gelişmiş siber suçluların veya sınırsız kaynaklara sahip ulus devlet saldırganlarının bazı güvenlik veya kontrol katmanlarından geçeceğini söyledi.
“Hız, tabiri caizse, eninde sonunda gizli sostur. Bu şekilde bir olayın ihlale dönüşmesini önlersiniz. Rakipten daha hızlı hareket etmelisiniz” dedi Zaitsev.
Yatırımlar savunmayı güçlendirebilir
Uzmanlar Cybersecurity Dive’a, bir işletmenin kaynakları nasıl tahsis ettiği ve kuruluş genelinde güvenliği nasıl önceliklendirdiği, sonuçta artan başarıya ulaşmada önemli bir rol oynadığını söyledi.
Forrester baş analisti Jess Burn, başarılı güvenlik liderlerinin departmanlarının çabalarını ve yatırımlarını iş sonuçlarıyla ayrılmaz bir şekilde ilişkilendirebileceğini söyledi.
Burns, güvenlik yatırımlarının diğer yöneticiler arasında yankı uyandıracak şekilde gelire nasıl katkıda bulunduğunu göstermenin kritik önem taşıdığını söyledi.
Forrester analistleri geçen ay yayınlanan yıllık güvenlik programı tavsiye raporunda, CISO’ların organizasyon şemasında yukarıya doğru hareket etmesi ve diğerlerinin kesintiye uğramasıyla güvenlik bütçelerinin artmaya devam etmesi nedeniyle siber güvenliğin maliyet merkezi yerine kâr merkezi olduğunu kanıtlama baskısının arttığını söyledi.
Gartner’ın sektöre ilişkin son tahminine göre, güvenlik ve risk yönetimine yönelik küresel harcamaların 2024 yılında 2023’e göre %13 artışla 210 milyar dolara ulaşması bekleniyor.
Gartner, küresel güvenlik harcamalarının 2025’te de neredeyse %13 artarak 237 milyar dolara yaklaşmasını bekliyor.
Güvenlik liderleri ve savunucuları için asıl önemli nokta, bu maliyetlerin iş için nasıl ve nerede değerli faydalara dönüştüğünü doğrulamaktır.
Siber güvenliğe ayrılan teknoloji fonlarının payı da artıyor. Kuruluşlar, teknoloji bütçelerinin 2019’da %5’ten 2023’te %8’ini siber güvenliğe ayırdıklarını söyledi. Moody’s 2023 Siber anket.
Forrester’a göre kapsamlı ve uygun bir güvenlik duruşunun sürdürülmesi, kurumsal güvenlik iş modellerinin omurgasını oluşturan müşteri taleplerini ve siber sigorta gereksinimlerini karşılıyor.
Forrester’a göre güvenlik liderleri, çapraz düzenleyici gereklilikleri karşılamanın maliyetini ve bu kuralların karşıladığı her dikey, bölge veya pazar segmentinden ne kadar gelir elde edildiğini hesaplayarak mevzuat uyumluluğunu kendi avantajlarına kullanabilirler.
Orantılı bir güvenlik programının yönetilmesi esastır. İş dünyası liderleri için püf noktası, zamanlamayı doğru yapmaktır.
Cisco’nun stratejik ilişkiler direktörü Wendy Nather, “İşletmenin ilkelerinden biri, kesinlikle ihtiyacınız olmayan hiçbir şeyi, ihtiyacınız olana kadar harcamamanızdır” dedi.
Güvenlik uygulayıcıları liderliği savunmaya daha fazla para ve zaman ayırmaya zorladığında Nather, yöneticilerin genellikle ihtiyacın acil mi, yatırıma değer mi, yoksa o anda yarım önlemin yeterli olup olmadığını sorduklarını söyledi.
Nather, “Başarının tanımlanmasının bu kadar zor olmasının nedeni budur” dedi. “Uygulama gerçekten zor kısımdır.”
Başarıyı nüanslarla ölçmek
Siber güvenlikte başarıyı tanımlamanın veya ölçmenin basit bir yanıtı yok ve bu büyük ölçüde her bir alana bağlı. Phil Venables, Google Cloud’un Başkan Yardımcısı ve CISO’su.
Venables, “Kişisel olarak bu olaya sürprizin olmamasıyla bakıyorum” dedi.
“Bir lider olarak beni üzen şey, kötü bir şeyin olması ve bunun tamamen sol alandan çıkması ve sanki bunu bilmemiz gerekiyormuş gibi geliyor” dedi. “Sürprizlere her zaman üzülürüm.”
Bir diğer önemli ölçüm, bir kuruluşun ortalama yanıt verme süresidir; yani kuruluşun izinsiz girişin tüm kapsamını belirlemesi, saldırganı ortamdan başlatması ve saldırganın sistemlerine nasıl sızdığını belirlemek için temel neden analizi yapması ne kadar sürer.
İzinsiz giriş tespitleri için bekleme süreleri geçen yıl en düşük seviyeye düştü on yılı aşkın sürenin en düşük seviyesiGoogle Cloud Security’nin bu hafta Mandiant tarafından yayınlanan yıllık M-Trendler raporuna göre, 2022’deki 16 güne kıyasla ortalama 10 güne kayıyor.
Zaitsev, “Düşmanı bir nevi kaçmadan ve kaçmadan önce tespit edebilir, dürbünle tespit edebilir, önceliklendirebilir ve dışarı atabilirsem, yine de bir savunma oyuncusu olarak kazanmış olurum” dedi. “Düşman, eylemlerini objektif olarak adlandırdıkları şeyi başaramadı.”
Saldırı sonrası temizlik çalışmaları da aynı derecede önem taşıyor. İzinsiz giriş noktası belirlendikten sonra, saldırganların tekrar saldırılar başlatmak üzere geri gelmesini önlemek için kuruluşların bu konuyu hızlı bir şekilde ele alması gerekir.
Schneider, “Siber güvenlik aslında hayattaki çoğu şey gibi riskle ilgilidir” dedi. “Bizim görüşümüz, eğer olasılığı en aza indirebilir ve etkiyi en aza indirebilirseniz, oldukça iyi bir iş yapıyorsunuz demektir.”