2025 nasıl bir yıl oldu: Hem siber olaylar hem de yenilikler açısından zengin. İkincisi, Yapay Zekadaki (AI) yeniliklerden bahsetmeden bir hafta bile geçmedi. Yapay zekanın toplumumuza fayda sağlamak için kullanılacağı yenilikçi yollar konusunda heyecanlıyım; belki de bu 4. Sanayi Devrimi’nin gelişidir. Bazı satıcıların bazı şüpheli iddialarına rağmen, siber güvenlikteki faydalı inovasyon düzeyi, 2026’da yeni ürün ve hizmetlerle artacak.
Ancak bu yeniliklerden yeterli değer elde etmek için öncelikle temel kontrolleri iyi uygulamamız gerekiyor. Bunu ister Birleşik Krallık Siber Temelleri’ne, isterse CIS Kritik Siber Kontrollerine göre ölçsek, gerçek aynı kalıyor: Siber olaylar hâlâ çoğunlukla bu temelleri ihmal eden kuruluşlar tarafından “etkinleştiriliyor”.
Bu, aşağıdaki ilk prensibin hala geçerli olduğuna dair inancımı güçlendiriyor:
Siber güvenlikte temeller önemlidir.
Siber güvenlikle ilgili beş varsayımdan oluşan kişisel listem aşağıdadır:
İş varlıklarınızı bilin
“Bilmediği şeyi koruyamazsınız” sözünü hepimiz biliyoruz. Asıl sorun “varlık bulmak” değil, zorunlu kılınmayan süreçlerin, yetkili envanterin bulunmamasının ve gölge BT’yi tolere eden bir kültürün mümkün kıldığı yapısal kötü yönetimdir.
CIO’lar, iş teknolojisiyle ilgili varlık yönetiminin doğru yapılması kolay bir iş olmadığını biliyor. BT ve siber satıcılar bizi sadece onların platformlarını satın almamız gerektiğine ve tüm sorunların sihirli bir şekilde ortadan kalkacağına inanmaya yöneltti. Hiç de değil.
Pek çok kuruluşun uygulaması gereken şey, her ekibin kendi konfigürasyon envanterini koruduğu ve iş çapında bir konfigürasyon yönetimi veritabanı (CMDB) platformuna entegrasyonlara ve aktarımlara izin veren sistem yönetimi araçları tarafından otomatik olarak sürdürülen birleştirilmiş bir modeldir. Bu, varlık verilerinin güncel ve doğru olmasını ancak CIO’lar için görünmez olmamasını sağlar. En önemlisi, yalnızca bu yetkili listeyle güvenlik açığı verilerini etkili bir şekilde üst üste koyabilir ve tüm mülkteki güvenlik yanlış yapılandırmalarını tespit edebiliriz.
İşletmenizi görünür şekilde güvenli hale getirin
Polis eğitiminde memurlara hırsızlığa davet eden mülkleri tespit etmeyi öğretiyorlar; bu aynı zamanda fiziksel izinsiz giriş egzersizleri için ofisleri araştırırken de faydalıdır. Anlatı işaretleri alçak çitler, kilitli olmayan pencereler, zayıf kapı kilitleri, CCTV kameralarının olmaması ve yüksek değerli eşyaların görülebildiği mülkün net bir şekilde görülmesini içeriyor.
Aynı durum dijital güvenlik için de geçerlidir: 20 yıl önce yeterli olan DNS ayarları, süresi dolmuş web sunucusu sertifikaları, aktarım şifrelemesini desteklemeyen e-posta sunucuları, güvenli olmayan web sitesi çerezleri ve liste uzayıp gidiyor.
Kuruluşlara güvenlik tavsiyeleri sunduğumda benim için ilk test, harici dijital “araçtan keşif”tir. Deneyimlerime göre şirketlerin yalnızca %1’i güvenli bir çevrenin önemini gerçekten anlıyor Ve doğru bir şekilde uygulayabilir.
Bu tür zayıflıklar fırsatçı siber suçluları saldırıya davet ediyor. Kimse kolay bir hedef olmak istemez, ancak çoğu suçluların sürdürdüğü ‘Kolay Hedef’ listesinden nasıl çıkılacağını bilmiyor.
Dış duruş, BT/güvenliğin yönetime rapor ettiği ölçümlerden biri olmalıdır. Bir örnek:
“Tüm dış sistemlerimiz “En Son Teknoloji” standartlarına göre yapılandırılmıştır. Kolay bir hedef olarak öne çıkmıyoruz ve hedef alınırsak bu bize iyi bir ilk savunma hattı sağlar.”
En az ayrıcalık ilkesini tartışılamaz hale getirin
Her yıl yıllık Microsoft Dijital Savunma Raporunu okurum. Rapor, siber savunucular ve şirket yöneticileri için faydalı bilgilerle dolu.
Rapor, kaynaklara ayrıcalıklı erişimi kontrol etme ihtiyacını vurguluyor. Bir kişinin, bilgisayarın veya bilgisayar kodunun işlemlerini gerçekleştirmek için daha yüksek ayrıcalıklara ihtiyacı yoksa bu ayrıcalıkların kaldırılması gerekir. Bu mantıklı bir sonuç gibi görünüyor. Ancak yaptığım değerlendirmelerde kuruluşlar, son kullanıcıların bilgisayarlarında (Windows veya Mac) yerel yönetici ayrıcalıklarına sahip olmalarına izin veriyor. Benzer şekilde BT personeli, dahili ve bulut kaynakları için yönetici ayrıcalıklarını standart hesaplarına atar. Saldırganlar bu hesapları istismar ederek saldırganlara “krallığın anahtarlarını” verirken, bu hatalar şirketlere pahalıya mal oluyor.
Çözüm basit ama çoğu kişi için uygulaması çok zor.
Olay müdahale planlarınızı test edin
“Yangın, yangın, yangın” sloganları binaların organize bir şekilde boşaltılmasını tetikliyor. Kuruluşların yasal olarak yapması gereken eğitim çalışmaları can kaybı olasılığını büyük ölçüde azaltmaktadır.
İş dünyası liderleri, BT ve siber saldırılar için benzer uygulamaları dikkate almalıdır. DORA veya NIS2 gibi sıkı düzenlemeleri uygulamak zorunda olan işletmeler bu gerekliliklerin çok iyi farkındadır. Bu, diğer kuruluşların da aynı şeyi yapmasına neden oluyor.
Bunu okuyan bir işletme yöneticisiyseniz, önümüzdeki 90 gün içinde dışarıdan bir kolaylaştırıcıyla bir “masa üstü alıştırması” yapın. Yönetici ekibinin baskı altında nasıl karar verdiğini test etmek için fidye yazılımı gibi bir senaryoyu simüle edin.
Sorumluluk değil, dış kaynak sorumluluğu
Dış kaynak kullanımı, doğru şekilde uygulandığında kaliteyi artırmanın ve maliyetleri yönetmenin harika bir yoludur. Yöneticilerin, dış kaynak tarafından yürütülen süreç kalitesi ve güvenliğine ilişkin sorumluluğu üstlenmeleri gerektiği iyi bilinmektedir. Bu süreç, tüm gereksinimlerin toplandığı Teklif Talebi (RFP) aşamasında başlar ve metriklerin ve temel performans göstergesi (KPI) raporlama döngülerinin oluşturulmasıyla müzakereler ve stand-up aşaması sırasında devam eder.
Dış kaynak ortağınıza sanki dahili bir ekipmiş gibi davranın; hizmetin sunulmasından sorumludurlar ancak yönetici ekip, hizmetin sözleşmeye uygun şekilde sunulmasını sağlamaktan sorumludur. Lütfen, ‘Sorumluluğun, işi imzalayan ve teslimatı onaylayan tam olarak tek bir kişiye atandığı’ şeklindeki yaygın olarak kabul edilen terminolojiyi kullandığımı unutmayın.