Bu Help Net Security röportajında Qualys Başkanı ve CEO’su Sumedh Thakar, kuruluşların siber riski nasıl ölçtüğünü, iletişim kurduğunu ve ortadan kaldırdığını yeniden tanımlamayı amaçlayan stratejik bir hamle olan Qualys Kurumsal TruRisk Platformunun arkasındaki vizyonu araştırıyor.
Qualys’in, bütçe kısıtlamaları altında kritik sorunları yönetme karmaşık dengeleme eyleminde CISO’lara nasıl yardımcı olduğunu, siber riskin finansal sonuçlarını ve TruRisk Platformunun kurumsal riske ilişkin birleşik bir görünüm sağlamadaki gelişmiş yeteneklerini derinlemesine inceliyoruz.
Yeni bir “Siber Riski Ölçmek, İletişime Geçmek ve Ortadan Kaldırmak” vizyonunu başlatıyorsunuz ve buna Qualys Kurumsal TruRisk Platformu adını veriyorsunuz. Bu vizyonun neyi gerektirdiğini ve neden bunu şirketinizin kuzey yıldızı olarak kullandığınızı açıklayabilir misiniz?
Günümüzde neredeyse her işletme, temel operasyonları yürütmek için yazılıma güvenen bir yazılım işidir ve bu da onları yüksek siber risklere ve ihlallere karşı duyarlı hale getirir. Siber risk iş riskidir. Saldırganlar ve fidye yazılımı çeteleri bile artık bir işletme gibi örgütleniyor. Mümkün olan en yüksek karı elde edebilmeleri için yapay zeka da dahil olmak üzere en iyi araçları kullanmaya odaklanacak şekilde optimize edilmiştir.
Siber riskin tüm kurum için kapsamlı bir tehdit oluşturduğu fikri ilgi kazandı ve CISO’lar arasında yankı buldu. CISO’lar kendilerini her iki taraftan da sıkıştırılmış zorlu bir konumda buluyorlar. Bir yanda kritik sorunları çözme konusunda büyük bir baskı varken, diğer yanda bütçe kısıtlamaları stresi artırıyor. Daha azıyla daha fazlasını yapmakla görevlendirilmişlerdir.
CISO’ların bugün karşılaştığı zorlukların bilincinde olan Qualys, çok faktörlü kimlik doğrulama ve tarama gibi geleneksel araçların ötesine geçmeyi hedefliyor. Amacımız, işletmelerin siber risklerini doğru bir şekilde ölçmelerine ve sayısallaştırmalarına, bu riski paydaşlara etkili bir şekilde iletmelerine ve hızlı bir şekilde ortadan kaldırılması için aktif olarak çalışmalarına yardımcı olmaktır.
“İşinizi riskten arındırmak” ne anlama gelir ve Qualys işletmelerin bunu yapmasına nasıl yardımcı olur?
“Risk azaltma” terimi geleneksel olarak sigortacılar ve reasürörler gibi finansal hizmet sağlayıcıların ve kurumların bir müşteriyle ilgili riski yönetmek yerine nasıl riskten kaçındıklarını tanımlamak için kullanılmıştır. Ancak siber risk, herhangi bir kuruluşun genel risk duruşuna en çok katkıda bulunan faktör haline geldiğinden, bir işletmeyi siber riskten arındırmak, CEO’dan yönetim kuruluna kadar yönetici paydaşların merkezi odak noktası haline geldi.
Bir işletmenin siber riski, fiziksel riskinden çok daha yüksek olabilir. Örneğin, bugün birisinin bir bankaya girip onu soyması pek olası olmasa da, bankaların kritik sunucularının bir siber saldırıya uğraması tehdidi her zaman mevcuttur. Herhangi bir risk söz konusu olduğunda soru şu: Bu riski nasıl azaltabilirim ve şirket bu riski azaltmak için ne kadar ödemeye hazır? Bunun cevabı, bu riski hesaplayabilme ve iletebilme becerisine dayanmalıdır. Eğer bunu iyi bir şekilde ölçebilir ve iletebilirseniz, işinize yönelik tüm riski azaltmak için çalışabilirsiniz. Qualys’in devreye girdiği yer burasıdır. Siber risk ölçümü, azaltılması ve iletişim yoluyla müşterilerimizin işlerini riskten arındırmada önemli bir rol üstleniyoruz.
Şirket olarak bu yönde ilerliyoruz. Yeni duyurulan Kurumsal TruRisk Platformumuz, işletme içindeki risklerin ölçülmesi, iletilmesi ve ortadan kaldırılmasına yeni bir bakış açısı sunan siber risk yönetimine yönelik dönüştürücü bir yaklaşımla müşterilere güç verecek. Platform, kuruluşlara riske maruz kalma durumlarını azaltan eyleme dönüştürülebilir iyileştirme seçenekleri sunmak ve böylece işletmelerinin risklerini azaltmak için üçüncü taraf BT ve güvenlik araçlarından harici ekosistem risk faktörlerini getirme yönünde ilerleyecek.
Siber riskin CISO’lara ve kuruluşlarına mali etkisi nedir?
CISO’lar, siber riskin finansal etkisi konusundaki tartışmalara giderek daha fazla dahil ediliyor. Aslında işin en önemli uygulamalarını ve yönlerini ve ne kadar mali sorumluluk veya kaybın mümkün olduğunu belirlemek yalnızca CISO’nun işi değil, aynı zamanda şirket çapında bir zorunluluktur. Bu son birkaç yılda gerçekten ön plana çıktı, çünkü siber risk daha önemli olmaya başladıkça CISO’lar yönetim kurulu masasında bir koltuk istiyorlardı. Ancak kurul, sıfır gün güvenlik açığının veya çok faktörlü kimlik doğrulamanın siber güvenlik karmaşıklığını tam olarak anlayamıyor. Gelir tablosuna, kârlılığa ve iş riskine daha çok önem verir. İş uygulamalarınızdaki riski ölçebilme, finansal riski iletebilme ve riski azaltmak için ne kadar harcama yapmak istediğinize karar verebilme kavramı giderek daha önemli hale geliyor.
Aynı güvenlik açığına sahip iki iş uygulamanız varsa (biri yılda 5 milyon dolar riske, diğeri ise yılda 500 milyon dolar riske sahipse), kaynaklarınızı nereye önceliklendirirsiniz? Her ikisi de bir siber saldırıya uğrarsa sonuç çok farklı olur. Bu finansal risk hesaplaması CFO açısından da önemlidir. Kuruluşun sınırlı siber güvenlik bütçesinin nasıl harcandığını, neye odaklandığını ve bu harcamanın sonucunun başarılı olup olmadığını hesaplayabilmesi gerekiyor. Paranızı tek bir alanda harcayarak şirketinizi çok daha güvenli hale getirebildiniz mi? Bu kararları iş değeri ve kayıp değerine dayandırabilen ve kaynakları nereye önceliklendireceğini bilen CISO’lar, kuruluş genelindeki yöneticilerle koordinasyon sağlama ve yönetim kuruluna raporlama yapma konusunda daha başarılı olacaktır.
Qualys, Qualys Kurumsal TruRisk Platformunun tanıtımıyla platformunu geliştiriyor. Bu değişimin arkasında ne var, yeni ne var?
Qualys bu yolculuğa yaklaşık 18 ay önce güvenlik açığı yönetiminde TruRisk kavramını tanıtarak başladı. Açıklanan güvenlik açıklarının yalnızca küçük bir yüzdesinin silaha dönüştürüldüğünü tespit ettik. Bu nedenle, şirketler her şeyi düzeltmeye çalışmak yerine, en çok yararlanılan güvenlik açıklarını iş için en önemli olan güvenlik açıklarıyla ilişkilendirmeli ve bunları düzeltmeye odaklanmalıdır. Bu şekilde, iyileştirmelerde daha verimli olup zamandan ve paradan tasarruf etmenin yanı sıra daha iyi bir sonuç elde edersiniz.
Müşterilerimizle yaptığımız görüşmelerde bu fikir çok olumlu karşılandı ve bizden daha fazla risk faktörünü dahil etmemizi istediler. Güvenlik açığı yönetiminin yanı sıra yanlış yapılandırmalar, güvenlik duvarı ayarları vb. de mevcut. Qualys platformunda oldukça fazla risk faktörü verisi toplasak da, her şeyi görebilir durumda değiliz. Böylece Qualys Kurumsal TruRisk Platformunu başlatarak gerçek risk ölçümümüzü genişletiyoruz. Bu riski azaltmanın ne kadara mal olacağı gibi faktörleri ekliyoruz ve bu bilgiyi nasıl ve kime ileteceğimizi genişletiyoruz.
Yanlış yapılandırmalar ve bulut güvenliği gibi Qualys yeteneklerinin yanı sıra, şirketlerin konuşlandırmış olabileceği diğer güvenlik sağlayıcılarından gelen güvenlik ekosistemi verilerini de içerecek şekilde genişletiyoruz ve işletmelere tek bir risk görünümü sunmak için bunları aynı platforma alıyoruz. CISO’lar, düzeltilmesi gereken en önemli 10 güvenlik açığının veya riskin ne olduğunu bilmek istiyor. Eğer 50 farklı aracınız varsa, 50 farklı “ilk 10” problemle karşılaşırsınız. Qualys Enterprise TruRisk Platformu ile artık bu görüşü kuruluştaki her şeyde pekiştiriyoruz; böylece müşterilerimiz, işlerinin en önemli kısımlarını gerçekten etkileyen alanları görebiliyor.