Hiçbir şirket siber saldırılara karşı bağışık değildir, ancak kaçınılmaz olan gerçekleştiğinde pek çok şirket hâlâ bir sessizlik duvarı korumaya çalışıyor. Aslında, güvenlik profesyonellerinin yarısından fazlası kuruluşlarının gizlilik yoluyla bir güvenlik kültürü sürdürdüklerini kabul ederken, üçte birinden fazlası siber güvenlik faaliyetlerini tamamen gizli tuttuklarını itiraf ediyor.
Pek çok kuruluş, güvenlik açıklarından ve olaylardan elde edilen bulguları proaktif bir şekilde paylaşmaktan itibar veya parasal zarardan korkabilirken, ben bunun tam tersini buldum: Siber güvenlik şeffaflığı kültürünü benimsemek, iş dünyası ve internetin daha geniş güvenliği için iyidir.
Siber şeffaflığın faydaları
Bireysel kuruluşlar için şeffaflık ve hesap verebilirlik, müşterilerle, üst düzey yöneticilerle, medyayla ve diğer önemli paydaşlarla yapılan görüşmeleri belirleyen önemli bir farklılaştırıcı unsur olabilir.
Bir şirketin güvenlik açığı yönetimine, açıklamalarına ve raporlama prosedürlerine ilişkin net görünürlük, güvenlik süreçlerinin kapsamlı bir şekilde anlaşılmasını ve kavranmasını ve kuruluşun altyapıyı sağlam tutmak için neyin gerekli olduğunu bildiğini ifade eder. Siber güvenlik uygulamaları güveni zedelemek yerine kurumun dış algısını güçlendirir.
Bir ihlal meydana geldiğinde, şeffaflığı benimseyen kuruluşlar, daha hızlı ve daha dirençli tepki vermelerine yardımcı olmak için açık iç prosedürlere ve dış raporlamayla ilgili en iyi uygulamalara sahiptir.
Bir olay karşısında şeffaflık uygulayan kuruluşlar aynı zamanda tüm sektörlerinin kolektif güvenliğini de güçlendirir. Bunun nedeni, şeffaflığın kuruluşlar arasındaki iletişimi ve işbirliğini teşvik etmesidir: Her ikisi de daha geniş endüstrileri rahatsız eden ortak siber güvenlik açıklarının giderilmesine yönelik hayati faaliyetlerdir. Bu lider kuruluşlar, siber saldırıların diğer kuruluşlarda tekrarlanmasını azaltabilir.
Dolaptaki siber iskeletleri ortaya çıkarmanın zamanı geldi
Bu faydalara rağmen çok az kuruluş siber güvenlik zorluklarına proaktif olarak göğüs germeye isteklidir.
Birçok işletme için bir siber saldırı yaşandığında içgüdüsel tepki sessiz kalmak ve olayı en aza indirmektir. Bu, güvensizliğin ortaya çıkarılmasının müşterilerin güvenini kıracağı korkusundan ve bu güven kırılmasının itibar ve parasal zarara yol açacağı korkusundan besleniyor. Ancak siber saldırılarla ilgili bilgileri paylaşmayan (veya daha kötüsü, kasıtlı olarak bilgileri gizleyen) şirketlerin itibarlarına zarar verdiği kanıtlanmıştır.
Risklerin bu kadar yüksek olduğu bir ortamda bu, görmezden gelmeye devam edemeyeceğimiz bir sorundur ve düzenleyiciler bu gerçeğin farkına varmaktadır. Küresel olarak, güvenlik açığı ve olayların ifşa edilmesine ilişkin tek tip ve uygulanabilir düzenlemelerin eksikliği bulunmaktadır. İşletmeler saldırıları halının altına süpürmeye çalışırsa bazen bundan sıyrılabilirler. ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ve Avrupa Parlamentosu gibi yasama organları, bunu yeni kurallar ve yönergelerle düzeltmeye çalışıyor. SEC’in yeni kuralları, şirketlerin bir siber güvenlik olayını keşfedildikten sonraki dört gün içinde kamuya açıklamasını gerektirecek. Benzer şekilde, Avrupa Parlamentosu’nun Siber Dayanıklılık Yasası (CRA) da bir dizi yeni raporlama yükümlülüğü getirmeyi amaçlıyor.
Bu mevzuat, gizlilik kültürü yoluyla güvenliği caydırmak ve siber güvenliğe daha işbirlikçi bir yaklaşımı teşvik etmek için tasarlanmıştır. Siber saldırıların etkisinin ve ölçeğinin arttığı modern iş dünyasında sessizlik ve gizlilik kesinlikle geçerli taktikler değildir.
Güven şeffaflıkla başlar
Neyse ki, önde gelen kuruluşlar arasındaki bu düzenleme ivmesi ve eğilimler, bu belirsizlik kültürünün değişmeye başladığını gösteriyor. En ilerici kuruluşlar, son yıllarda siber güvenliğin ifşa edilmesine farklı bakmaya başladı. Hastaneler ve enerji altyapısı gibi kritik hizmetleri tehdit eden tehditlerin varlığı, sektörde daha fazla işbirliği ve açıklık çağrılarına yol açtı.
Bilgi ve deneyimin paylaşılması güçlü bir araçtır. Saldırıları bildirmek, güvenlik açıklarını ifşa etmek ve etik hacklemeden yararlanmak, kuruluşların kendilerini ve başkalarını uzun vadede daha güvende tutmasına yardımcı olur. Maksimum verimlilik için akılda tutulması gereken birkaç en iyi uygulama vardır:
Parmakla işaret etmekten kaçının
Güvenlik açıkları keşfedildiğinde birçok kuruluş hızla suçlayacak birini aramaya başlar. Bunun yerine bunun gibi keşifler bir fırsat olarak görülmelidir. İç ekipler bir kuruluşun dayanıklılığını ve duruşunu geliştirmek için eğitilebilir. Bunu yapmak, genel olarak daha sağlam siber güvenlik savunmaları oluşturmak için kullanılan insanları, süreçleri ve teknolojiyi güçlendiren, açıklığa, işbirliğine ve büyümeye odaklanan bir kültür oluşturur.
Geliştiricileri güvenliğin merkezine yerleştirin
Geliştiriciye öncelik veren güvenlik, geliştiricileri güvenlik ekibinin müşterileri haline getirir. Geliştiriciler güvenli kod yazmaktan sorumludur ve güvenlik ekipleri onlara işlerini güvenli bir şekilde yapmaları için ihtiyaç duydukları araçları ve kaynakları sağlar. Bu, geliştiricinin her şeyin merkezinde yer aldığı araçlar, eğitim ve güvenlik kültürü anlamına gelir.
Siber güvenlik ekosisteminin tamamından yararlanın
Otomasyon ve makine öğrenimi gibi yenilikçi teknolojiler, modern güvenliğin merkezinde yer alır. Ancak bu tür çözümler sınırsız değildir ve yine de önemli güvenlik açıklarını gözden kaçırabilir. Etik bilgisayar korsanlarının yalnızca hayal güçleri sınırlıdır ve bu da onları teknoloji tabanlı çözümlere karşı büyük bir engel haline getirir. Kuruluşlar, her ikisini bir arada kullanarak saldırı yüzeylerinde boşluk kalmamasını sağlayabilir ve anlaşılması en zor güvenlik açıklarını bile sürekli olarak belirleyebilir.
Kurumsal Güvenlik Sorumluluğu Taahhüdüne Katılın
Siber güvenlik konusunda en iyi uygulamalara nihai bağlılık için kuruluşlar, Kurumsal Güvenlik Sorumluluğu Taahhüdünü benimseyebilir. Taahhüt dört temel prensibe dayanmaktadır: şeffaflık, işbirliği, yenilikçilik ve farklılaşma. Kuruluşlar, bu ilkeleri benimseyerek, kilit alanlarda önde gelen en iyi uygulamaları sürekli olarak karşıladıklarından ve kendileri ve daha geniş dijital dünya için siber güvenlik riskini azaltma konusunda endüstri standardını ileriye taşıdıklarından emin olabilirler.
Siber güvenlik çok uzun zamandır gizlilik üzerine kuruluydu. Bir kuruluş, kötü aktörlerin, hangi savunma mekanizmalarına sahip olduklarını veya daha önce hedef alındıklarını bilmedikleri takdirde onlara nüfuz edemeyeceklerine inandığı için durum böyle değildir. İşletmeler, bu yaklaşımın modern dijital ortamda amaca uygun olmadığını giderek daha fazla fark ediyor.
En güçlü güvenlik kültürleri, işbirliği ve şeffaflık, önemli bilgilerin ve deneyimlerin herkesi daha güçlü kılacak şekilde başkalarıyla paylaşılması üzerine kuruludur. “Birlikte güçlüyüz” fikri hiç bu kadar uygulanabilir olmamıştı; bu nedenle tek başınıza çalışmayın.