Güvenlik ekipleri için hassas içerik, genellikle kurumsal BT sistemlerinde korumaları gerekenlerin merkezinde yer alır. Ancak çoğu zaman bunu söylemek yapmaktan daha kolaydır. Yakın zamanda yapılan bir ankete yanıt verenlerin yalnızca %11’i içerik güvenliği yönetiminde herhangi bir iyileştirmeye gerek olmadığını söyledi.
Modern bir işletmenin karşılaştığı zorlukların çoğu – veri ihlalleri ve uyumluluk dahil olmak üzere güvenlik sorunları – günümüzde yaygın olan operasyonel süreçlerin karmaşıklığı nedeniyle daha da kötüleşmektedir. İletişim araçlarının çoğalması ve birçok kuruluşun manuel süreçlerden kurtulamaması nedeniyle güvenlik ve uyumluluk sorunlarının gözden kaçması kaçınılmaz. Peki baskıyı hafifletmek için ne yapılması gerekiyor?
Üçüncü taraf çarpımı ve riski
Çoğu kuruluş, günlük işleri sırasında yüzlerce ve çoğunlukla binlerce üçüncü tarafla büyük miktarda hassas veri alışverişinde bulunur. Bu nedenle, tüm sektörlerdeki kuruluşlar için üçüncü taraf riski hiç bu kadar yüksek olmamıştı. Hassas içeriklerin paylaşılmasının gerekliliği tehdidi daha da artırıyor.
İşletmelere şirketlerinden kaç üçüncü taraf kişinin hassas içerik aldığını tahmin etmeleri istendiğinde, üçte ikisi (%66) 1.000’den fazla tahminde bulundu. 30.001’den fazla çalışanı olan en büyük kuruluşların %33’ü, 5.000’den fazla üçüncü tarafla içerik alışverişinde bulunuyor. Bunun içinize sinmesine izin verin.
Hassas içerik bir kuruluştan ayrıldığında, on kişiden dördü (%39) %50 veya daha azına erişimi izleyemediğini ve kontrol edemediğini belirtiyor. Özellikle EMEA’daki şirketler bunu zor buluyor; %46’sı, kuruluşlarından ayrıldıktan sonra hassas içeriğin %50 veya daha azına erişimi izleme ve kontrol etme yeteneklerini kaybettiklerini itiraf ediyor.
Veri ihlali olaylarının, kuruluşların hassas içerik alışverişinde bulunduğu üçüncü tarafların sayısıyla karşılaştırılması, önemli ölçüde daha yüksek risk göstermektedir. Örneğin, 5.000’den fazla üçüncü tarafla hassas içerik alışverişinde bulunduğunu bildirenlerin üçte birinden fazlası (%35) geçen yıl 10’dan fazla veri ihlali yaşadı. Ayrıca, 2.500 ila 4.999 üçüncü tarafla hassas içerik alışverişinde bulunanların neredeyse yarısı (%47) yediden fazla veri ihlali yaşadı. Aynı durum dava masrafları açısından da geçerlidir. Daha büyük kesinlikle daha iyi değildir. 5.000 veya daha fazla üçüncü tarafla hassas veri alışverişinde bulunanların yarısı, dava masraflarına 5 milyon doların üzerinde para harcadı. Aslında, 2.500 ila 4.999 üçüncü tarafla hassas içerik alışverişinde bulunanların %44’ü de 5 milyon doların üzerinde harcama yaptı.
İletişim araçlarının çoğalması ve risk
Hassas içeriğin gönderilmesi ve paylaşılması söz konusu olduğunda çok sayıda iletişim aracı mevcuttur: e-posta, dosya paylaşımı, yönetilen dosya aktarımı, SFTP, web formları ve benzerleri. Bu bizim kendi yarattığımız bir sorundur. Riskleri azaltmaya, maliyetleri düşürmeye ve operasyonel verimliliği artırmaya yönelik hamleler, içerik iletişim araçlarının konsolidasyonuna yönelik bir istekle sonuçlanmış gibi görünüyor.
Çapraz analiz, belki de şaşırtıcı olmayan bir şekilde, daha yüksek veri ihlali oranına sahip kuruluşların en fazla iletişim aracını kullandığını gösteriyor. 10 veya daha fazla veri ihlali yaşayan kuruluşların üçte biri (%32) yediden fazla iletişim aracına sahip. Altı iletişim aracına sahip olanların neredeyse yarısı (%48) yedi ila dokuz arasında veri ihlali yaşadı. Bu rakamlar, tüm katılımcılar arasındaki ortalama veri ihlali sayısından önemli ölçüde daha yüksektir. Yalnızca %9’u 10 veri ihlali bildirdi ve yalnızca %23’ü yedi ila dokuz veri ihlali bildirdi. Bu, 10 veya daha fazla iletişim aracına sahip olanlar için 3,55 kat, yedi ila dokuz iletişim aracına sahip olanlar için ise 2 kat daha yüksek bir orana denk geliyor. Kuruluşların veri ihlali dava masrafları için ödediği tutar söz konusu olduğunda da aynı durum geçerli: Geçen yıl 7 milyon doların üzerinde ödeme yaptığını bildirenlerin %26’sı yediden fazla iletişim aracına sahip (%8 normunun 3,25 katı).
Kritik bir ihtiyaç
Kuruluşların hassas içeriklerini koruma konusunda proaktif önlemler almalarının kritik bir ihtiyaç olduğu açıktır. İletişim araçlarını tek bir platformda birleştirmek iyi bir başlangıç noktasıdır. Daha az iletişim aracına sahip kuruluşların daha az ihlalle karşılaştığı kanıtlanmıştır. İçerik iletişimi için kullanılan farklı araçların sayısını azaltarak kuruluşlar, veri ihlali riskini önemli ölçüde azaltabilir ve operasyonel verimliliği artırabilir.
Üçüncü taraflarla yapılan hassas içerik alışverişlerinin de önemli riskler içerdiği açıktır. Basitçe söylemek gerekirse, katılımcıların hassas içerik gönderip paylaştığı üçüncü taraflar ne kadar fazlaysa, o kadar fazla veri ihlali ve daha yüksek dava maliyetleriyle karşı karşıya kalıyorlar. Sonuç olarak kuruluşların, üçüncü taraf risklerini azaltmak için kapsamlı yönetişim izleme ve kontrollerinin yanı sıra gelişmiş güvenlik yeteneklerine sahip olmalarını sağlamaları zorunludur.
Gecikme. Kuruluşlar, genellikle geleneksel ihlal maliyet tahminlerinde hesaba katılmayan önemli yasal maliyetlere maruz kalabilir. Hasar gören marka itibarı, gelir kaybı ve kesintiye uğrayan operasyonlar, veri ihlallerinden kaynaklanan unsurlardan yalnızca biridir. Uyum cezaları ve cezaların yanı sıra uzatılmış dava masrafları, uzun zaman dilimlerinde hissedilen uzun vadeli bir etkiye sahip olabilir. Bu nedenle FedRAMP, ISO 27001, SOC 2 Type II, NIST CSF 2.0 ve diğerleri gibi güvenlik standartlarına uygun hassas içerik iletişim araçlarının seçilmesi önemlidir.
