İşletmelerin dijital ayak izi genişledikçe siber güvenlik riskleri de artıyor. Bu, potansiyel tehditleri artırsa da, CISO’lar hâlihazırda ördükleri duvarların yeterince iyi olduğu yönündeki tutumla mücadele ediyor.
CompTIA’nın siber güvenliğin durumuna ilişkin genel bakışında bulduğu şey budur. Ankete yanıt veren yaklaşık 5 kişiden 2’si, güvenliğin “yeterince iyi” olduğu algısının siber güvenlik girişimleri için bir zorluk olduğu yönündeki yaygın inancı dile getirdi.
Bu, genel olarak en önemli zorluklarda şirket içi çalışanlar arasındaki siber güvenlik becerileri açığıyla bağlantılıydı.
CompTIA endüstri araştırmalarından sorumlu başkan yardımcısı ve raporun yazarı Seth Robinson, “Çoğu şirket artık bu ‘yeterince iyi’ kavramının aşırı basitleştirilmiş olduğunun farkında, ancak bunun yerini neyin alması gerektiği konusunda pek fazla pratikleri yok” dedi.
Bu sorunun bir kısmı, siber güvenliğin genel BT ekibinin işinin bir parçası olduğu yönündeki tarihi tutumdan kaynaklanmaktadır.
Robinson, “Birkaç on yıl geriye giderseniz, özel bir güvenlik ekibine sahip bir şirket bulmakta zorlanacaksınız” dedi. “Artık bugün herkesin bir tane var.”
Riskler de daha düşüktü çünkü siber güvenlik çoğunlukla bir güvenlik çevresinin sonucuydu. Dijital varlıkların değeri de çok daha düşüktü, dolayısıyla bilgi ve dijital varlıkların çalınmasının günümüzde kazançlı bir suç girişimi olduğu siber suç işlemeye yönelik daha az teşvik vardı.
Robinson’a göre işletmelerin çalışma şekli ve koruma ihtiyaçları değiştikçe, çok az şirket güvenliklerinin ne durumda olduğunu anlamak için gerekli ölçümlere sahipti.
Robinson, en önemli sorunun siber güvenlik ve tehdit ortamını anlamada karmaşıklık olması olduğunu söyledi.
CompTIA, kuruluşların teknoloji öncelikleri, güvenlik programlarının etkinliğini ölçecek ölçümlerin eksikliği ve daha geniş siber teknoloji ve tehdit eğilimlerine ilişkin yetersiz anlayış nedeniyle güvenliklerini iyileştirme konusunda zorluk yaşadıklarını tespit etti.
CompTIA’nın tespitine göre, birçok kuruluşun güvenlikten yoksun olması veya güvenliği üçüncü bir tarafa nasıl devredeceğinden emin olmaması da sorunu daha da artırıyor.
Bulut güvenliği devrimi
Robinson, eğer bir şirket hâlâ siber güvenliğin değerini ve önemini anlamakta zorlanıyorsa, bulut bilişimin bir dönüm noktası olması gerektiğini söyledi.
“Bulut bilişim, bir anda güvenli çevrenizin yeterince iyi olmadığını fark ettiğiniz bu internet çağının doğal bir uzantısıydı. Güvenliği farklı düşünmeniz gerekiyor” dedi.
West Monroe ulusal siber güvenlik lideri Deron Grzetich, eğer bir kuruluş henüz orada değilse, güvenlik profesyonellerinin riskleri nasıl sunduklarını ve nelerin değişmesi gerektiğini incelemesi gerektiğini söyledi.
“CISO işin kendisine yönelik riski tasvir etti mi?” dedi. “Bu noktada CISO, tipik olarak sahip oldukları bazı teknik kaygıları potansiyel iş etkilerine dönüştüremedikleri için biraz başarısız oluyor.”
CISO’lar aynı zamanda siber güvenlikten ziyade yenilikçiliğe ve ürünü pazara sunmaya odaklanan üst düzey yöneticilere karşı da mücadele ediyor olabilir.
Grzetich, bu durumun özellikle “yarışta en hızlı ceylan olmamız gerekiyor” tavrına sahip yeni şirketler için geçerli olduğunu söyledi.
Bu gibi durumlarda CISO’lar programın siber olgunluğunu ve durumunun veya eksikliğinin işletmeyi nasıl olumsuz yönde etkileyebileceğini tercüme etmeye odaklanmalıdır.
Bu, bir risk analizi sunmak anlamına gelebilir ve güvenliğin “yeterince iyi” olduğu fikrine güvenmenin nasıl ciddi itibar, mali ve düzenleyici etkilere sahip olabileceğini gösterebilir.
Robinson, metrikleri bulmanın ve izlemenin de bu noktada yardımcı olabileceğini söyledi. Bunları risk yönetimi yaklaşımına dahil etmenin “iş dünyasının dilini konuşmanın bir yolu” olduğunu söyledi. “Sonuçta yapmaya çalıştığımız şey, neden riski azaltmak istediğinize veya ne kadar yatırımın ne kadar riski azaltabileceğine dair bir örnek oluşturmak.”
Siber güvenliğe bu bakış açısı, onu bir maliyet merkezi ve iş yapmanın maliyeti olmaktan çıkarıp işin stratejik bir parçası haline getirebilir.
Robinson, bunun iş dünyası liderleri arasında yankı uyandırdığını çünkü her zaman “risk profilini mümkün olduğu kadar düşük seviyeye getirmek için hangi düzeyde yatırım yapma konusunda rahat olduklarını” sorduklarını söyledi.