Kuruluşlardaki 4 büyük güvenlik engeline dikkat

Dijital dönüşüm, dataların gücünden yararlanmak için güçlü bir fırsat sunuyor. Fakat bununla birlikte, bir kuruluşun inançlı ve dirençli olma yeteneği de dâhil olmak üzere birtakım zorlukları ön plana çıkarıyor.

Dell Technologies Türkiye Ülke Müdürü Işıl Hasdemir hiper-dağıtık ortamların yeni işletme modelinde değerli bir örnek olarak karşımıza çıktığını söylüyor: “Bu ortamlar uygun biçimde korunmadığı takdirde çok sayıda yeni atak alanı ve güvenlik açığı ortaya çıkarabiliyor. Sophos’un State of Ransomware 2022 (Fidye Yazılımlarının Durumu) araştırmasına Türkiye’den katılan şirketlerin yüzde 60’ı, geçtiğimiz yıl fidye yazılımı hücumlarına maruz kaldı. Taarruz sonucu bilgileri şifrelenen işletmelerin yüzde 47’siyse işlerinin aksamaması için fidye ödemeyi tercih etti.”

Siber hatalıların güvenlik açıklarından yararlanma maharetlerini vakit içinde geliştirmeye devam ettiğini de hatırlatan Hasdemir, “Giderek daha fazla bilgi ve iş yükü dijitalleştiğinden akın için yüzey alanı da büyüyor. Ayrıyeten, her geçen gün daha fazla sistem karmaşık ve entegre tedarik zincirlerine dayandığından, daha kolay erişilebilir amaçlar hâline geliyor. Doğal olarak da gelişmiş tehdit tedbire teknolojisine daha fazla yatırım yapıldığını görüyoruz. TÜBİSAD ve Deloitte tarafından hazırlanan “Bilgi ve İrtibat Teknolojileri Kesimi 2021 Yılı Pazar Verileri” raporuna nazaran, global bilgi güvenliği ve risk idaresi harcamaları 2025 yılında 221 milyar dolara ulaşacak. Bu nedenle de güvenlik, risk ve ahenk açıklarını daha fazla büyümeden ele almanın tam zamanı” diyor.

Hızlı bir kurtarma stratejisine sahip olmak gerek

Hasdemir, kelam konusu güvenlik olduğunda birden fazla kuruluşun hazırlıksız olduğuna da dikkat çekiyor. Bu değerlendirmesini Dell’in yakın vakitte yaptığı Breakthrough Araştırması’yla destekleyen Hasdemir, “Çalışanların yüzde 52’sinin gündemdeki fidye yazılım hücumlarını duyduktan sonra bile güvenliklerini artırmadıklarını belirttiklerini görüyoruz. Her ne kadar etraf ihlalleri durumunda güçlü tehdit azaltma araçlarına sahip olsalar da bir hücum, altyapıyı aşarak yıkıcı hasara neden olabilir. Bu çerçevede, kuruluşlarda görülen dört büyük güvenlik pürüzüne dikkat çekmek kritik kıymet taşıyor” ihtarında bulunarak bu mahzurları şöyle ayrıntılandırıyor:

“İlk olarak, siber taarruzların sırf muhakkak büyüklükteki kuruluşları yahut kesimleri maksat aldığına dair yanlış bir kanı var. Kuruluşlar, güvenlik planlamalarını göz gerisi ederek yalnızca saldırıyı önlemeye odaklanıyor. Bu cins ataklara karşı dirençli olmak kıymetli olsa da kuruluşların, mümkün olan en yeterli savunmaya karşın bir atağın an sıkıntısı olduğu varsayımıyla hareket etmesi ve süratli bir kurtarma stratejisine sahip olması gerekiyor. İkinci olarak, dijital dönüşüm suratlarını artırırken kuruluşların birçoğu güvenlik bahislerini dikkate almadan süratli teknolojik değişiklikler yapıyor. Halbuki günümüz bilgi çağında, güvenlik dönüşümünün dijital dönüşüme eşlik etmesi gerekiyor. Üçüncü olarak, sahip oldukları güvenlik uygulamaları uzun mühlet evvel alınmış, kimileri ise yeni teknolojiler geliştikçe sonradan eklenmiş durumda. Güvenlik entegrasyonu çoklukla uygulamalarla süreçler geliştirilinceye kadar dikkate alınmıyor ve yapı daha sonradan mevcut operasyonlara en güzel uyacak halde adapte ediliyor. Dördüncü olaraksa güvenliğin çok fazla silolu olmasını sayabiliriz. Öbür bir deyişle güvenlik, her biri kendi dar fonksiyonel alanına nazaran oluşturulan farklı geliştirme gruplarının hudutları içinde tanımlanıyor, bu nedenle de kuruluş genelinde ahenk elde edilemiyor. Güvenlik, genel iş amaçlarıyla uyumlu bir halde tehditleri tespit etme ve en aza indirme gayesine yönelik olmalı.”

Güvenlik stratejinizi güçlendirin

Verilerin, uygulamaların ve aygıtların güvenliğinin sağlanması, ölçeklendirme ve iş zekâsı için yenilikçi teknolojilerden yararlanan, tehditler yerine işin geneline odaklanan, kurtarma planlamasında proaktif olan, silolar yerine kuruluşu bir bütün olarak savunan daha olgun bir yaklaşım gerektirdiğine değinen Hasdemir, siber tehditlere karşı korunmak ve bu tehditler karşısında güçlü olmak için kuruluşlara üç temel ögesi göz önünde bulundurmalarını öneriyor:

1) Dataları ve sistemleri koruyun

Verileri ve sistemleri nasıl koruduğunuzu tekrar ele almak güvenliğinizi çağdaş tahlillerle güçlendirmek için birinci adım. Kendine has güvenlik yaklaşımı benimseyen emniyetli bir altyapı gerekiyor. Bu da altyapının tasarım açısından inançlı olduğu ve ortamınıza risk getirmediği manasına geliyor.

Güvenliğin yapısal ve yerleşik olması, güvenlik uygulamalarının yama olarak kullanılması yerine mümkün olduğunca korunacak mimariye has olacak biçimde tasarlanması gerekiyor. Münasebetiyle en başından itibaren güvenlik için tasarlanmış aygıtlardan, eser yazılımlarından ve süreçlerden yararlanılmalı.

2) Siber dayanıklılığı artırın

Siber dirençli bir anlayışta odak noktası, hücuma karşı savunma yapmaktan siber akın karşısında dirençli olmaya gerçek kayıyor, bu sayede asgarî kesinti ve kayıp sağlanıyor. Dirençli olmanın bir teknoloji değil, bir strateji hatta bir çıktı olduğunu bilmek gerekiyor. Bunu, bir kuruluşun bir ihlal tespitinde nasıl hareket edeceğini tam olarak bilmesi için planlama, teknoloji ve disiplinden kaynaklanan ataklara karşı koymak için “hazır olma durumu” olarak düşünün.

Bu nedenle, tehditleri en aza indirme ve dayanıklılık planlamasının temel iş operasyonları ve hizmetleriyle uyumlu olarak yapılması ve önceliklendirilmesi gerekli. İş sürekliliği planlaması, alışılagelmiş felaketlere tahlil üretmenin ötesine geçmeli ve BT grupları ve iş paydaşlarıyla iş birliğine imkan vermeli. Zira siber dayanıklılık, kuruluşunuz için sahiden neyin kıymetli olduğuna karar vermek ve hizmet verdiğiniz pazara sunduğunuz hizmetlere odaklanmakla ilgili.

3) Güvenlik karmaşıklığının üstesinden gelin

Güvenliğinizi çağdaş tahlillerle güçlendirmenin en son adımı ise güvenlik karmaşıklığının üstesinden gelmek. Dijital dönüşüm, manuel olarak yürütülen ağır uygulamaları, daha âlâ iş sonuçları sağlayan otomasyon ve içgörülerle değiştirmemizi gerektiriyor. Dijital dönüşümün hızlanması ve pandemi kaynaklı iş gücü sorununun bir ortaya gelmesiyle birlikte, güvenlik araçlarını konsolide etmek ve ölçeklendirmeyi mümkün kılan otomasyona, zekâya ve konsolidasyona yönelmek için ülkü bir vakit.

ESG Research’ün araştırmasına nazaran, çok sayıda sağlayıcı kullanarak bu verimsizliklerle çaba eden kuruluşların yıllık bilgi kaybı maliyetlerinin 4 kat artacağı varsayım ediliyor.Bu noktada bilgi kaybı tehdidinin Türkiye için değerli bir sorun olduğunu göz önünde bulundurmak gerekiyor. Kaspersky bilgilerine nazaran ise Türkiye’de data kaybı tehditlerine yol açan hücumlar 2022 yılının ikinci çeyreğinde yüzde 79 artarak 3 milyon 990 bin 546’ya ulaşmış durumda.

Mümkün olan durumlarda makul sayıda sağlayıcıdan alınan araçları konsolide etmenin ortamınıza kolaylık getireceğini ve daha uygun yönetim/denetim, daha öngörülebilir davranış ve daha tesirli tehdit tespiti ve azaltma sağlayacağını burada bir sefer daha vurgulamak gerekiyor.

Sonuç olarak çağdaş güvenlik; yerleşik, tümleşik ve bağlam odaklıdır. Sağlam bir güvenlik anlayışı oluşturmak sadece operasyonları korumakla kalmaz, tıpkı vakitte başarılı iş sonuçları elde edilmesine de yardımcı olur. Bu nedenle kuruluşlar, siber güvenlik ve dayanıklılık yaklaşımlarını modernize etmekten yarar sağlayacaktır. Bu da tesirli bir biçimde riskleri ele almalarına ve inovasyonu hızlandırmalarına imkan verecektir.

Kaynak: (BYZHA) – Beyaz Haber Ajansı