Dijital dönüşüm, dataların gücünden yararlanmak için güçlü bir fırsat sunuyor. Lakin bununla birlikte, bir kuruluşun inançlı ve dirençli olma yeteneği de dâhil olmak üzere birtakım zorlukları ön plana çıkarıyor.
Dell Technologies Türkiye Ülke Müdürü Işıl Hasdemir hiper-dağıtık ortamların yeni işletme modelinde kıymetli bir örnek olarak karşımıza çıktığını söylüyor: “Bu ortamlar uygun formda korunmadığı takdirde çok sayıda yeni akın alanı ve güvenlik açığı ortaya çıkarabiliyor. Sophos’un State of Ransomware 2022 (Fidye Yazılımlarının Durumu) araştırmasına Türkiye’den katılan şirketlerin yüzde 60’ı, geçtiğimiz yıl fidye yazılımı taarruzlarına maruz kaldı. Hücum sonucu bilgileri şifrelenen işletmelerin yüzde 47’siyse işlerinin aksamaması için fidye ödemeyi tercih etti.”
Siber hatalıların güvenlik açıklarından yararlanma marifetlerini vakit içinde geliştirmeye devam ettiğini de hatırlatan Hasdemir, “Giderek daha fazla bilgi ve iş yükü dijitalleştiğinden taarruz için yüzey alanı da büyüyor. Ayrıyeten, her geçen gün daha fazla sistem karmaşık ve entegre tedarik zincirlerine dayandığından, daha kolay erişilebilir amaçlar hâline geliyor. Doğal olarak da gelişmiş tehdit tedbire teknolojisine daha fazla yatırım yapıldığını görüyoruz. TÜBİSAD ve Deloitte tarafından hazırlanan “Bilgi ve Bağlantı Teknolojileri Kesimi 2021 Yılı Pazar Verileri” raporuna nazaran, global bilgi güvenliği ve risk idaresi harcamaları 2025 yılında 221 milyar dolara ulaşacak. Bu nedenle de güvenlik, risk ve ahenk açıklarını daha fazla büyümeden ele almanın tam zamanı” diyor.
Hızlı bir kurtarma stratejisine sahip olmak gerek
Hasdemir, kelam konusu güvenlik olduğunda birden fazla kuruluşun hazırlıksız olduğuna da dikkat çekiyor. Bu değerlendirmesini Dell’in yakın vakitte yaptığı Breakthrough Araştırması’yla destekleyen Hasdemir, “Çalışanların yüzde 52’sinin gündemdeki fidye yazılım hücumlarını duyduktan sonra bile güvenliklerini artırmadıklarını belirttiklerini görüyoruz. Her ne kadar etraf ihlalleri durumunda güçlü tehdit azaltma araçlarına sahip olsalar da bir akın, altyapıyı aşarak yıkıcı hasara neden olabilir. Bu çerçevede, kuruluşlarda görülen dört büyük güvenlik pürüzüne dikkat çekmek kritik kıymet taşıyor” ikazında bulunarak bu manileri şöyle ayrıntılandırıyor:
“İlk olarak, siber atakların sadece aşikâr büyüklükteki kuruluşları yahut kesimleri amaç aldığına dair yanlış bir kanı var. Kuruluşlar, güvenlik planlamalarını göz gerisi ederek yalnızca saldırıyı önlemeye odaklanıyor. Bu cins ataklara karşı dirençli olmak değerli olsa da kuruluşların, mümkün olan en yeterli savunmaya karşın bir atağın an sorunu olduğu varsayımıyla hareket etmesi ve süratli bir kurtarma stratejisine sahip olması gerekiyor. İkinci olarak, dijital dönüşüm suratlarını artırırken kuruluşların birçoğu güvenlik hususlarını dikkate almadan süratli teknolojik değişiklikler yapıyor. Meğer günümüz data çağında, güvenlik dönüşümünün dijital dönüşüme eşlik etmesi gerekiyor. Üçüncü olarak, sahip oldukları güvenlik uygulamaları uzun müddet evvel alınmış, kimileri ise yeni teknolojiler geliştikçe sonradan eklenmiş durumda. Güvenlik entegrasyonu çoklukla uygulamalarla süreçler geliştirilinceye kadar dikkate alınmıyor ve yapı daha sonradan mevcut operasyonlara en düzgün uyacak formda adapte ediliyor. Dördüncü olaraksa güvenliğin çok fazla silolu olmasını sayabiliriz. Öbür bir deyişle güvenlik, her biri kendi dar fonksiyonel alanına nazaran oluşturulan farklı geliştirme gruplarının sonları içinde tanımlanıyor, bu nedenle de kuruluş genelinde ahenk elde edilemiyor. Güvenlik, genel iş gayeleriyle uyumlu bir halde tehditleri tespit etme ve en aza indirme gayesine yönelik olmalı.”
Güvenlik stratejinizi güçlendirin
Verilerin, uygulamaların ve aygıtların güvenliğinin sağlanması, ölçeklendirme ve iş zekâsı için yenilikçi teknolojilerden yararlanan, tehditler yerine işin geneline odaklanan, kurtarma planlamasında proaktif olan, silolar yerine kuruluşu bir bütün olarak savunan daha olgun bir yaklaşım gerektirdiğine değinen Hasdemir, siber tehditlere karşı korunmak ve bu tehditler karşısında güçlü olmak için kuruluşlara üç temel ögesi göz önünde bulundurmalarını öneriyor:
1) Bilgileri ve sistemleri koruyun
Verileri ve sistemleri nasıl koruduğunuzu yine ele almak güvenliğinizi çağdaş tahlillerle güçlendirmek için birinci adım. Kendine has güvenlik yaklaşımı benimseyen emniyetli bir altyapı gerekiyor. Bu da altyapının tasarım açısından inançlı olduğu ve ortamınıza risk getirmediği manasına geliyor.
Güvenliğin yapısal ve yerleşik olması, güvenlik uygulamalarının yama olarak kullanılması yerine mümkün olduğunca korunacak mimariye mahsus olacak formda tasarlanması gerekiyor. Hasebiyle en başından itibaren güvenlik için tasarlanmış aygıtlardan, eser yazılımlarından ve süreçlerden yararlanılmalı.
2) Siber dayanıklılığı artırın
Siber dirençli bir anlayışta odak noktası, atağa karşı savunma yapmaktan siber atak karşısında dirençli olmaya hakikat kayıyor, bu sayede asgarî kesinti ve kayıp sağlanıyor. Dirençli olmanın bir teknoloji değil, bir strateji hatta bir çıktı olduğunu bilmek gerekiyor. Bunu, bir kuruluşun bir ihlal tespitinde nasıl hareket edeceğini tam olarak bilmesi için planlama, teknoloji ve disiplinden kaynaklanan ataklara karşı koymak için “hazır olma durumu” olarak düşünün.
Bu nedenle, tehditleri en aza indirme ve dayanıklılık planlamasının temel iş operasyonları ve hizmetleriyle uyumlu olarak yapılması ve önceliklendirilmesi gerekli. İş sürekliliği planlaması, alışılagelmiş felaketlere tahlil üretmenin ötesine geçmeli ve BT grupları ve iş paydaşlarıyla iş birliğine imkan vermeli. Zira siber dayanıklılık, kuruluşunuz için nitekim neyin değerli olduğuna karar vermek ve hizmet verdiğiniz pazara sunduğunuz hizmetlere odaklanmakla ilgili.
3) Güvenlik karmaşıklığının üstesinden gelin
Güvenliğinizi çağdaş tahlillerle güçlendirmenin kesin adımı ise güvenlik karmaşıklığının üstesinden gelmek. Dijital dönüşüm, manuel olarak yürütülen ağır uygulamaları, daha uygun iş sonuçları sağlayan otomasyon ve içgörülerle değiştirmemizi gerektiriyor. Dijital dönüşümün hızlanması ve pandemi kaynaklı iş gücü sorununun bir ortaya gelmesiyle birlikte, güvenlik araçlarını konsolide etmek ve ölçeklendirmeyi mümkün kılan otomasyona, zekâya ve konsolidasyona yönelmek için ülkü bir vakit.
ESG Research’ün araştırmasına nazaran, çok sayıda sağlayıcı kullanarak bu verimsizliklerle gayret eden kuruluşların yıllık bilgi kaybı maliyetlerinin 4 kat artacağı iddia ediliyor.Bu noktada bilgi kaybı tehdidinin Türkiye için değerli bir sorun olduğunu göz önünde bulundurmak gerekiyor. Kaspersky datalarına nazaran ise Türkiye’de data kaybı tehditlerine yol açan taarruzlar 2022 yılının ikinci çeyreğinde yüzde 79 artarak 3 milyon 990 bin 546’ya ulaşmış durumda.
Mümkün olan durumlarda belli sayıda sağlayıcıdan alınan araçları konsolide etmenin ortamınıza kolaylık getireceğini ve daha uygun yönetim/denetim, daha öngörülebilir davranış ve daha tesirli tehdit tespiti ve azaltma sağlayacağını burada bir sefer daha vurgulamak gerekiyor.
Sonuç olarak çağdaş güvenlik; yerleşik, tümleşik ve bağlam odaklıdır. Sağlam bir güvenlik anlayışı oluşturmak sırf operasyonları korumakla kalmaz, birebir vakitte başarılı iş sonuçları elde edilmesine de yardımcı olur. Bu nedenle kuruluşlar, siber güvenlik ve dayanıklılık yaklaşımlarını modernize etmekten yarar sağlayacaktır. Bu da tesirli bir biçimde riskleri ele almalarına ve inovasyonu hızlandırmalarına imkan verecektir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
