Dijital dönüşüm, bilgilerin gücünden yararlanmak için güçlü bir fırsat sunuyor. Lakin bununla birlikte, bir kuruluşun inançlı ve dirençli olma yeteneği de dâhil olmak üzere kimi zorlukları ön plana çıkarıyor.
Dell Technologies Türkiye Ülke Müdürü Işıl Hasdemir hiper-dağıtık ortamların yeni işletme modelinde değerli bir örnek olarak karşımıza çıktığını söylüyor: “Bu ortamlar uygun biçimde korunmadığı takdirde çok sayıda yeni atak alanı ve güvenlik açığı ortaya çıkarabiliyor. Sophos’un State of Ransomware 2022 (Fidye Yazılımlarının Durumu) araştırmasına Türkiye’den katılan şirketlerin yüzde 60’ı, geçtiğimiz yıl fidye yazılımı taarruzlarına maruz kaldı. Akın sonucu dataları şifrelenen işletmelerin yüzde 47’siyse işlerinin aksamaması için fidye ödemeyi tercih etti.”
Siber hatalıların güvenlik açıklarından yararlanma hünerlerini vakit içinde geliştirmeye devam ettiğini de hatırlatan Hasdemir, “Giderek daha fazla data ve iş yükü dijitalleştiğinden atak için yüzey alanı da büyüyor. Ayrıyeten, her geçen gün daha fazla sistem karmaşık ve entegre tedarik zincirlerine dayandığından, daha kolay erişilebilir maksatlar hâline geliyor. Doğal olarak da gelişmiş tehdit tedbire teknolojisine daha fazla yatırım yapıldığını görüyoruz. TÜBİSAD ve Deloitte tarafından hazırlanan “Bilgi ve Bağlantı Teknolojileri Dalı 2021 Yılı Pazar Verileri” raporuna nazaran, global bilgi güvenliği ve risk idaresi harcamaları 2025 yılında 221 milyar dolara ulaşacak. Bu nedenle de güvenlik, risk ve ahenk açıklarını daha fazla büyümeden ele almanın tam zamanı” diyor.
Kuruluşlardaki 4 büyük güvenlik pürüzüne dikkat
Hasdemir, kelam konusu güvenlik olduğunda birçok kuruluşun hazırlıksız olduğuna da dikkat çekiyor. Bu değerlendirmesini Dell’in yakın vakitte yaptığı Breakthrough Araştırması’yla destekleyen Hasdemir, “Çalışanların yüzde 52’sinin gündemdeki fidye yazılım ataklarını duyduktan sonra bile güvenliklerini artırmadıklarını belirttiklerini görüyoruz. Her ne kadar etraf ihlalleri durumunda güçlü tehdit azaltma araçlarına sahip olsalar da bir atak, altyapıyı aşarak yıkıcı hasara neden olabilir. Bu çerçevede, kuruluşlarda görülen dört büyük güvenlik pürüzüne dikkat çekmek kritik ehemmiyet taşıyor” ihtarında bulunarak bu pürüzleri şöyle ayrıntılandırıyor:
“İlk olarak, siber atakların sırf belirli büyüklükteki kuruluşları yahut bölümleri amaç aldığına dair yanlış bir kanı var. Kuruluşlar, güvenlik planlamalarını göz gerisi ederek yalnızca saldırıyı önlemeye odaklanıyor. Bu cins ataklara karşı dirençli olmak değerli olsa da kuruluşların, mümkün olan en düzgün savunmaya karşın bir atağın an sıkıntısı olduğu varsayımıyla hareket etmesi ve süratli bir kurtarma stratejisine sahip olması gerekiyor. İkinci olarak, dijital dönüşüm suratlarını artırırken kuruluşların birçoğu güvenlik hususlarını dikkate almadan süratli teknolojik değişiklikler yapıyor. Halbuki günümüz data çağında, güvenlik dönüşümünün dijital dönüşüme eşlik etmesi gerekiyor. Üçüncü olarak, sahip oldukları güvenlik uygulamaları uzun müddet evvel alınmış, kimileri ise yeni teknolojiler geliştikçe sonradan eklenmiş durumda. Güvenlik entegrasyonu çoklukla uygulamalarla süreçler geliştirilinceye kadar dikkate alınmıyor ve yapı daha sonradan mevcut operasyonlara en güzel uyacak biçimde adapte ediliyor. Dördüncü olaraksa güvenliğin çok fazla silolu olmasını sayabiliriz. Başka bir deyişle güvenlik, her biri kendi dar fonksiyonel alanına nazaran oluşturulan farklı geliştirme gruplarının hudutları içinde tanımlanıyor, bu nedenle de kuruluş genelinde ahenk elde edilemiyor. Güvenlik, genel iş maksatlarıyla uyumlu bir formda tehditleri tespit etme ve en aza indirme emeline yönelik olmalı.”
Güvenlik stratejinizi güçlendirin
Verilerin, uygulamaların ve aygıtların güvenliğinin sağlanması, ölçeklendirme ve iş zekâsı için yenilikçi teknolojilerden yararlanan, tehditler yerine işin geneline odaklanan, kurtarma planlamasında proaktif olan, silolar yerine kuruluşu bir bütün olarak savunan daha olgun bir yaklaşım gerektirdiğine değinen Hasdemir, siber tehditlere karşı korunmak ve bu tehditler karşısında sağlam olmak için kuruluşlara üç temel ögesi göz önünde bulundurmalarını öneriyor:
1) Bilgileri ve sistemleri koruyun
Verileri ve sistemleri nasıl koruduğunuzu tekrar ele almak güvenliğinizi çağdaş tahlillerle güçlendirmek için birinci adım. Kendine has güvenlik yaklaşımı benimseyen muteber bir altyapı gerekiyor. Bu da altyapının tasarım açısından inançlı olduğu ve ortamınıza risk getirmediği manasına geliyor.
Güvenliğin yapısal ve yerleşik olması, güvenlik uygulamalarının yama olarak kullanılması yerine mümkün olduğunca korunacak mimariye has olacak formda tasarlanması gerekiyor. Hasebiyle en başından itibaren güvenlik için tasarlanmış aygıtlardan, eser yazılımlarından ve süreçlerden yararlanılmalı.
2) Siber dayanıklılığı artırın
Siber dirençli bir anlayışta odak noktası, atağa karşı savunma yapmaktan siber taarruz karşısında dirençli olmaya hakikat kayıyor, bu sayede asgarî kesinti ve kayıp sağlanıyor. Dirençli olmanın bir teknoloji değil, bir strateji hatta bir çıktı olduğunu bilmek gerekiyor. Bunu, bir kuruluşun bir ihlal tespitinde nasıl hareket edeceğini tam olarak bilmesi için planlama, teknoloji ve disiplinden kaynaklanan ataklara karşı koymak için “hazır olma durumu” olarak düşünün.
Bu nedenle, tehditleri en aza indirme ve dayanıklılık planlamasının temel iş operasyonları ve hizmetleriyle uyumlu olarak yapılması ve önceliklendirilmesi gerekli. İş sürekliliği planlaması, alışılagelmiş felaketlere tahlil üretmenin ötesine geçmeli ve BT grupları ve iş paydaşlarıyla iş birliğine imkan vermeli. Zira siber dayanıklılık, kuruluşunuz için nitekim neyin kıymetli olduğuna karar vermek ve hizmet verdiğiniz pazara sunduğunuz hizmetlere odaklanmakla ilgili.
3) Güvenlik karmaşıklığının üstesinden gelin
Güvenliğinizi çağdaş tahlillerle güçlendirmenin kesin adımı ise güvenlik karmaşıklığının üstesinden gelmek. Dijital dönüşüm, manuel olarak yürütülen ağır uygulamaları, daha düzgün iş sonuçları sağlayan otomasyon ve içgörülerle değiştirmemizi gerektiriyor. Dijital dönüşümün hızlanması ve pandemi kaynaklı iş gücü külfetinin bir ortaya gelmesiyle birlikte, güvenlik araçlarını konsolide etmek ve ölçeklendirmeyi mümkün kılan otomasyona, zekâya ve konsolidasyona yönelmek için ülkü bir vakit.
ESG Research’ün araştırmasına nazaran, çok sayıda sağlayıcı kullanarak bu verimsizliklerle uğraş eden kuruluşların yıllık bilgi kaybı maliyetlerinin 4 kat artacağı kestirim ediliyor.Bu noktada data kaybı tehdidinin Türkiye için kıymetli bir sorun olduğunu göz önünde bulundurmak gerekiyor. Kaspersky bilgilerine nazaran ise Türkiye’de bilgi kaybı tehditlerine yol açan akınlar 2022 yılının ikinci çeyreğinde yüzde 79 artarak 3 milyon 990 bin 546’ya ulaşmış durumda.
Mümkün olan durumlarda muhakkak sayıda sağlayıcıdan alınan araçları konsolide etmenin ortamınıza kolaylık getireceğini ve daha uygun yönetim/denetim, daha öngörülebilir davranış ve daha tesirli tehdit tespiti ve azaltma sağlayacağını burada bir kere daha vurgulamak gerekiyor.
Sonuç olarak çağdaş güvenlik; yerleşik, tümleşik ve bağlam odaklıdır. Sağlam bir güvenlik anlayışı oluşturmak sadece operasyonları korumakla kalmaz, tıpkı vakitte başarılı iş sonuçları elde edilmesine de yardımcı olur. Bu nedenle kuruluşlar, siber güvenlik ve dayanıklılık yaklaşımlarını modernize etmekten yarar sağlayacaktır. Bu da tesirli bir halde riskleri ele almalarına ve inovasyonu hızlandırmalarına imkan verecektir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
