Yaşadığımız dönemde büyük ölçekli siber güvenlik ihlalleri neredeyse sıradan hale geldi. Yakından tanıdığımız ve hatta müşterisi olduğumuz şirketlerin yaşadıkları siber saldırılar bizleri de ilgilendirmeli, çünkü saldırganlar tarafından çalınan değer, çoğu zaman bu şirketlerin verisi -yani aslında bizim verimiz. Ne yazık ki son yıllarda bu siber saldırıların çektiği tüm ilgiye rağmen, dünya çapındaki birçok kuruluş, ortaya çıkan siber riskleri yönetmeye çalışırken halen büyük zorluk çekiyor. Boyut ve sektörden bağımsız olarak siber güvenlik, ilgi ve yatırım gerektiren bir alan.
Ancak bilinenin aksine, siber güvenliğe yatırım yapmak, sadece teknolojiye yatırım yapmak anlamına gelmez. Siber güvenlik, çalışanları, müşterileri, iş süreçlerini ve üçüncü tarafları da içeren çok daha geniş kapsamlı bir alandır. Gartner araştırma şirketinin güvenlik harcamaları üzerine yaptığı ankete göre, siber güvenlik pazarı son birkaç yıldır sürekli büyüyerek, 2020’de yaklaşık 123 milyar ABD Dolarına ulaştı. Tahminler, 2024 yılına kadar 300 milyar ABD Doları’na ulaşacağını öngörüyor. Artan yatırımlara rağmen, siber güvenlik saldırılarının sayısı, ihlaller ve yasal para cezaları da her yıl artıyor. Ortalama bir şirketin kullandığı 47 adet güvenlik teknolojisi bile, siber güvenliği sağlamanın zorluğunun altını çiziyor.
Bu süreçte hayatımıza dahil olan pandemi ve jeopolitik krizler, 2020 yılında bir önceki yıla göre siber saldırı sayısında 4 kat artışa neden oldu. Bu dönem, genel olarak çeşitli siber saldırı yöntemlerinin kullanımını önemli ölçüde artırdı. Özellikle, mevcut Covid-19 salgınının ortasında hayatımıza giren “evden ve uzaktan çalışma”, çalışanların daha az güvenli ve denetimsiz ortamlarda şirket sistem ve verilerine erişimini sağladı. Maalesef bu durum siber saldırganlar için de yepyeni olasılıklar yarattı.
Bilinçli siber güvenlik yatırımları
Öncelikli olarak kuruluşlar, her bütçede olduğu gibi, siber güvenliğin gerçek maliyetini ve kendilerine etkisini çok iyi anlamalıdır. Geleneksel olarak siber güvenlik maliyetlerinin çoğu, ağ bağlantıları, veri koruma ve uç nokta koruma teknolojileri gibi BT altyapı bütçelerinde gizlidir. Ayrıca, bazı teknolojilerin ikili amacı olabilir. Örnek olarak, güvenlik duvarları BT ortamları içinde etkili iletişimi de sağlarken, aynı zamanda iletilen verileri de güvence altına alır. Hiç beklemediğimiz işlerde de siber güvenlik maliyetleri saklı olabilir. İnsan kaynakları veya eğitim birimlerinin güvenlik farkındalığı eğitimlerini planlaması ve bu eğitimleri almak için her çalışanın harcadığı zamanı bu maliyetlere örnek olarak gösterebiliriz.
İkinci olarak, kurumlar kendi kapasite ve mevcut siber güvenlik kontrollerinin olgunlukları hakkında detaylı bilgiye ve şeffaflığa sahip olmalıdır. Elbette yukarıda belirtildiği gibi, siber güvenlik kontrolleri yalnızca teknoloji odaklı değildir; her teknolojinin onu yönetmek için insanlara ve süreçlere ihtiyacı olur. Ayrıca, her siber güvenlik riskinin çözümü için bir teknolojiye ihtiyaç yoktur. ISO27001, NIST ve CIS kontrolleri gibi endüstri tarafından tanınan standartlar, genel siber güvenlik olgunluğunun değerlendirilmesine yardımcı olabilir. Bazı kuruluşlar için bu değerlendirmeyi harici destek alarak yapmak faydalı olabilir. Dışarıdan görüş almak, bazı durumlarda daha tarafsız ve aydınlatıcıdır.
Askeri deha Sun Tzu’nun dediği gibi: “Düşmanı bildiğiniz kadar kendinizi de biliyorsanız, zafer konusunda şüpheniz olmasın.” Bu nedenle, her bir kuruluş içinde bulunduğu tehdit ortamını ve ona zarar verebilecek unsurları derinlemesine anlamalıdır. Organizasyondaki en değerli varlıkların ne olduğunu bilmek, düşmanın neyin peşinde olduğunu da belirlemeye yardımcı olacaktır. Nasıl ki gerçek hayatta altın ve mücevherleri kasaya koymak mantıklı ise, siber ortamda da öncelikli hedef en önemli varlıkları korumak olmalıdır. Kritik varlıkları tanımlarken iş birimlerini dâhil etmek, riskleri daha iyi anlamalarına ve aynı zamanda daha net bir tanıma ulaşmaya yardımcı olacaktır. Bu ortak çalışmalar çoğu durumda çok sağlıklı olmayan siber güvenlik ve iş fonksiyonları arasındaki iletişimi de destekler.
Hedeflenen siber güvenlik yapısına adım adım
İlk değerlendirmeler tamamlanınca, kuruluşun gerçekçi yeteneklerine, iş önceliklerine ve risklerin ciddiyetine dayalı olarak, istenen durumu tasarlamak için sağlam bir planlama yapmak gerekir. Genellikle bu plan birkaç yıla yayılarak yapılır. Her bir projenin ayrıntılı bir tanımını ve beklenen sonucunu, gelecekteki organizasyonu, öngörülen mimariyi ve üst yönetim dâhil tüm paydaşlara yönelik bir iletişim stratejisini içermelidir. Tanımlanan her kilometre taşı için ölçülebilir temel başarı faktörleri, hem teknik hem de iş birimlerinin anlayacağı bir dilde ifade edilmelidir.
Son olarak, hedeflenen yapıya ulaşmak için gerçekçi bir bütçe tanımlanmalıdır. Her proje ve değişim beraberinde yeni süreç, teknoloji ve bunları yönetecek iş gücü ihtiyacı getirir. Dolayısıyla, tanımlanan bütçe proje sonrası operasyon maliyetlerini de içermelidir. Bazı durumlarda, özellikle otomasyonun kullanılmasıyla operasyon bütçeleri azalabiliyorken, çoğu zaman artış gösterdiği görülmektedir.
Her yatırım gibi, siber güvenlik yatırımlarının da ölçülebilir kârlı bir getirisi olmalıdır. Risk azaltma etkisi, potansiyel ihlallerin beklenen maliyetinden daha büyükse, yatırım karlı olarak kabul edilir. İhlallerin potansiyel maliyetini sadece riskli varlığın değeri ile hesaplamak yeterli olmayabilir. İtibar kaybı, mevcut ve yeni iş kaybı, gelir kaybı, yasal para cezaları, hisse dalgalanmalarının etkisi ve felaket kurtarma gereksinimleri ihlallerin genel maliyetini de etkileyebilir.
Kuruluşlar dijitalleştikçe ve operasyonları otomatikleştikçe, siber güvenlik riskleri de eşzamanlı olarak değişmeye ve artmaya devam eder. Siber güvenliğe yatırım yapmak tek seferlik bir karar değildir ve en az yılda bir kez gözden geçirilmesini gerektirir. Şimdi, başlamak için en iyi zaman!
Bu makale FINTR’nin kurumsal üyelerinden Mastercard Avrupa Siber Güvenlik Danışmanlığı Direktörü Yaşar Yüzer tarafından hazırlanmıştır.
