Günümüzde çabucak hemen tüm işletmelerin geleceği artık data ve dijital altyapı üzerine inşa ediliyor. Global ekonomiler ve tedarik zincirleri kesintiye uğradıkça şirketeler de eserlere, hizmetlere ve bunların temelini oluşturan dijital altyapılara da bağımlılıklarını artıyor. Yapay zeka, blok zinciri, biyometri, hiper temaslı sistemler ve sanal gerçeklik üzere çığır açan teknolojiler bu geleceği şekillendiriyor. Siber güvenlik hangi teknoloji kullanılırsa kullanılsın ticari faaliyetlerin ayrılmaz bir kesimi haline geliyor. KPMG’nin “Siber Güvenlikte Dikkat Edilmesi Gereken Hususlar” başlığı ile yayımladığı yeni raporu, siber güvenliği tüm strateji ve operasyonlara dahil etmeyi hedefleyen işletmelere dikkat etmeleri gereken hususları bir ortada sunuyor.
�
Konuyla ilgili değerlendirmede bulunan KPMG Türkiye Siber Güvenlik Hizmetleri Başkanı Ümit Yalçın Şen, “İşletmelerin, siber güvenliği tüm tertipleri genelinde en kıymetli bahislerin başına yerleştirmeye başlaması ya da gündeme girdiyse de daha yüksek tondan takip etmeye devam etmesi gerekiyor. Bu çerçevede tertipler, ekosistemleri içerisinde dijital inancı kuvvetlendirmek ismine siber güvenlik faaliyetlerini bir temel olarak kullanabilmelidir. Lakin güvenlik faaliyetlerinden sorumlu yöneticiler (CISO) ve grupları bunu tek başlarına yapamazlar; bu tertipteki herkesin sorumluluğu olmalıdır. Natürel bu bunu sağlamak da kolay değildir. Öncelikle şirkette vazife yapan herkes, başta en zirve idare ögeleri (yönetim kurulları, icra kurulları, üst yönetim temsilcileri, vb.) olacak formda siber güvenlikle ilgili bir formda kendilerinin de sorumlu olduğunu anlamalıdır. Bunun akabinde tüm takımlar güvenliği mevcut süreçlere nasıl entegre edebileceklerini düşünmelidir. Her iş ünitesine adeta bir müşteri üzere davranılması ve bu ünitelere ilişkin faaliyetlerin güvenlik gereksinimleri, riskleri ve denetimleri göz önünde bulundurularak tasarlanması, sorumlu ve inançlı davranışları teşvik edebilir ve işletmelere büyük yarar sağlayabilir. Hazırladığımız bu rapor özelde CISO’ların, genelde ise tüm çalışanların rekabet avantajı elde etmek için işletmelerinde dijital güveni tesis etmelerini sağlamaları için 2023 yılında atabilecekleri adımları verilere dayanarak aktarmayı amaçlıyor” dedi.
�
2023 yılı için en önemli siber güvenlik konuları
KPMG’nin raporunda işletmelerin 2023 yılında siber güvenlik stratejilerini şekillendirirken dikkat etmeleri gereken sekiz bahis şu formda sıralanıyor:
1. Dijital itimat için ortak sorumlulukla hareket edilmeli
Güven muvaffakiyetin anahtarıdır ve yalnızca prestijle ilgili değildir. İtimadın artırılması rekabet avantajı yaratabilir ve kar hanesine katkıda bulunabilir. Dijitalleşen dünyada rastgele bir işletmenin gelecekteki başarısı dijital itimat üzerine inşa edilebilir. Siber güvenlik ve mahremiyet ise bu itimat için hayati derecede değerlidir. Fakat bu potansiyelin gerçekleştirilmesi için tüm paydaşların ortak taahhüdü gerekiyor.
�
Raporda yer alan datalara nazaran;
- Kurumların üçte birinden fazlası artan itimadın karlılığı artırdığını kabul ediyor.
- Ancak yüzde 65’i bilgi güvenliği gereksinimlerinin uzun vadeli stratejik hedeflerden ziyade mevzuatlara uyumluluk ihtiyaçları tarafından şekillendirildiğini belirtiyor.
- Katılımcıların yüzde 49’u ise idare heyetinin güvenliği rekabet avantajı elde etmenin bir yolu olarak görmek yerine gerekli bir maliyet olarak gördüğüne inanıyor.�
2. Göze batmayan güvenlik ile inançlı davranışlar teşvik edilmeli
Güvenliği, insanların itimatla çalışmasına, verimli seçimler yapmasına ve işletmelerin korunmasında kendi rollerini oynamasına yardımcı olacak biçimde işin içine yerleştirmek, birçok vakit sıkıntı olsa da CISO’ların temel hedeflerinden biri olmalıdır. İnsanların güvenliği bir engel olarak görmesi kolay olduğundan CISO’ların güvenliği hem insan hem de iş merkezli perspektiflerden ele alarak bu zihniyetin değişmesine ön ayak olması kıymet taşıyor.
�
Diğer yandan kurumlar CISO’ların kritik görevleri yerine getirme becerisine de oldukça güveniyor.
- Kurumların yüzde 79’u CISO’ların kurum genelinde hangi verilerin kritik öneme sahip olduğunu tespit edebileceklerinden emin.
- 3/4’ü CISO’ların en önemli veri hazinelerinin neler olduğunu belirleyebileceğine inanıyor.
- Yüzde 78’i CISO’ların hassas datalarının ne kadarının üçüncü taraflarda olduğunu bildiklerinden ve bunları uygun formda muhafaza altına aldıklarından emin.�
3. Etraf sonunun azaldığı ekosistemde data merkezli gelecek sağlanmalı
Son on yılda işletme modellerinin temelden değişerek data merkezli, iç ve dış ortaklar ile hizmet sağlayıcılardan oluşan kontaklı ekosistemler haline gelmesi şaşırtan değil. Bu dağıtık bilişim dünyasında, mümkün kesintilerin yahut ihlallerin yıkıcı tesirlerini azaltmaya yardımcı olmak için CISO’lar ve güvenlik ekipleri; sıfır güven mimarisi, güvenli ağ erişim hizmeti (SASE) ve siber güvenlik ağı modelleri gibi çok farklı yaklaşımlar benimsemelidir.
- Yöneticilerin yüzde 28’i, paydaşların bir işletmenin datalarını kullanma ve yönetme marifetine olan inancını zayıflatan esas faktör olarak “yürürlükteki yönetişim mekanizmalarına duyulan güven eksikliğini” gösteriyor.
- Yüzde 32’si ayrıca “belirli bir hizmet için verinin neden gerekli olduğu ve veri paylaşmanın veya sağlamanın faydaları konusunda netlik olmamasını” da bir diğer faktör olarak tanımlıyor.
- Yüzde 36’sı datalarının nasıl korunduğu konusunda kaygı duyuyor.
- Yüzde 35’inin ise verilerinin nasıl kullanıldığı veya paylaşıldığı konusunda endişeleri var.�
4. Yeni modeller ile yeni ortaklıklar kurulmalı
Güvenlik ekiplerinin yalnızca işletmelerinin BT sistemlerinin güvenliğine odaklandığı günler geride kaldı. CISO’ların ne vakit frene basacaklarını siber güvenlikte ne vakit dış kaynaklardan faydalanacaklarını, günümüzde ve gelecekte hangi yetenekleri kurum içinde tutacaklarını belirlemeleri gerekiyor. Güvenlik; artık işletme ve hizmet sağlayıcılar ortasında paylaşılan bir sorumluluk modeli aracılığıyla sunulan bir iş haline gelmiş durumda. Bu nedenle dış iştiraklerin da hiper irtibatlı ekosistemlerde muvaffakiyet için hayati kıymete sahip olması bekleniyor, lakin bu istikametteki iş birliklerinin önünde hala kimi maniler bulunuyor.
- KPMG’nin araştırmasına katılanların yüzde 79’u tedarikçiler ve müşterilerle yapan iş birliğinin hayati değer taşıdığını söyleseler de yalnızca yüzde 42’si bunu gerçekleştirdiklerini ifade ediyor.
- Yüzde 60’ı tedarik zincirlerinin kendilerini taarruzlara karşı savunmasız bıraktığını kabul ediyor.
- Yöneticilerin yüzde 78’i ise CISO’ların tedarik zinciri boyunca bilgilerini garanti altına alabileceğinden emin.�
5. Otomasyona itimat meselesinin önüne geçilmeli
İnovasyon ve gelişen teknolojilerden yararlanma yarışında; güvenlik, mahremiyet, bilgi muhafaza ve etik ile ilgili telaşlar daha fazla dikkat çekiyor olsa da bu konular ekseriyetle göz gerisi edilebiliyor yahut unutulabiliyor. Bu konular denetim edilmediği takdirde ortaya çıkan ihmal, bilhassa de ufukta yapay zeka teknolojisinde mahremiyeti gözeten regülasyonlar görünüyorken, işletmelerin potansiyellerini kullanamamalarına yol açabilir. Otomasyon açısından zeka ve makine tahsili üzere değerli tahlillerin benimsenmesinin etik, güvenlik ve mahremiyet üzerindeki tesirleri konusunda artan toplumsal ve ticari tasalar bulunuyor.
- Katılımcıların yüzde 78’i yapay zeka ve makine öğreniminin benzersiz siber güvenlik zorluklarına neden olduğu konusunda hemfikir.
- Her 4 katılımcıdan 3’ü yapay zeka ve makine tahsilinin temel etik soruları gündeme getirdiğini söylüyor.
- Yöneticilerin yüzde 76’sı yapay zeka ve makine öğreniminin kullanılmasının bu teknolojilerde şeffaflık gerektirdiğini de ifade ediyor.�
6. Akıllı bir dünyanın güvenliği sağlanmalı
Hemen hemen her sektördeki işletmeler, ağ destekli hizmetler geliştirmeye ve bunları destekleyen cihazları yönetmeye odaklanan bir ürün zihniyetine geçiş yapıyor. Kuruluşlar ürün güvenliğinin de önemli olduğunu fark ettikçe CISO’lar ve grupları de mühendislik, geliştirme ve eser takviye gruplarıyla görüşmelere katılıyor. Siber güvenliğin zorlukları konusunda kazanılar tecrübe CEO’lara ne kadar hazırlıklı ya da hazırlıksız olabilecekleri konusunda daha net bir resim sunuyor.
- CEO’ların yüzde 24’ü siber saldırılara karşı hazırlıksız olduklarını kabul ederken bu oran 2021’de yüzde 13 düzeyinde bulunuyordu.
- Yüzde 56’sı ise hazırlıklı olduklarını söylüyor.
- Katılımcıların 3/4’ü kuruluşlarının fidye yazılım akınlarıyla başa çıkmak için bir planı olduğunu tabir ediyor.
- Her 4 CEO’dan 3’ü ise iş ortağı ekosistemini ve tedarik zincirini muhafazanın, kuruluşlarının siber savunmasını oluşturmak kadar değerli olduğunu belirtiyor.�
7. Çevik düşmanlarla gayret edilmeli
Günümüzde devlet dayanaklı saldırganlar giderek artan bir halde otomatik araçlarla sistemlere sızabiliyor ve sistemleri ele geçirebiliyor. Bu nedenle güvenlik operasyonları bir taarruz meydana geldiğinde öncelikli hizmetlerin kurtarılmasını hızlandıracak halde optimize edilmeli ve yapılandırılmalıdır; bu sayede atakların tüketiciler, müşteriler ve iş ortakları üzerindeki tesiri azaltabilir. Bu çetin uğraşta siber güvenlik takımları de gelişen tehditlere ayak uydurma baskısı altında bulunuyor, lakin yetenek açığı sıklıkla güvenlik gayretlerini sekteye uğratıyor.
- Kurumların yarısından fazlası siber güvenlik konusunda planlananın gerisinde kaldıklarını kabul ediyor.
- Yüzde 50’den fazlası organize suç grupları, içeriden bilgi sızdıranlar ve ele geçirilmiş tedarik zincirleri de dahil olmak üzere çeşitli siber tehditlerle karşı mücadelede kendilerinden oldukça emin.
- Yüzde 59’u saldırganların tedarik ve alım zincirindeki açıklardan faydalandığı konusunda hemfikir, lakin savunmalarının bu açıkları kapatacak kadar güçlü olduğundan emin değiller.
- Yüzde 40’ına nazaran ise siber güvenlik maksatlarına ulaşmalarının önündeki bir numaralı işletme içi zorluk anahtar yeteneklerin ve yetkinliklerin eksikliği.�
8. Değerli olduğu vakit ve yerde dirençli olunmalı
Her güvenlik sisteminin kusurları vardır. Bir noktada, her işletme bir siber atağa maruz maruz kalabilir. Bu nedenle düzenleyiciler giderek daha fazla akla yatkın senaryolara odaklanıyor ve bilhassa güç, finans ve sıhhat hizmetleri üzere stratejik kıymete sahip kesimlerdeki işletmeleri sağlam olmaya ve kendilerini toparlayacak biçimde pozisyonlandırmaya zorluyor. Kanun yapıcılar ve düzenleyicileri bu açıdan daha fazla şeffaflık ve kontrol talep ediyor. Bu da birçok işletmeyi, giderek karmaşıklaşan global düzenlemeler ortasında yollarını bulma konusunda endişelendiriyor.
- KPMG’nin araştırmasına katılanların yüzde 36’sı faaliyetlerini dijital hizmet sağlayıcılara yaptırdıklarında mevcut yahut yeni siber güvenlik düzenlemelerini karşılama marifetleri konusunda telaş duyuyor.
- Yüzde 31’i siber güvenlikle ilgili düzenlemelere daha fazla konu olan kritik altyapılara ilişkin endişe duyuyor.
- Yüzde 28’i kritik sistemlerin dayanıklılığıyla ilgili mevcut yahut yeni düzenlemelerden kaygı duyuyor.
- Yüzde 26’sı olayları daha sıkı bir formda raporlama gerekliliklerinden telaş duyduklarını söz ediyor.
Raporun tamamına buradan ulaşabilirsiniz.
Hibya Haber Ajansı
27.03.2023 10:34:15