Siber saldırılarla daha etkin mücadele etmek için 5 öneri
CSC Türkiye Genel Müdürü Alev Alp Esen, geçtiğimiz yıl sadece ABD’de 68 milyon kişinin kişisel verisinin kurumların sistemlerinden çalındığına dikkat çekti. Müşterilerinin ya da üyelerinin verilerinin kötü niyetli kişilerin eline geçmesini engellemek isteyen kurumlara önerilerde bulunan Esen, bu önerilerin siber güvenlik harcamalarının doğru yönlendirilmesinde ve riski azaltılmasında yardımcı olacağını belirtti.
Yeni nesil BT servis ve çözümlerinde küresel lider konumunda bulunan CSC’nin Türkiye Genel Müdürü Alev Alp Esen, veri ihlallerinde yaşanan artışa dikkat çekerek, şirketlerin siber güvenlikle ilgili konularda yeni arayışlara yönlenmeye başladıklarını söyledi.
Gizlilik ihlalleri üzerine çalışmalar gerçekleştiren ABD merkezli kuruluş Privacy Rights Clearinghouse (PRC) tarafından hazırlanan raporların bu artışı açıkça ortaya koyduğunu belirten Esen şu bilgileri verdi:
“PRC verilerine göre, sadece ABD’de, 2012 yılında 28 milyon, 2013 yılında ise 60 milyon kişinin kişisel verisi bilgisayar korsanları tarafından kurum sistemlerinden çalındı. Artış geçtiğimiz yıl da devam etti ve mağdurların sayısı 70 milyona yaklaştı. Bu sayı, zararlı yazılımlar ya da hack aracılığıyla veri hırsızlığından kart bilgilerinin çalınmasına, akıllı telefon ve dizüstü bilgisayar gibi taşınabilir cihazların kaybolması ya da çalınması ile bilgilerin üçüncü kişilerin eline geçmesine kadar farklı olayları kapsıyor. Finanstan eğitim ve sağlığa kadar farklı sektörlerdeki kurumlarda gerçekleşen tüm bu olayların arkasındaki en büyük sorun ise, kurumların siber güvenlik çalışmalarında temel sebepler yerine tek tek olaylara odaklanmaları.”
Türkiye’deki kurumlar açısından da tablonun çok iç açıcı olmadığına değinen Alev Alp Esen, OECD verilerine göre, Türkiye’nin bilişim güvenliğinde yaşanan sorunlar açısından dünyada ilk 15 ülke arasında bulunduğunu söyledi. Esen, siber güvenliğe yönelik çalışmalarında farklı bir bakış açısına ihtiyaç duyan ve riski azaltmak isteyen kurumların yararlanabileceği önerilerini şöyle sıraladı:
Tehdit modellemesi geliştirin
“Kurumun verilerinin ve BT sistemlerinin ne tip saldırganlar tarafından hedef alındığını bilmek kritiktir. Bu şekilde, kurumsal BT sistemleri ve veriler içinde hangi varlıkların, kimin, niçin hedefi olacağına yönelik modeller geliştirilebilir. Bir sonraki aşamada, olası siber saldırılardan zarar görebilecek zayıf kısımların güçlendirilmesine yönelik çalışmalar yapılabilir. Bu tür modeller geliştirmek, bir saldırı durumunda neyin nasıl zarar görebileceğini ortaya koyacağı gibi, kurumun bu tür olağanüstü durumlara ne kadar hazır olduğunu da gösterecektir.
Kendi profesyonellerinizi yetiştirin
Nesnelerin interneti ile birlikte her geçen gün daha fazla uygulama ve cihaz birbirine bağlanırken kurumlar da büyüyor ve BT sistemleri genişliyor. Bu da elbette daha fazla saldırı potansiyelini beraberinde getiriyor. Fakat ne yazık ki yeterli sayıda siber güvenlik profesyoneli yetişmiyor. Birkaç yıl öncesine kadar, bulut bilişim ve sanallaştırma gibi teknolojilerin getirdiği ‘basitlik’ nedeniyle siber güvenlik profesyonellerine daha az ihtiyaç duyulacağı düşünülüyordu. Bugün gelinen noktada bunun gerçek dışı bir düşünce olduğu da ortaya çıkmış durumda. Kurumsal verileri saldırılardan korumak söz konusu olduğunda, BT sistemlerinin ne denli karmaşık olduğu daha iyi anlaşılıyor. Bu nedenle, kurumlar kendi ihtiyaçları doğrultusunda kendi siber güvenlik uzmanlarını yetiştirmeye yönelebilirler.
Güvenlik metriklerini dikkate alın
Sektördeki yaygın bir deyimin de ifade ettiği gibi, ‘Ölçemediğini yönetemezsin.’ Bu durum siber güvenlikle ilgili konularda da geçerlidir. Güvenlik durumundaki değişimlerin ya da performans göstergelerinin ölçümlenmesi, siber güvenlik riskleri hakkında önemli bilgiler verecektir. Güvenlik metriklerini ölçmeden ve takip etmeden, kurumun yüz yüze kalabileceği risklerin farkına varmak ve bu risklerin nasıl yönetilebileceğini bilmek mümkün olamayacaktır. Riskleri bilmek, siber güvenlik yatırımlarının ve harcama kararlarının doğru yönlendirilmesini de sağlayacaktır.
İş ve güvenlik stratejilerini bir araya getirin
CISO’ların ve siber güvenlik yöneticilerinin yaşadıkları sorunlardan biri de güvenliğe ve iş hedeflerine yönelik stratejilerin etkin bir biçimde bir araya getirilememesine yöneliktir. Teknolojik değişimin hızı ile birlikte siber tehditlerin günden güne daha etkin bir hal alması, çevik gelişim oranı ve uygulama dağıtımları, güvenlik hedeflerinin kurumsal stratejilerle bugüne dek olmadığı kadar etkin bir biçimde bir araya gelmesini gerektiriyor.
Hazırlıklı olun ve tepki verin
Bir yıl içinde bilgilerini kaybeden 68 milyon kişinin de gösterdiği gibi, bugünkü mevcut ‘savunma’ seviyesinin tüm atakları durdurması çok da mümkün değil. Kurumların BT güvenlik programlarına yaptıkları önemli yatırımların dışında, yaşadıkları veri hırsızlıklarına da çok hızlı bir biçimde tepki vermeleri gerekiyor. Kurumlar kendileri ile potansiyel saldırganlar arasındaki dijital engelleri ne kadar güçlendirseler de mutlaka çeşitli saldırılara maruz kalacaklar. Bu nedenle, saldırılara karşı hazırlıklı olmak, saldırı gerçekleştiğinde kısa sürede tepki vermek saldırının şiddetini mümkün olan en düşük seviyeye indirmeye yardımcı olacaktır.”