Bugün dijital dönüşümdeki en önemli güvenlik riskleri ve bunların üstesinden nasıl gelineceği hakkında konuşmak istiyorum. Bulut, nesnelerin interneti (IoT) ve otomasyon gibi teknolojiler, şirketlerin dijital olarak dönüşümüne yardımcı oluyor, fakat yeni güvenlik risklerini de beraberinde getiriyorlar. Şirketler bu konuda ne yapabilir? Ve dijital dönüşümdeki en büyük güvenlik riskleri nelerdir? Dijital dönüşüm bir seçim değildir; tüm şirketlerin geçirmesi gereken bir süreçtir.

Ancak şirketler mobilite, nesnelerin interneti (IoT) ve bulut gibi teknolojilerden yararlanarak işlerini değiştirdiklerinde, dijital dönüşümde göz önünde bulundurulması gereken güvenlik riskleri bulunmaktadır.

Dijital tabanlı hizmetlere geçmenin saldırı yüzeyini büyük ölçüde genişlettiği açıktır. Örneğin, IoT trendi iş verimliliğini arttırıyor, ancak ağa milyarlarca güvenli olmayan cihaz da ekliyor. Şirketler rakiplerinin önünde yer almak için dijitalleşmeye yöneliyorlar. Yine de, bu sık sık görülen büyük dijital değişim içerisinde, ilk olarak uygun güvenlik önlemleri alınmadan, yeni teknolojiler uygulayan firmaların olduğunu görüyoruz. İş ve müşteri verilerinin güvenliği her şeyden önemlidir, ancak yeni sistemler uygulanırken bu bilgilerin korunmasının ve sahiplenilmesinin göz ardı edilme tehlikesi vardır.

Ek olarak, şirketler tedarik zincirlerinin ve bununla birlikte gelen risklerin de farkında olmalıdır. İşletmeler, veri ve bilgi güvenliği ile ilgili – Örneğin, bir hizmet olarak yazılım (SaaS) platformları ve bulut sağlayıcıları ile – daha fazla tedarik zinciri riski oluşturan teknoloji şirketleri ile giderek daha fazla ortaklık kurmakta ve veri paylaşmaktadır. Risk, üçüncü tarafların kullandığı araç sağlayıcıların çoğunun, işletme sınıfı güvenlik sistemlerine sahip olmaması ve tedarik zinciri saldırıları için kolay hedefler olmalarından kaynaklanmaktadır. Bu en sık kullanıcı veri hırsızlığına neden olmaktadır.

Dijital dönüşümdeki en büyük risk, saldırı vektörünüz artık çok daha büyük. Veriler her yerde ve artık güvenlik duvarlarınızın arkasına gizlenmiyor.

Diğer bir önemli konu ise uç noktaların güvenliğinin sağlanmasıdır. Son zamanlarda, bağlı cihazların sayısı katlanarak artmıştır ve 2020 yılına kadar 50 milyar cihaz olarak tahmin edilmektedir. Bu nedenle, bir şirketin bağlı uç noktalarının korunması sıcak bir konudur ve en önemli güvenlik sorunlarından biridir. Birincisi, kullanıcıların en büyük tehdidin olduğunu kabul etmelisiniz: onlar hata yaparlar ve sofistike dolandırıcılıklarla kandırılabilirler. Personelinizi eğitin ve riskinizi azaltın.

İkincisi, “kale duvarlarına” (veri merkezinize ve çevresine gerçek verilerinize) biraz daha az odaklanın. Erişim yönetimi, veri kaybını önleme (DLP), şifreleme ve güçlü kimlik doğrulamayı düşünün. Tüm bunları doğru yapın, çoğundan daha iyi olursunuz. Risklerinizin ne olduğunu anlamalısınız. İnsanlar sızma testi yapabilir ancak benim için bu, yönetişim ve güvenlikle ilgili güçlü görünürlük ve kontrole eşit değildir. Şirketlere, kategorilere ayırmak ve kimin erişebileceğini kontrol etmek amacıyla verilerin görünürlüğünü sağlamak için dönüşüm sürecinin bir parçası olması gerektiğini öneriyorum. Statik şifreleri ortadan kaldırın ve şifrelerinizi çok faktörlü kimlik doğrulaması ile değiştirin.

Bu arada, bana göre, üçüncü taraf hesapları da denetlenmelidir ve onlardan sorumlu kuruluşların güvenlik standartları konusundaki kurallarına uyması gerekiyor. “Bu sadece en iyi uygulama olmamakla birlikte: Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) Güncellemesi, üçüncü tarafların müşteri bilgilerinizi güvenlik ve veri koruma standartlarına uygun bir şekilde ele alması gerektiğini belirtiyor.”

Ancak, aynı zamanda, şirketlerin kullanıcıların işlerini yapmak için ihtiyaç duydukları araçlara sahip olmalarını sağlamalıdır. Bir projeye başlamanın başından itibaren riskleri nasıl yönettiğinizi incelemelisiniz. Herkesin aynı şarkıyı söylediğinden emin olmalısınız ve aynı işlemleri kullanarak güvenliği tek tip bir şekilde ölçümlemelisiniz. Bunu hesaba katarak, yeni hizmetleri benimserken, firmalar şunu sormalı: Veri politikası nedir ? Risk nedir ? Veriler nerede saklanıyor ? Bu KVKK’ya uyumsuzluk riskini arttırıyor mu?

Bir diğer önemli konu ise Ayrıntılı Güvenlik Kültürü. İnsan faktörü ihlallere ve siber saldırılara sebebiyet vermektedir. Bu nedenle işverenlerin siber güvenlik ve dijital dönüşüm çerçevesinde şüpheci bilgi işlem ilkelerini benimsemeleri gerekir. Güvenlik kültürleri şu temel gereklilikleri içermesi gerekir.

– Varsayılan şifreleri sıfırlamak ve güvenilir şifreler ayarlanmalı

– Oltalama saldırılarından uzak durulmalı

– Bilinmeyen aygıtların bilgisayarlara takılmasından kaçınılmalı

Gördüğünüz gibi, bu kurallar oldukça basit, ancak büyük sorunları önlemeye yardımcı olabilirler. Ayrıca, bu önlem bütçe dostudur, ancak kapsamlı bir eğitim ve iç güvenlik kültürünün gelişimi gerekmektedir. Aynı zamanda, personel eğitimi özellikle oyunlaştırma gibi teknikler dahil edildiğinde etkilidir. En büyük hata, kötü amaçlı yazılım indiren veya yanlış bağlantıya tıklayan insanların cezalandırılmasıdır. Kullanıcılar bu belirttiğimiz önlemlerin faydalarını görmeye başlarsa, dikkat ettikleri bir şey haline gelir ve temel kültürün bir parçasını oluşturur. Sizler için hazırladığım aşağıdaki youtube videosunu izleyebilirsiniz.