Genel olarak bir varlığı korumak için varlığın değerinden daha fazla para harcamak istemezsiniz. Varlığın değerlendirilmesinin yanı sıra, işletmenin güven ve itibarının da dikkate alınması gereken önemli faktörler biri olduğunu düşünüyorum ancak bu faktörleri ölçmek hiç kolay değildir. Temel olarak, internete bağlı herhangi bir kişisel bilgisayara sahipseniz, risk altındasınızdır. Siber suçlar bir cihazın yapısına veya yaşına göre ayrımcılık yapmaz.
Bir güvenlik ürünü tedarikçisine sorduğunuz da “En iyi müşterilerim saldırıya uğrayan müşterilerim” dediğini duyarsınız. Siber güvenlik ile ilgili karar vericilerin siber güvenlik konusunu maalesef yeteri kadar ciddiye almadığını gözlemliyorum ve sadece önceliği ve regülasyon gereksinimleri takip ettiklerini görüyorum.
Siber saldırı riski, sıklık ve tehlike bakımından düzenli olarak artar, yaşayan bir süreçtir. Dikkat ederseniz siber güvenlik dünyasındaki haberlerde her gün, bir sonraki saldırı hakkında, büyük ve küçük organizasyonlarda büyük endişe yaratan makalelerle dolu olduğunu görürsünüz. Bu kadar olumsuz duruma karşın yine de bir bütün olarak siber güvenlik yatırımları bilinçli birçok kuruluş tarafından finanse edilmeye devam ediyor. Siber güvenlik ciddiye alınmayacak bir şeyse neden finanse edilmeye devam ediliyor ?
Bunun bir nedeni, siber saldırıların başarılı olma olasılığını ve ayrıca potansiyel kayıpların derecesini tahmin etmenin zor olabileceğidir. Karar vericiler siber güvenliğe ne kadar yatırım yapacaklarını tahmin etmek için öngörülerini kullanmalıdırlar, ancak bazı karar vericiler nereye ve ne kadar yatırım yapacaklarını düşünürken yanlış modellere güvenebilirler. İşte, globalde ve ülkemizde kurumlardaki karar vericilerin neden siber güvenliği yeterince ciddiye almadıklarını açıklayan ve bu durumun altında yatan nedenlerden üçünü aşağıda sizlerle paylaşıyorum.

  1. Siber güvenliği, güçlü güvenlik duvarlarına sahip olunması ve siber savunmayı bir tür güçlendirme süreci olarak görmelerinden kaynaklanmaktadır. (Yaratılan Algı : Eğer güçlü güvenlik duvarları kurarsanız, güçlendirilmiş akıllı savunma cihazlarıyla, saldırganı bir mil öteden görebileceksiniz.)
  2. NIST, FISMA, ISO-27001, IEC 62443 vb. gibi bir güvenlik çerçevesine uymanın yeterli güvenlik seviyesi olduğunu varsayıyorlar. (Yaratılan Algı :  Sadece tüm kutuları işaretleyin, regülasyonun istediklerinden daha fazlasını yapmayın; sinir bozucu saldırganları uzak tutabilirsiniz.)
  3. Son zamanlarda güvenlik ihlali yaşamamışlar, bu yüzden zafiyeti görünmeyen şeyin düzeltilmesi gerekmiyor. (Yaratılan Algı : Bu yıl bir ihlal gözlemlenmedi, bu yüzden yatırımı hızlandırmamız gerekmiyor – gerçekte bu yıl şanslı olmaları ya da kötü bir oyuncunun gizlendiğini bilmemelerinden kaynaklı olarak yatırımları erteleme yoluna gidiliyor.)

Siber güvenlik söz konusu olduğunda, bazı karar vericiler, ne kadar yatırım gerektiğini ve nereye yatırım yapacaklarını belirlemelerine yardımcı olmak için yanlış modelleri kullanıyor. Bu modellerle ilgili sorun, siber güvenliği devam eden süreçten ziyade çözülebilen sınırlı bir sorun olarak görüyor olmalarından kaynaklanıyor. Siber güvenlik çabalarının risk azaltma yerine risk yönetimine odaklanması gerekmektedir. Her kuruluşun, milyonlarca kişiyi etkileyecek ve hatta sizi işsiz bırakabilecek siber saldırı olasılığına karşı korunmak için yaptığı işin kritiklik seviyesine göre devam eden bir plana ihtiyacı olduğunu düşünüyorum.
Bu modellerle ilgili sorun, siber güvenliği devam eden süreçten ziyade çözülebilen sınırlı bir problem olarak görmeleridir. Bir firma ne kadar güçlendirilmiş olursa olsun, bir su misali saldırganlar duvardaki çatlakları bulacaklardır ve içeriye doğru ilerleyeceklerdir. Bu yüzden siber güvenlik çabaları risk azaltma yerine risk yönetimi üzerine odaklanmalıdır. Karar vericilere tavsiyem bizim sistemlerimiz yeteri kadar güvenli hiçbir şekilde saldırı olmaz (Kime göre, neye göre diye sorarlar), saldırı olsa bile en fazla şu olur şeklindeki (Gerçekten ne kadar bir zarar göreceğinizi kestirebiliyor musunuz ?) yaklaşımlardan vazgeçmelerini tavsiye ediyorum.
Karar vericiler Siber güvenliği “Sadece Bir Bilgi Teknolojileri Sorunu” olarak düşündüğünde, bir şirketin CEO’dan başlayarak tüm işgücünün yalnızca büyük bir İnsan Kaynakları sorunu olduğuna inanmaya benzer. C seviyesindeki yöneticiler için her şeyi bölümlendirmek caziptir. Ancak güvenlik yalnızca Bilgi Teknolojileri departmanına indirildiğinde, bu büyük bir hatadır. Şirketteki her kişi bir güvenlik ihlali için potansiyel birer tehdit kaynağıdır ve bu nedenle gerçek güvenliği sağlama şansına sahip olmak için herkes eğitilmeli ve tüm sistemler güvence altına alınmalıdır. İtibar kazanmak 20 yıl sürer ve bir siber olay ihlali durumunda o itibarı mahvetmek için birkaç dakika bile almaz. Bazı yöneticiler, otomatik olarak “güvenlik meselesiyle ilgilenen” tek bir araç veya çözüm olması gerektiğini düşünürler. Ancak güvenliği sağlayan kolay bir düğme ve güvenlik için önceden paket haline getirilmiş bir çözüm yoktur. Gerçek güvenlik ancak geniş kapsamlı tamamlayıcı araçların toplanması ve hem yöneticilerden hem de kullanıcılardan günlük tetikte olma, yani katmanlı bir savunma ile sağlanabilir.
Bir diğer konu ise siber güvenlikten sorumlu CISO’ların yeteri kadar üst yönetim desteği alamamasından kaynaklı sıkıntılar yaşamalarıdır. CISO’lar mevcut zafiyetlerin ortaya çıkartılması, bu zafiyetler için alınması gereken önlemlerle ilgili üst yönetimi raporlama yaparak bilgilendirmektedir. Çoğu zaman üst yönetimi yatırım için ikna edilememesi ve zafiyetlerin kapatılması ile ilgili yatırım desteği alınamaması gibi CISO’ları yaptığı işten bezdirecek durumlarla karşılaşılmaktadır. Üst yönetimin gündemi finansal baskıyla birlikte sürekli değişim göstermektedir, CISO’ların iletişim ve ikna becerileri bu noktada önem kazanmaktadır. Öncelikle CISO’ların siber güvenlikle ilgili üst yönetimin farkındalığını arttırması gerekmektedir, bir ihlal durumunda oluşabilecek sonuçları net bir şekilde ortaya koyması gerekmektedir. İletişim ve ikna becerilerini kullanarak üst yönetimin desteğini alacak şekilde planlamasını sürekli bir şekilde devam ettirmelidir.
Hepimizin de bildiği gibi iş dünyasında hayaller ve gerçekler diye bir kavram vardır. Finansal baskı, ekonomik dalgalanmalar hayallerin ötesine geçerek, gerçeklerle yüz yüze gelmemizi sağlamaktadır. Öncelikler iyi belirlenmeli ve yatırımlar bu önceliklere göre planlanmalıdır. Bu şu demek değildir ki her yeni teknolojiyi, her yeni versiyonu çıkmış ürün modelini fayda-maliyet analizi yapmadan sistemlerin içerisinde konumlandırılması gerekmektedir. Teknolojik gelişmelerin, yeni siber tehditlerin ve yeni ürünlerin sonu asla gelmemiştir ve gelmeyecektir. Akış içerisinde teknoloji de siber tehditlerde kendi akışıyla ilerlemektedir. Elimizdeki mevcut siber güvenlik varlıklarının iyi değerlendirilmesi ve yatırımların risk yönetimi tabanlı olarak yapılmasını tavsiye ediyorum.