CISO’nun IT sektöründeki rolü sadece on yıl kadar geriye dayanıyor. O zamanlar bu alanda “siber güvenlik” kavramını bile kullanılmıyordu. İlk CISO’ların öncüleri, meslek alanlarını “Bilgi Teknolojisi” ile başlamasıyla tutarlı olarak “Bilgi Güvenliği” olduğunu savundular.
CISO’nun nispeten yeni rolünü anlamamız için siber güvenliğin kökenlerine kısa ama önemli bir yolculuk yapmamız önemlidir. O zamanlarda, fiziksel güvenlik ve bilgi güvenliği büyük ölçüde aynı kavramlardı. Eğer şirketimin ağına erişmek istersem, beni yerel alan ağına götüren fiziksel bir Ethernet kablosuna bağlı sabit bir masaüstü bilgisayarıyla gerçekleştirebiliyordum. Masaüstü ve onu bu ağa bağlayan Ethernet teknolojisi şirketimin tesislerinde konumlanıyordu. Bu nedenle şirket ağına erişmenin tek yolu, şirketin kendisine fiziksel olarak girmekti ve bu da ofise giriş kartı gibi somut bir güvenlik izni gerektiriyordu. Zihniyette ve pratikte fiziksel ve bilgi güvenliğini ayrılmaz bir şekilde bu şekilde bağlayabiliriz.
Geçen zaman içerisinde eskiden bu zamana herşeyin ne kadar değiştiğine şaşırıyoruz. İş artık gittiğim bir yer değil; benim yaptığım şey. Artık işverenimin güvenli, fiziksel çevresinin dışında da çalışabiliyorum. Profesyonel ve özel hayatımı şirket dışından çalışarakta sorunsuz bir şekilde işlerimi halledebiliyorum (mobil cihazım üzerinden e-postaya yanıt vermek, WiFi’yi bulabildiğim hemen hemen her yere bağlanmak ve hayatımı kolaylaştıran sayısız bulut hizmetlerine erişmek gibi.)
İşi bağsız bir deneyim olarak benimseyen tek kişi ben değilim, artık yeni düzen bu şekilde ve sizlerde hergün bunu deneyimliyorsunuz. Nispeten yeni iş davranışlarımız ve değişen koşullar bizi ve şirketlerimizi savunmak zorunda olan CISO’lar üzerinde katlanarak daha fazla baskı oluşturmaktadır. CISO’ların karşı karşıya kaldığı en önemli üç stratejik zorluğunu aşağıdaki gibi özetleyebiliriz:
Amazon, Google ve Microsoft tarafından sağlandığı gibi public bulutlarının altyapısına kim “sahip” ? Bu en azından cevaplanması daha kolay bir sorudur. Amazon, Google ve Microsoft gibi şirketler bu bulut ortamlarının fiziksel güvenliğinden sorumludur. Ama sahip oldukları o devasa veri merkezlerini korunmasına benzer bir şekilde şirketlerimizin bizim çalıştığımız binaları korumasına ve fiziksel erişime olanak sağlanması gibi düşünebiliriz. Bulut hırsızlığı, genellikle büyük web şirketlerinin fiziksel veri merkezlerine giren becerikli hırsızların elde ettiği sonuçların bir göstergesi değildir. Bu, siber suçluların, söz konusu veri merkezlerinde bulunan veya geçen verileri kesmek için bir yol bulmasının sonucunda gerçekleşmektedir.
Bu veriler için nihayetinde kim “sorumluluk sahibi” ? Bu konuda herkesin en kolay ve en net cevabı: şirketiniz bulunduğu yerden bağımsız olarak işvereninizin tesislerinde bulunan sunucularda veya public bulut hizmetleri aracılığıyla kiralanan sunucularda kendi verilerini güvenceye almaktan sorumludur.
Bulut teknolojileri, CISO’nun şirketin verilerini depolamak veya iletmek için kullanılan altyapı üzerindeki kontrolünün sadece bir örneğidir. Kendi cihazını getir (BYOD) hareketi artık eskide kalacak ve yeni trend ile birlikte, yani şirket tarafından verilen mobil cihazlar daha popüler bir hale gelecektir. Pek çok şirketin, çalışanlarının seçtikleri mobil cihazlar üzerinde çalışmasına izin vermek için paldır küldür acele etmelerinin iyi bir nedeni var. Yapılan araştırma sonuçlarına göre, akıllı telefonları iş amaçlı kullanmak, çalışanları hızlandırırken, verimliliği yüzde 34 artırıyor.1 Dönüşüm hedefinin gerçekleştirilmesini daha da zorlaştırmak için eski teknolojilerin raf ömrü çok daha uzundur. Bulut hizmetlerini dağıtmak için acele eden iş birimlerinde bile (BT’nin resmi onayı olsun veya olmasın), hala korunması gereken uzun bir şirket içi altyapı kuyruğu bulunmaktadır. USB sürücülerini örnek olarak düşünebilirsiniz. 2017 yılında Ben-Gurion Üniversitesi’ndeki araştırmacılar, USB’lerden kaynaklanan zafiyetler için bilinen 29 saldırı vektörünü belgelediler.2 Yazılımsız, donanım şifreli USB sürücüler üreticisi Apricorn, 2017 yılında çalışanların yüzde 90’ının USB kullanırken, sadece yüzde 20’sinin şifreleme ile bunu yaptığını bildirmiştir.3 Uzun soluklu eski teknoloji altyapısı nadiren ortadan kalktığı ve hiçbir zaman bu kadar çabuk değişmediği için, bu dönüşüm arayışları riskli kapsam ve sorumluluk genişlemeleri gerektirmektedir.
Peki bu durumlarda CISO’lar ne yapacak ? Tam erişimli, her şeye sahip bir çevreyi anlamsız bir şekilde destekliyor ve organizasyonunu artan riske açık bırakıyor. Potansiyel tehdidi içerecek durumlarda talep edilen bazı durumlarda “hayır” cevabının verilmesi gerekmektedir. Bu cevabı veren CISO her zaman sevilmeyen kişi, kolaylıklara taş koyan kişi konumunda olacaktır. Teknolojik Dönüşüm gündemini geliştirirken, hayatı kolaylaştırırken aynı anda şirketinin en değerli dijital varlıklarını korumak gerekmektedir. Ne yazık ki, bu zorunluluklar ve kolaylıklar birbirleriyle bundan daha fazla çelişemezdi.
Hacim, zorluğun sadece bir parçasıdır. Bir tehdidi tespit etmek eskiden çok daha basitti. Artık günümüzdeki tehditler, kötü niyetli kişiler tarafından kurbanlarına zarar vermek üzere tasarlanmış kötü amaçlı yazılım biçiminde geldi. Şimdilerde Siber güvenlik endüstrisi, bildiğiniz ve nefret ettiğiniz sinir bozucu virüsler de dahil olmak üzere “geleneksel” kötü amaçlı yazılımlardan bahsediyor. Kötü amaçlı yazılımlar, yalnızca endüstrinin bu şekilde tanımlamasına izin veren statik bir kod dizesiyle birlikte gündeme geldi. Bunu bir çeşit yazılım parmak izi olarak düşünebilirsiniz, siber güvenlik endüstrisinin zararlı yazılım imzası olarak adlandırdığı şeydir. Tıpkı kolluk kuvvetlerinin parmak izlerine dayalı suçluları tanımlamak için kullandığı gibi, siber güvenlik endüstrisi bilinen kötü amaçlı yazılımları kendi veritabanına eklemek için yazılım imzaları arar ve ekler. Zararlı imza bir dosyada bulunursa, dosya engellenir ve tehdit bulunur.
Şimdilerde bu durum biraz daha değişti. En sinsi tehditler artık bilinen ve kolayca tanımlanabilen bir parmak iziyle göze çarpmayacak şekilde karşımıza çıkar oldu. Saldırganlar çok daha akıllı hale geldi. Tipik olarak veri sızıntılarındaki saldırılar artık sadece rakiplerimizden gelmiyor. Fidye yazılımlarının popülerleşmesiyle birlikte, saldırganlar Dark Web’de satmak için verileri uğraşmıyorlar ve daha farklı yollarla kurbanlarının dosyalarını kilitleyerek (veya şifreleyerek) ve kalıcı olarak imha etmeden önce anahtar (veya şifre çözme) için fidye talep ederek farklı para kazanma yollarını arttırmışlardır.
Ya da belki de verinin veya paranın hiç peşinde değillerdir. Akıllı bir rakip, kurbanın kritik sistemlerine erişimi kapatarak şirketi süreçte dizlerinin üstüne getirerek yıkım yaratmaya daha meyilli olabilir. Veya bilgisayar korsanları, verileri kaos yaratmak için silahlandığı bilgi savaşı olarak kullanabilir (sadece şirketinizin her gün ürettiği veri hacimlerini ve ona yapılan en küçük manipülasyonların işlerinize ne kadar önemli ölçüde zarar ve karışıklığa neden olabileceğini düşünün). Tehditler sadece üstel olarak daha büyük olmakla kalmaz, aynı zamanda daha karmaşık ve sinsidir. Ve tehditlerin hacmi, çeşitliliği ve gücü daha fazla riske dönüşür.
CISO’ların yılda altı defadan az kısa süreli bir araya geldiklerinde bu tehditleri net bir şekilde komisyona nasıl açıklamaları beklenebilir ? Ortalamalara bakıldığında kurullarda ve komisyonlarda şirketten değişen konuları kapsaması sadece yılda 24 saattir. Hassas birleşmeler ve devralma faaliyetlerinin arasına finansal performans stratejisi eklendiğinde Siber güvenlik konuları mı ? O da ne ? Bir konu olarak siber güvenliğin, son derece teknik ve karmaşık doğası sebebiyle, birçok kurul tarafından kısa süreli kaybolması şaşırtıcı mıdır?
Ama verilen önem bu şekilde olmak zorunda değildir. Siber güvenlik gerçekten son derece tekniktir. Ama aynı zamanda özünde çok basittir. Temelde risk yönetimiyle ilgilidir. CISO’lar riski azaltmak için sürekli ince bir ipte yürümektedir. Muhtemelen felaket etkisine yol açmayacak yüksek hacimli tehditlere ve bir şirketi devirebilecek düşük hacimli, hedefi iyi belirlenmiş saldırılara yönelik doğru dengeyi bulmalıdırlar ve bu yönde stratejilerini geliştirmeleri gerekmektedir.
Hepimiz, yönetim kurulu üyeleri veya başka bir şekilde, kendi yaşamlarımızda aynı ince çizgide yürüdüğümüz için risk yönetiminin zorluğu konusunda CISO ile empati yapabilir ve bir bağ kurabiliriz. Banyolarımızda düşme riskini önlemek için banyo paspaslarımız var (belirli bir yaşın altındaki çoğu için nispeten küçük bir risk). Evimizde duman alarm sensörleri, doğal gaz dedektörleri kullanıyoruz ve yangın gibi daha yıkıcı riskleri azaltmak için sigorta poliçeleri satın alıyoruz. Ve bir göktaşının kafamıza düşme riskinde olduğu gibi gerçekten de diğer felaket riskleri ortaya çıkabilir, sonsuz gerçekleşme olasılıkları göz önüne alındığında bu riskleri güvenle görmezden geliriz.
CISO’lar şirketleri için riskleri aynı şekilde sınıflandırmalıdır ve önceliklendirmelidir. CISO’lar için zorluk, siber güvenlik konusunu süreç içinde basitleştirmeden sadeleştirmektir.
Sorunlara çözüm bulmak için yeterli insan olmadığı düşünüldüğünde, CISO’lar, bu boşluğu doldurmak için siber güvenlik yatırımları için yarışan geniş bir siber güvenlik ürün satıcılarındaki ürünlere bel bağlamak zorunda kaldı. İşgücü piyasasındaki açığın aksine, CISO’nun sınırlı finansal kaynağı için mücadele eden piyasa da bir çok siber güvenlik ürünleri var. Her tedarikçi, birçoğu siber güvenlik sorununun küçük (büyük değilse) bir bölümünü çözmeyi vaat eden bir veya daha fazla savunma teknolojisi sunmaktadır. Değeri göstermeye ve bir sonraki tehdidi öngörmeye çalışan CISO’lar tarihsel olarak, düşmanlara karşı cephanelikleri için en son savunma teknolojisini benimsemeye koştular ve koşmaya devam ediyorlar.
Ancak bu stratejiyi uygulamada karşı tarafın elindeki çubuğun kısa ucunu çektiler. Bunun en büyük nedeni, her finansal yatırım için rekabet eden parçalanmış tedarikçi manzarasının, çoğunlukla birlikte iyi çalışmayan karmaşık bir teknoloji bataklığı olmasıdır. Çok sık, bu teknoloji tanıtılır, satın alınır ve rafa konur. Bütçeler harcanır, “raflar” büyür ve organizasyonlar büyür, yine günün sonunda halen daha güvenli değildir. Teknoloji raftan inerek devreye girmeye başlasa bile, kuruluşun diğer savunmalarıyla entegre edilmemiş olma ihtimali vardır.
Bu yeterli değilmiş gibi, siber güvenlik endüstrisinin doğasında var olan kirli, kaçınılmaz bir sır daha var. Bu: hiçbir ürün siber suçu yenemez. Bunu şaşırtıcı bulmayabilirsiniz. Sonuçta, cephaneliğinde sadece bir silahla sürekli bir savaşa girmeye eşdeğer olurdu. Bunu yapmazdın ve uzun süre dayanmayı beklerdin. Her savunma teknolojisi piyasaya ilk dağıtıldığında en etkili olanıdır. Bu, bilişim teknolojisinde geleneksel bilgelik olarak öğrendiklerimizin tamamen tersidir. Yeni bir BT teknolojisi piyasaya çıktığında, çoğu şirket erken benimseyen olma konusunda isteksizdir. Sonuçta, kanıtlanmamış bir teknoloji için neden bir kobay olmak istersiniz ? İlk önce diğer şirketlerin uygulamasına müsaade edin, ortaya çıkan hataları inceleyin ve teknolojiyi daha iyi (ve daha ucuz) hale getirin. Ardından, hızlı bir şekilde uygulayın.
Ancak siber güvenlik teknolojisi temelde farklıdır. Bir BT kuruluşu en son boş alanı dolduran BT teknolojisini uygularken, diğer tarafta başarısına karşı aktif olarak çalışan bir rakip yoktur. Siber güvenlik için bu böyle değildir. Pazarın yeteri kadarı bir tehdide karşı oldukça etkili bir savunma teknolojisi uyguladığında, rakipler buna karşı önlemler geliştirmek için kendi ürün laboratuarlarına geri döner. Sonunda savunma teknolojisini zaman içinde daha az etkili hale getirmezlerse saldırganlar sürekli atlatmanın bir yolunu buluyorlar.
Öyleyse bir CISO gibi düşünerek bu büyük resmi daha netleştirmeye çalışalım:
- Tüm siber saldırı türlerini yenen tek bir savunma teknolojisi yoktur – bunların çoğu çok fazladır ve saldırganlar her gün yenilik yapmaya devam etmektedir. En iyi birleşik savunmanızı ortaya koymak için birden fazla satıcıdan çok sayıda ürün kurmanız gerekir.
- Her savunma teknolojisi piyasaya ilk dağıtıldığında en etkilidir. Kısacası, en son siber güvenlik teknolojisini erken benimseyen olmak istiyorsunuz. Çünkü rakipler buna karşı önlemler geliştirmek için yeterli teşvik veya zamana sahip değildir. Bunu yaptıkları zaman, siber güvenlik satıcıları ve rakipleri arasındaki kedi ve fare oyunu ortaya çıkıyor ve her iki taraf da diğerine karşı önlemler geliştiriyor.
- İlk olarak devreye alınan birbirinden bağımsız savunma teknolojileri. Fakat siz (ve sektörün geri kalanı) yetenek sıkıntısı çekiyorsunuz. Ekibinizde savunma teknolojilerini hızlı bir şekilde uygulamak için yeterli insan yok. Yapabilseniz bile, bu savunmaları koordineli bir şekilde devreye almadığınızdan dolayı ortamınızdaki tüm teknolojiler için tehdit istihbaratını paylaşmak ve tutarlı araçlarla çalışmak için sinerji oluşturmadınız.
- Savunma teknolojileriniz tehdit istihbaratını sorunsuz bir şekilde paylaşılmadığından, sınırlı sayıdaki siber güvenlik personeliniz boşlukları doldurmaya bırakılmıştır. Tehditlerin hem hacminin hem de karmaşıklığının katlanarak arttığı göz önüne alındığında, ekibiniz, düşmanlarınızın üstünlüğünü elde etmeden ve şirketinize zarar vermeden önce, ortamınızdaki en sinsi tehditleri tespit etme ve düzeltmede sinyalleri gürültülerden ayırmalısınız.
Bu yüzden siber güvenlik uzmanları gerçekten şirketlerimizin duyulmamış kahramanlarıdır. Kimi zaman bize karşı duruyorlar gibi görünürler, kimi zaman işlerin kolaylaştırılmasına taş koyan, başımıza türlü türlü icatlar çıkaran kişilerdir. Gölgelerde otururlar, görünmez ve çabaları için büyük ölçüde takdir edilmezler.
CISO’lar, çevresini mümkün olduğunca otomatikleştirmenin bir yolunu bulmalı, en az varlığına, çalışanlarına, en sofistike saldırıları avlamak için izin vermelidir. Ve genel siber güvenlik duruşunu entegre olan savunmalarla birlikte ödün vermeden yeni siber güvenlik teknolojilerini agresif bir şekilde uygulamalıdır.
Şimdi CISO’lar aşağıda belirttiğim basit ve etkili adımlarla işe koyulmaya başlayabilirler:
- Bulut, mobil ve IoT teknolojilerinin genişleyen bir saldırı yüzeyini oluştururken şirketinizin dijital dönüşümüne yardımcı olmalısınız.
- Tehditlerin hacmi ve karmaşıklığı katlanarak yükselirken, şirketinizin risklerini ve fırsatlarını birlikte yönetmelisiniz.
- Ürünleri erken benimseyerek ve bunları birleşik bir savunmaya entegre ederek etkinliği en üst düzeye çıkarmalısınız. Ve en karmaşık tehditleri en az kaynakla avlamak için yetenekli çalışanlarınızın iş yerindeki doluluk oranlarını azaltarak iş akışlarını otomatikleştirmelisiniz ve çevikleştirmelisiniz. Çevikleşerek, Silolardan kurtulma zamanı gelmedi mi ?