Güvenlikle ilgili tartışmaların çoğu tehditler etrafında şekillenir. Ancak güvenlik liderlerinin göz ardı edemeyeceği büyük bir risk vardır: Operasyonel risk. Tartışmalarda kimlik avı, fidye yazılımı, yapay zekâ destekli saldırılar, içeriden gelen tehditler vb. konular ele alınır. Güvenlik liderlerinin sorduğu başlıca sorular şunlardır:
- “Kuruluş/işletme bu tehditlere karşı etkili bir şekilde korunuyor mu?”
- “İşletme, kendisini birden fazla risk faktöründen uygun şekilde koruyabilir mi?”
Operasyonel risk, güvenlik departmanı üzerinde büyük bir etkiye sahip olabilir. Örneğin, operasyonel verimlilik eksikliği, en yetenekli ekibin bile optimum seviyesinin altında çalışmasına neden olabilir. Bu da risk maruziyetinin artmasına ve yanıt sürelerinin yavaşlamasına yol açar.
Operasyonel risklerin dikkate alınmaması, sayısız yüksek teknolojili araca yatırım yapılmasına rağmen bir şirketin veri ihlali veya diğer güvenlik olaylarının kurbanı olmasının nedeni olabilir. Operasyonel risk, birçok nedenden dolayı ortaya çıkabilir. Kuruluşlar, belirledikleri riske göre doğru araçları kullanmıyor, ekiplerinin kaynak kullanılabilirliğini dikkate almıyor veya ortamlarına uygun olmayan bir araç kullanıyor olabilir.
Safetica Satış Mühendisliği Direktörü Milos Blata, “Güvenlik liderleri genellikle proaktif tehdit önleme yerine reaktif önlemlere aşırı güvenme tuzağına düşerler, bu da kaynakların tükenmesine ve savunmada boşluklara yol açar” diyor. “Bir başka yaygın tuzak ise riske göre öncelik belirlemekte başarısız olmak, bu da ekiplerin aşırı yüklenmesine ve kaynakların yeterince kullanılmamasına neden olur.”
Bu makale, odak noktasını dış tehditlerden iç operasyonlara kaydırarak şirketlerinin siber güvenlik savunmalarının baskı altında dayanıklı olmasını isteyen güvenlik liderlerinin yönetmesi gereken üç temel operasyonel riski özetlemektedir.
Operasyonel risk 1: Kaynak eksikliği
Birçok şirket, sağlam bir siber güvenlik yapısı kurmak için gerekli kaynaklara sahip değildir. Kaynak eksikliği, personel, bütçe veya hatta uzman yetenek eksikliği şeklinde olabilir.
Yetersiz personel sayısı
Siber güvenlik alanında personel eksikliği yaygın bir sorundur. Son bulgular, neredeyse tüm CISO’ların siber güvenlik ekiplerinin personel eksikliği yaşadığını bildirdiğini ve bunun başlıca nedenleri olarak işe alımların dondurulmasını ve bütçe kısıtlamalarını gösterdiğini ortaya koymaktadır. CISO’lar ayrıca personel eksikliğinin güvenlik girişimlerinde gecikmelere ve iptallere yol açtığını belirtmektedir.
Personel eksikliği, genişleyen tehdit ortamını kapsamayı zorlaştırır.
Kaynak eksikliği, araç yönetimi eksikliğine de yol açabilir. Araçları yönetecek personeliniz yoksa araçlar tek başına yeterli değildir. En iyi güvenlik araçları bile bunları kullanacak ve izleyecek kimse yoksa işe yaramaz. Yüksek düzeyde düzenlemelere tabi sektörler gibi ortamlar ne kadar karmaşıksa bu sorun da o kadar büyük hâle gelir.
Safetica’nın Teknik Danışmanı Daniel Garzon, “En yaygın hatalardan biri, belirli kullanım durumlarını değerlendirmeden veya kapsamı dikkate almadan kontroller uygulamaktır” diyor. “Süreçleri belgelemenin ve ekibi gerçek dünya senaryolarıyla eğitmenin önemi genellikle küçümsenir.”
Yetersiz bütçe
Kuruluşların en önemli endişesi olmasına rağmen bütçe tahsisleri hedefi tutturamamaktadır. Mimecast’in 2024 siber güvenlik raporu, kuruluşların BT bütçesinin yalnızca %9’unun siber güvenliğe ayrıldığını ortaya koymuştur. Anket katılımcılarının %36’sı, yetersiz harcamanın kuruluşun savunmasında “önemli boşluklara” yol açtığını söyledi. %40’ı ise bütçe kısıtlamalarının, tehditleri izlemek için kullanabilecekleri araç türlerinde tavizlere yol açtığını belirtti.
Bütçe eksiklikleri, gerçek dünyada sonuçlara yol açan güvenlik açıklarına dönüşüyor. Dünya çapında şirketlerinen az %15’i, güvenlik araçlarına yeterince yatırım yapmamalarının doğrudan sonucu olarak güvenlik olaylarına maruz kalmıştır.
Güvenlik bütçesindeki kesintilerin son kurbanı ise eğitimdir. Avrupa, ABD, Avustralya ve Japonya’daki 600.000 CISO’nun katıldığı bir ankette, %36’sının eğitim kesintileri yaşadığı ve bunların %45’inin bu kesintiler nedeniyle veri ihlali yaşadığı ortaya çıktı.
Bütçe hakkında konuşurken fırsat maliyetleri ve potansiyel kayıplardan bahsetmek önemlidir. Bir bakıma, siber güvenlik için yeterli bütçe sigorta gibidir; ancak sahip olmadığınızda bunun acısını hissedersiniz.
Güvenlik liderleri, yönetim ve finans departmanlarının bir sonraki bütçe değerlendirmesinde bu riskleri anlamaları için bu riskleri doğru bir şekilde iletmek adına çalışmalıdır.
Uzmanlaşmış yetenek eksikliği
Uzman yetenek eksikliği genellikle göz ardı edilen bir faktördür. Siber güvenlik bölümünde tam kadroya sahip şirketler bile modern saldırılarla başa çıkmak için uygun beceri setine sahip olmayabilir. Güvenlik ekipleri, yapay zekâ riskleri, gelişmiş kötü amaçlı yazılımlar ve tehdit aktörlerinin kullandığı yeni taktikler hakkında bilgi sahibi olmalıdır. Bilgi hızla eskimekte ve bu bilgiyi bulmak gittikçe zorlaşmaktadır.
Uluslararası Bilgi Sistemi Güvenlik Sertifikasyon Konsorsiyumu (ISC2) tarafından yapılan 2024 İş Gücü Araştırması, siber güvenlik uzmanlarının ve karar vericilerin %64’ünün beceri eksikliğinin personel eksikliğinden daha kötü olduğuna inandığını ortaya koydu. Ayrıca araştırma siber güvenlik ekiplerinin %90’ının beceri eksikliği olduğunu ortaya koydu.
Siber güvenlik beceri eksikliği, kuruluşlar için risk oluşturur. IBM, beceri eksikliğinin veri ihlallerinin ortalama maliyetini 1,76 milyon dolar artırdığını bildirmiştir.
Beceri açığı büyümeye devam ederek 2030 yılına kadar 85 milyon çalışana ulaşma potansiyeli olduğundan kuruluşlar bilgi eksikliklerinin güvenlik açıklarına yol açmaması için mevcut ekiplerine uyum sağlamalı ve yatırım yapmalıdır.
Operasyonel risk 2: Çok fazla araç
Tüm araçların doğru şekilde yönetilmesi için zaman ve kaynak gerekir. Siber güvenlik araçlarının yaygınlaşması, kuruluşların düzinelerce bağımsız çözümü bir arada kullanması nedeniyle karmaşıklığa yol açar. Bu araçların çoğu, birbiriyle örtüşen işlevler sunarak daha gerekli kalemlerden bütçe kesintisi yapan gereksiz masraflar yaratır.
Araçlar arasında entegrasyon eksikliği, kuruluşun güvenliğini yönetmeye zaman ekler ve güvenlik ekiplerinin verimliliğini düşürür.
Blata, “Doğru aracı bulmak için güvenlik liderleri, mevcut sistemler ve iş akışlarıyla iyi entegre olan, sorunsuz bir şekilde benimsenmesini sağlayan ve karmaşıklığı en aza indiren çözümlere odaklanmalıdır” diyor. “Kullanılabilirlik, ölçeklenebilirlik ve otomasyon yeteneklerini özelliklerin önüne koymak, araç yüklemesini önlemeye yardımcı olur ve gereksiz gürültüyü azaltır.”
Birçok güvenlik tedarikçisi, bu konuyu nadiren gündeme getirir çünkü bu bir sürtüşme noktasıdır. Bir şirket ne kadar az araç kullanırsa tedarikçinin satışları o kadar azalır. Parçalanmış çoklu tedarikçi ortamları otomasyonu engeller ve manuel yönetimi zorunlu kılar, bu da ekipleri artan genel giderlerle başa çıkmaya zorlar. Ancak tedarikçiler bu dezavantajı nadiren kabul ederler.
Garzon, “Önemli olan, aracı sadece teknik yeteneklerle değil, operasyonel hedeflerle de uyumlu hâle getirmektir” diyor. “Entegrasyonu, öğrenme eğrisini ve ekibe sağladığı gerçek değeri değerlendirmek, korumadan çok gürültü yaratan çözümlerden kaçınmaya yardımcı olur.”
Çok fazla araç kullanmak kaçınılmaz olarak iki senaryodan birine yol açar:
- Üst düzey araç uyumsuzlukları. Küçük ekipler, büyük işletmeler için tasarlanmış veya geliştirilmiş bir aracı kullanmak zorunda kalır. Bütçenizin %80’ini, yalnızca %40’ını kullanacağınız bir araca harcarsınız.
- Nokta çözümlerinin yaygınlaşması. Küçük ekipler ve bütçeler için uygun görünen birden fazla nokta çözümüne yatırım yaparsınız ancak teknoloji yığını şişer. Satıcı yönetimi zahmetli hâle gelir ve ekibiniz araçları kullanmak yerine yönetmek için değerli zamanını harcar.
Operasyonel risk 3: Büyümeye veya değişime hazırlıklı olmamak
Kuruluşlar, siber güvenlik araçlarının ve platformlarının şirketin büyümesiyle uyumlu olarak ölçeklendirilmesini sağlamalıdır. Bu, stratejiye sonradan eklenmemeli, stratejinin bir parçası olmalıdır.
Büyüme tahminleri her zaman zordur ancak tedarikçiniz aşağıdakileri yönetebilmelidir:
- Yeni konumlara genişleme
- Altyapı ekleme
- Büyük veri tabanı geçişleri
- Veri tabanı yükseltmeleri veya değişiklikleri
- Çalışan sayısında artış
- Cihaz kullanımında artış
Tedarikçiniz bu değişiklikleri kaldıramıyorsa veya her değişiklik olduğunda yeni bir sözleşme imzalamayı gerektiriyorsa ölçeklendirme sırasında operasyonel boşluklar oluşacaktır. Bu değişikliklere uyum sağlamak, gereğinden fazla zaman ve görüşme gerektirir. En kötü durumda, çözümleri değiştirmek zorunda kalırsınız ve bu da başka sorunlara yol açar.
Sahip olduğunuz araç ve çözümlerin şirketinizle birlikte uyum sağlayıp büyüyeceğini bilmek bir zorunluluktur. Birleşik güvenlik platformları gibi ölçeklenebilir, uyarlanabilir platformlar seçmek, bunu başarmanıza ve daha proaktif koruma sağlamanıza yardımcı olur.
IBM’in bir raporuna göre, birleşik bir platforma sahip kuruluşlar, bir güvenlik olayını tespit etmek için 72 gün daha az, bir güvenlik olayını kontrol altına almak için ise 84 gün daha az zaman harcar.
İyi organize olmuş bir ekip, siber güvenlik stratejinizin bir parçası olmalıdır
Bir güvenlik liderinin öncelikleri her zaman risk yönetimi, proaktif savunma ve herhangi bir olaya müdahale edebilmeyi sağlamaktır. Ancak bunu başarmak, yalnızca yetenekli bir ekiple mümkündür ve bu da ekibin ne kadar hızlı ve verimli çalışabildiğine bağlıdır.
Tedarikçilerin karmaşıklığı, araç yüklemesi veya uyumsuz araçlar gibi tuzaklara düşmek kolaydır. Kuruluşlar bunun yerine, otomasyona öncelik veren, manuel görevleri hafifleten ve sadece veri için veri değil, eyleme geçirilebilir veriler sağlayan araçları dikkate almalıdır.
Garzon, “Araçların aşırı kullanımı, görünürlüğü parçalamaya ve gereksiz tekrarlar yaratmaya meyillidir” diyor. “Aynı şekilde, birden fazla tedarikçi söz konusu olduğunda net bir mimari oluşturmak ve sorumlulukları tanımlamak çok önemlidir.”
Bu nedenle Safetica, araçları birleştiren ve güvenlik ekiplerinin kaçınılmaz olarak karşılaştığı kaynak eksikliğini gideren, bulut tabanlı, uyumluluk odaklı Akıllı Veri Güvenliği platformunu geliştirdi.
Platformumuz hakkında daha fazla bilgi edinmek isterseniz ücretsiz demo için bizimle iletişime geçin.
