Yöneticilerin desteği olmadan genellikle birçok BT güvenlik uzmanının eli kolu bağlı oluyor. Neyse ki genel olarak CEO’lar son yıllarda siber güvenlik konusuna daha çok ilgi göstermeye başladı. Yine de bazı CEO’lar, BT güvenlik uzmanlarının neden daha fazla finansal desteğe ihtiyaç duyduğunu halen tam olarak kavrayamıyor. Peki siber güvenlik için bütçe ayrılmasını nasıl sağlarız?
Geçtiğimiz günlerde Artan Tehditleri Önlemek için Üst Yöneticilerden Nasıl Bütçe ve Destek Elde Edilir isimli canlı bir video seminer düzenleyen Infosecurity Magazine birkaç fikir öne sürdü. Söz konusu seminerde aynı zamanda şirketler arasındaki siber güvenlik yatırımlarına ilişkin güncel durum hakkında bir panel de gerçekleştirildi. COVID-19 salgının başlangıcından itibaren siber güvenlik ortamı nasıl değişti ve artan siber tehditler dünya genelinde şirketlerin siber güvenlik finansmanlarını arttırdı mı?
COVID-19 salgınında en çok değişen dört alan
- hem daha az denetim hem de daha az teknik kontrol ile uzaktan iş gücü ve kötü niyetli çalışanlar
- daha önce görülmemiş kötü amaçlı yazılımların olduğu kimlik avı saldırıları ve kişisel bilgileri çalmaya çalışan hedefe yönelik kimlik avı saldırı yöntemlerinin yaygınlaşması
- en çok üst yöneticileri hedefleyen kişisel e-posta saldırıları
- Evden çalışma BT altyapısı, Kendi Cihazını Getir (BYOD) yönteminin zayıf güvenlik önlemleriyle ilgili sorunların boyutunu ortaya çıkardı.
Kaynak: Henry Jiang (Diligent), Infosecurity Magazine Video Semineri
2020’de işletmelerin yarısı bir siber saldırının ya da güvenlik ihlalinin kurbanı oldu.
2020’de bir ihlali tespit etmek için ortalama 207 gün harcanması gerekti.
Kaynak: IBM Veri Sızıntısının Maliyeti Çalışması, 2020
Birçok şirket, dünyanın dört bir yanındaki çalışanlar uzaktan çalışmaya zorlandığında kişisel cihazlarını güvence altına almaya hazır değildi ve çoğu hala hazır değil. Bu tür cihazların kişisel ve iş amaçlı kullanımının karıştırılması, örneğin hassas iş verilerini bir çalışanın kişisel e-posta ortamından ayırmadaki zorluklar nedeniyle KOBİ’lerin karşılaştığı en büyük güvenlik sorunlarından birini temsil eder. Bu nedenle, BYOD politikaları, özel verilere (GPS konumu veya fotoğraflar gibi) izinsiz girmeden kişisel bir cihazı tanımlamaya ve güvenceye almaya yönelik eksiksiz bir siber güvenlik süreci oluşturmayı gerektirir ve bu sürecin oluşturulması aylar hatta yıllar alabilir.
BYOD ne anlama geliyor?
İngilizcedeki bring your own device ifadesinin kısaltması olan BYOD, çalışanların bir kurumun ağına bağlanmak için akıllı telefonlar, kişisel bilgisayarlar ve tabletler gibi kişisel cihazları kullanıp işle ilgili sistem ve hassas verilere erişim sağlamalarını ifade ediyor. TechJury’e göre çalışanların %67’si işyerinde kişisel cihazlarını kullanırken işletmelerin %87’si ise çalışanların akıllı telefonlarından mobil iş uygulamalarına erişmelerine ihtiyaç duymakta ve bu sayı hızla artmaktadır.
Siber güvenlik harcamalarının arttığı bildirilse de, BYOD güvenlik önlemlerinin eksikliği, süreçlerin ve programların önemli ölçüde iyileştirilebileceğini gösteren örneklerden yalnızca biridir. Bu durum, şirketlerde hem siber güvenlik eğitimi verilmesini hem de siber farkındalık işletme kültürü oluşturulmasını içeriyor.
Bu iyileştirmeler daha iyi finansman ve daha fazla üst düzey yönetim katılımını gerektirebilir. CEO’nuz sizinle nasıl aynı fikirde olabilir?
1) Faaliyet gösterdiğiniz ortamı tanıyın
Siber güvenlik yatırımlarına yönelik faktörler, mesaiden uzaktan çalışmaya fidye yazılımlarının yaygınlığından şirketlerdeki zayıf güvenlik uygulamalarına kadar değişiklik gösterdiği için BT uzmanları olarak kimi ikna edip etkilemeye çalıştığınızı bilmeniz gerekiyor. Kurum içi destek almanın önemini açıklamanız, şirkete yönelik yerel risklere değinmeniz ve bu riskleri nasıl yönetmeyi planladığını ifade etmeniz gerekebilir. Aynı zamanda şirketinizin faaliyetleri için önemli konuları da bilmeniz gerekiyor. Bunun için öncelikleri tespit etmek adına farklı ekiplerle temas kurmanız size yardımcı olabilir.
2) Siber riskler hakkında oldukça teknik veya aşırı basit bilgileri açıklayın
Üstlerinizin şirketteki mevcut güvenlik durumunun farkında olmaları ve bu konuda kendilerine sıklıkla bilgi verilmesi gerekiyor. Şirketteki herkesin sorumluluklarını bilmesi gerekse de bu her zaman en tepeden başlar. Şirket yöneticileri şu anda haberleri takip ediyor ve siber riskleri okuyor olabilir, ancak bunu şirket önceliklerine ve somut önlemlere dönüştürme becerisinden yoksun olabilirler. Bunun yerine “Bir fidye yazılımı saldırısına karşı hazırlıklı mıyız?” gibi size yanıtı evet ya da hayır olan sorular yöneltebilirler. Bu yüzden güvenlik sorunlarını daha iyi bir şekilde özetlemek ve CEO’nuzun şirkete yönelik asıl risklerin gerçekleşme ihtimalini ve ardından neler olabileceğini anlamasına yardımcı olmak genellikle size düşüyor.
3) Olumsuz mesajlar vermekten kaçının
BT yöneticileri siber güvenlik hakkında konuşurken sıklıkla korkutucu örneklerden ve en kötü senaryolardan bahsediyor. Geçen günlerde gerçekleştirilen bir röportajda ESET Bilgi Güvenliği Başkanı (CISO) Daniel Chromek’in de ifade ettiği gibi insanlar kolayca korkuya kapıldığı ve yenilgiyi kabul eden bir zihniyete büründüğü için bu taktikler genellikle başarısız oluyor. Ve bu sadece ekibinizde siber tehditler hakkında farkındalık yaratmaya çalıştığınızda değil, patronunuzla gerekli önlemler hakkında konuşurken de geçerlidir.
Sosyal medya katılımından önce çocuklarınıza anlatacağınız 3 şey
