eIQNetworks tarafından yapılan anket, IT uzmanlarının endişelerini ortaya koymasının yanı sıra endüstrinin mevcut durumuna da ışık tutuyor.
Anket sonuçlarına göre, IT uzmanlarının endişeleneceği yeterince mesele mevcut. 272 IT karar vericisine kendilerini gece uykusuz bırakan şeyleri soran anket, bazı güvenlik ekiplerinin gelişme için ne kadar boşluğa sahip oldukları ve aynı zamanda ilk sırada neden çok fazla güçlükle yüzleştikleri üzerine ışık tuttu.
Sorulan sorular ile, IT uzmanları için neyin önemli olduğu araştırıldı. Ankete katılanların yüzde 34’ü en büyük enformasyon kâbuslarının mali kazanç amacıyla dışarıdan veri ihlali gerçekleştirilmesi olabileceğini belirtti. Benzer şekilde anket uyumluluk konusundaki en büyük güçlüğü sorduğunda, katılımcıların yüzde 31’lik kısmı ölçme ve raporlama yanıtı verirken, yüzde 24’ü IT kontrollerinin otomasyonu cevabını verdi. Fakat belki de daha önemlisi takımların güvenlik ölçütlerinin nasıl ayarlandığını ve bunların ne kadar iyi yürütüldüklerini gösteren rakamlardı.
Öne çıkanlar arasında, katılımcıların yüzde 25’inin bir ihlalin temel nedenini bulmanın ne kadar uzun süreceğini bilmediklerini söylemesi gerçeği vardı. Bir zaman çizelgesi sağlayabilenler dahi pek güven vermiyordu. Yüzde 22.8 nedeni bir ay içinde bulabileceklerini belirtiyordu (ve yüzde 6.8’lik kısım ise bir aydan daha uzun bir süreye gereksinim duyuyordu). eIQNetworks başkanı ve CEO’su Vijay Basani, “Bu çok büyük bir rakam. Ölçeğe bağlı olarak, yeterince kayda değer bir ihlal firmanıza mal olabilir. Dolayısıyla bu fazlasıyla önemli.” diye konuşuyor. “Daha da korkutucu olanı katılımcıların yüzde 5’inin böyle bir durumda hiçbir şey yapmayacaklarını söylemesiydi.” diye ekliyor eIQNetworks pazarlama müdürü Brian Anderson.
Ve sistemlerinin belirli yanlarını görüntülemeye gelindiğinde birçoğunun gösterdiği gevşeklik ortadayken bir problemin köklerini bulmaya çalışmada bu ekiplerin karşı karşıya kaldığı güçlük çok şaşırtıcı değil. Anket verilerine göre, katılımcıların yüzde 34.6’sı masaüstü ve laptop’lar gibi son kullanıcı sistemlerinin yüzde 25’inden daha azını görüntülüyor. Yüzde 51.8’lik kısım ise mobil cihazlarının yüzde 25’inden daha azı için bu işlemi gerçekleştiriyor.
Bir diğer problem de bu ekiplerin proaktif olmak yerine sıklıkla sorunları geriden takip etmesi. Potansiyel problemler ve ilke ihlallerine karşı IT ortamlarını kesintisiz olarak izleyen bir tür proaktif programa sahip olduklarını söyleyenlere karşın, anket katılımcılarından yüzde 42’si hadisenin gerçekleşmesinin ardından tepki verdiklerini söyledi.
Basani, SANS Institute tarafından geliştirilen 20 anahtar eyleme (kritik güvenlik kontrolleri) atıfta bulunarak “Gerçek zamanlı görüntüleme gerekiyor. Bu aşı benzeri bir yapı. Beklemeye nazaran daha iyi bir durumda iken burada SANS 20 Kontrolleri devreye giriyor. Kötü şeyler vuku bulmazdan evvel neler olduğunu ortaya çıkartabilirsiniz.” diyor.
Katılımcıların sadece yüzde 20’si önümüzdeki 12 ila 24 ay içinde SANS 20 kritik güvenlik kontrollerini devreye sokmayı istediklerini söyledi. Basani’ye göre rakamlar düşük çünkü SANS güvenlik kontrollerinin uygulanması çok büyük bir eğitim sürecini barındırıyor. eIQNetworks pazarlama müdürü Brian Anderson, iyi eğitim görmüş güvenlik profesyonellerinin eksikliğinin uygulamayı güçleştirdiğine işaret ederek duruma açıklık getiriyor ve konuyu şöyle açıklıyor : “Bu ekipler potansiyel tehditler ve bunların çözümleri için cahil cesaretine sahip. Bu yüzden onlar SANS 20’nin imkanlar dahilinde dahi olduğunu bilmeksizin yılda bir kez birkaç kutucuğun işaretlendiği eski yaklaşımlarını terk etmiyorlar.”
Güvenlik ekiplerinin neden daha hızlı ve basit çözümlere dönme eğiliminde olduklarını açıklayabilen diğer bir mesele de personel eksikliği; katılımcıların üçte ikisi güvenlik departmanlarının yeterince çalışana sahip olmadığını söyledi. O zaman ortaya çıkan tehditler karşısında neden bu türden bir personel sorunu bulunuyor? sorusu akıllara geliyor.
“Burada işaret edebileceğiniz bir şey şu ki güvenlik bütçelerinin çoğu, son birkaç yıl içinde güvenlik sorunlarının katlanarak artmasına rağmen firmaların yapılandırdığı tipik bütçe artışlarının ötesinde arttırılmamasıdır.” diyor Basani.
Anderson, ise pazarda var olan güvenlik profesyonellerindeki kıtlığın aynı derecede problemli olduğunu ifade ediyor. “Onlara çok fazla eğilim var.” diyor ve nihayetinde bu tür varlıklara sahip olan firmaların tipik olarak daha büyük ve daha zengin olanlar olduğunu ekliyor. “Dolayısıyla az sayıdaki firma güvenlik profesyonellerine sahip olurken, çok sayıda firma onlardan yoksun kalıyor.”
Personel eksikliği yaşayan departmanlar bir şekilde mantıklı gözüküyor fakat enformasyon güvenliği profesyonellerinin yüzde 36’sının ihtiyaçlarını tartışmak üzere iş birimi liderleriyle arada sırada buluştukları ya da hiç buluşmadıklarını açıklamaları ortadayken, Basani bu rakamın güvenlik tarafında daha büyük kurumlara olan yönelimi işaret ettiğini ifade ediyor.
Basani, güvenlik ekiplerinin genel olarak firmalar içinde kabul görmediklerine işaret ederek, “Yöneticiler güvenliğe gerçekten dikkat göstermiyor. Operasyon tarafında yer alan yöneticiler, işlerin yürümesini sürdürme eğiliminde olduğundan onlar güvenlik ekiplerine karşı kayıtsız davranıyorlar.” diye konuşuyor .
Basani, ayrıca istatistiğin güvenlik tarafındaki yaygın kayıtsızlık davranışlarının ötesine geçtiğini ifade ediyor. Bu aynı zamanda güvenliğin firmaları için stratejik bir avantaj ortaya koymasını anlayamayan bir yöneticiler sorunu. Anderson hemfikir ve IT ile CEO’ların güvenliğin önemi konusunda artık aynı fikirde olmadıklarını söylüyor.
Anderson, “Yaklaşık 10 yıl önce, güvenlik hem CEO’lar hem de IT için en büyük üç öncelik arasındaydı” diyor ve sözlerine şöyle devam ediyor: “Şimdi o anketler önceliklerde bir kayma olduğunu söylüyor. Güvenlik en düşük rakamlara indi çünkü CEO’ların öncelikleri verimlilik, genişleme, ekonomiyle mücadele vs. gibi klasik meselelere kaydı. Gerçi güvenlik IT üyeleri arasında yüksek önceliğini korudu çünkü herkesin çalışmasını sürdürmek, network’lerinin aktif durumda olmasını sağlamak, denetlemeler için uyumluluğu temin etmek vs. için güvenliğin temel olduğunun farkına vardı.”
Tepe yönetimdeki güvenliğe olan ilgi eksikliğine rağmen durum tamamen vahim değil. Anderson’a göre birçok firmanın fark edemediği şey, personel eksikliği olsa dahi güvenlik ekiplerinin işlerini yerine getirmesine yardımcı olabilecek yeterince servisin var olması. Ekipler için birçok işi otomatik olarak yerine getirebilen, son kullanıcı sistemlerinin gerçek zamanlı olarak görüntülenmesi gibi, çok sayıda servis mevcut. Anderson, “Ortalama firmalara ne kadar çok eğitim verirsek, o kadar iyi. Küçük bir önlem maddi tedaviden daha değerlidir.” diye konuşuyor.