Siber güvenlik şirketler için en öncelikli konuların başında gelmesine karşın çoğu şirketin siber güvenlik ile ilgili becerilere sahip kişilerin yoksunluğundan şikayet ettiği şüphe götürmez bir gerçek. Fakat ihtiyaç duyulan uygun adayları bulamamak güvenlikle ilgili gereksinimlerin karşılanmasındaki zorunlulukları ortadan kaldırmıyor.
Spiceworks tarafından yapılan çalışma sonuçları 2015 yılında organizasyonların yüzde 80’inin “güvenlik zaafiyeti” olmasına rağmen, sadece yüzde 29’unun IT departmanında siber güvenlik üzerine çalışana ve sadece yüzde 7’sinin yönetim kademesinde siber güvenlik üzerine uzman olan birisi bulunduğunu ortaya koyuyor. Diğer taraftan şirketlerin yüzde 55 gibi büyük bir kısmında organizasyonda bulunan ve üçüncü parti olarak hizmet alınan IT güvenlik uzmanlarına “düzenli bir şekilde erişim sağlayabilme” imkanı bulunmuyor. Ayrıca şirketlerin önemli bir bölümünde önümüzdeki yıl içerisinde güvenlik uzmanıyla çalışma konusunda herhangi bir planı mevcut değil.
Bu rakamların veri ihlallerinin toplam maliyetinin 4 milyon dolara ulaştığının ve saldırılara hedef olan her dosyanın 154 dolar civarında fiyat etiketi olmasının IBm tarafından belirtilmesine rağmen ortaya çıkmasının şaşırtıcı olduğunu söyleyebilmek mümkün. Bu rakamların şirket yöneticilerinde siber güvenliğin sağlanmasına yönelik adımlar atılması için kıvılcım niteliği taşıması önem arz ediyor. Siber güvenliğin sağlanması konusundaki ihtiyaçların karşılanmasında CIO’ların ve önde gelen IT yöneticilerinin yüzde 73’ü siber güvenlik ile ilgili çalışmaların 2016 yılında öncelikli konular arasında yer aldığını ifade ederken; CTO’ların yüzde 56’sı, CEO’ların yüzde 54’ü ve CMO’ların yüzde 30′u aynı düşünceye sahip olduğunu belirtiyor.
AvePoint şirketinin Ürün Stratejisi departmanı başkan yardımcısı John Hodges, yaşanılan her yeni ihlal ve siber saldırı sonrası daha fazla şirketin kendilerinin saldırılara açık olabileceğini düşünmeye başladığını söylüyor. Ancak, siber güvenlikle ilgili yetenek eksikleri şirketlerin siber güvenlik problemlerine hızlı bir şekilde çözüm üretebilmesini olumsuz yönde etkiliyor. Hodges’e göre organizasyonların siber güvenlik uzmanlarını IT güvenliği ve dış tehditler konusunda bir araya getirerek belirli bir süreç oluşturması gerekiyor.
Siber güvenlik yetkinliklerinin oluşmasını beklemek
Siber güvenlik konusunda çalışan profesyonellerin bulunmasındaki en büyük zorluklardan birisi siber güvenlik ile ilgili becerilerin diğer becerilere kıyasla daha yüksek eğitim düzeyi ve sertifikasyon gerektiren yeni becerilerden birisi olduğunu söyleyebilmek mümkün. Hodges, iş gücü tanımına uygun becerinin edinilmesi ve potansiyel adayların uygun sertifikasyona sahip olması ve eğitim ya da deneyim kazanması konularının zaman alan süreçler olduğunu ifade ediyor.
Siber güvenlik becerisine sahip kişileri bulamayan veya güvenlik programlarından yetkinlik derecesi edinmiş olan adaylar için bekleme lüksü olmayan şirketlerin üçüncü parti sağlayıcılardan hizmet alması cazip seçeneklerden birisi olarak dikkat çekiyor. CTG şirketinin stratejik çalışan hizmetleri işe alım direktörü Judson Van Allen, özellikle çalışan istihdamı konusunda büyük ölçekteki şirketlerle rekabet edemeyecek durumda olan küçük ölçekteki şirketler için üçüncü parti sağlayıcılardan hizmet alma seçeneğinin en uygun çözümlerden birisi olduğunu vurguluyor.
Üçüncü parti sağlayıcılardan hizmet alınması IT departmanının üzerindeki iş yükünü hafifletmede ve siber güvenlik uzmanı olmaması durumunda işlerin yürütülmesinde yardımcı olabilir. Önümüzdeki bir kaç yıl içerisinde doğru niteliklere sahip daha fazla çalışanın iş pazarında yer almaya başlamasıyla organizasyona dahil edilecek yeni kişilerle siber güvenlik konusunda daha kapsamlı adımlar atılabilir.
Organizasyondaki eğitim eksiklikleri
Eğer organizasyonunuz içerisinde güvenlik konusunda atılan bazı adımlar varsa şanslı olduğunuzu söyleyebilmek mümkün. Siber güvenlik konusunda atılan adımları organizasyon içerisinde siber güvenlik uzmanı bulabileceğiniz şekle dönüştürebilirsiniz. Ancak Spiceworks verilerine göre eğitim konusunun pek fazla önemsenmemesi kritik noktalardan birisi olarak dikkat çekiyor. 2016 yılında IT departmanına yönelik eğitimlerde ne kadar istekli oldukları sorusuna şirketlerin yüzde 57’si “biraz açık, fakat ikna edilmesi bakımından biraz uğraştırıcı olduğu”, yüzde 6’sı “oldukça açık” ve hali hazırda eğitim alanındaki yatırımlar yaptıkları yönünde cevap veriyor.
DarkLight Cyber şirketinin kurucu ortağı ve CTO’su Ryan Hohimer, kurumsal olarak korunması gereken etkenlerin farkında olan organizasyondaki akıllı kişilerin hali hazırda önemli bir avantajı olduğunu ifade ediyor ve ekliyor: “Organizasyondaki kişilerle çalışarak kurumsal kapsam konusunda ulaşılması gereken noktayı öğretme için gerekli olan süreci kısaltabilirsiniz.”
Şirketlerin IT profesyonellerine güvenlikle eğitim vermenin ötesinde çalışanlarını da bu sürece dahil etmesi gerektiğini söyleyen Hodges, çalışanların organizasyondaki veriler için en büyük risk olabileceğine dikkat çekiyor. Hodges, organizasyon içerisinde “önce veri gizliliği” felsefesiyle sadece gerekli olan verilerin toplanması ve ihtiyaç duyulamayan verilerin toplanmaması gerektiği gibi detayların kapsandığı bir kültür oluşturulması tavsiyesinde bulunuyor.
Hodges, siber güvenlikle ilgili kültür oluşturulmasının organizasyonda kaynaklardan yoksun olunması halinde zorlu bir süreç olduğunu ifade ediyor ve ekliyor: “Süreç ne şekilde ilerleyecek olursa olsun siber güvenlik herkesin en önemli işlerinden birisi olma niteliği taşıyor.”
Skillsoft şirketinin CTO’su Apratin Purakayastha, şirket çalışanlarının eğitimi için gerekli olan bütçeyi oluşturmada ikna etmenin zor olabileceğini ve eğitime ayrılacak bütçelerin maliyetten çok yatırım kapsamında tutulması gerektiğini belirtiyor. Eğitime yapılacak yatırım herhangi bir ihlal yaşanması halinde ortaya çıkacak zararı bilen bir işgücü yapısı oluşturmanızı sağlar.
Siber güvenlik tam zamanlı bir iştir
Çalışanlarınızı siber güvenlik konusunda eğitmenizdeki sakıncalardan birisi siber güvenlik ile ilgili sorumlulukların tam zamanlı bir iş olduğu detayının göz ardı edilmesidir. IT profesyonellerinin ağ altyapısı, sunucu, donanım, yazılım ve siber güvenlik ile aynı zamanda ilgilenmesini bekleyemezsiniz. Van Allen, siber güvenlik profesyonellerinin kurumsal altyapıyı hedef alan saldırılarla ilgili her ihtimali değerlendirmek için uzun zaman harcaması gerektiğini belirtiyor.
En basit ifadesi ile tüm detayların çok daha karmaşık hale geldiğine dikkat çeken Van Allen, tehditlerin daha karmaşık hale gelmesiyle ağları hedef alan saldırganların ihlal ve fidye konusunda daha fazla girişimde bulunacağını ifade ediyor.
Bu durum ortaya çıkacak tabloya yönelik önleyici stratejiler geliştirilmesi için siber güvenlik profesyonellerinin zamana, bütçeye ve kaynağa ihtiyacı olduğu anlamına geliyor. Güvenliği sağlamada kesin olan reaktif çözümlere güvenilmesi söz konusu olamayabilir. Van Allen, özellikle tehditlerin önümüzdeki yıllardan çok daha karmaşık hale gelmesinden dolayı alınacak önlemlerde “kapsamlı bakış açısı” geliştirmek gerektiğini belirtiyor.
Maliyetlerin düşürülmesi
Siber güvenlik uzmanı edinme konusuna ayak diretiyorsanız veya kendi organizasyonunuzdaki birilerini eğiterek ihtiyacın karşılanması konusunda girişimlerde bulunuyorsanız paranızı çöpe atıyorsunuz demektir. Hodges, veri ihlallerinin kurumsal maliyetlerin parçası haline geldiğini, bu nedenle ihlallerle karşılaşılabileceği konusuna hazırlıklı olunması gerektiğini belirtiyor ve ekliyor: “Veri ihlallerinde milyonlarca lira harcamaktan kaçınmanın en iyi yolu güvenlik ihlaline karşı hazır olmak.”
Purakayastha, maliyetlerle ilgili avantajların yöneticilere sunulması konusunda problem yaşayan IT yöneticilerine ciddiye alınmaması halinde siber güvenlik konusundaki yasal yaptırımların neler olabileceği konusundaki kapsam üzerinde durulması gerektiğini ifade ediyor. Örneğin, kurumsal altyapının herhangi bir saldırıda kurban gitmesi durumunda yasal ve uygunluk konularına bağlı olarak saldırının önlenmesi adına her şeyin yapıldığının ortaya koyulması gerekebilir. Maliyet kazançlarının yönetimi ikna edecek düzeyde olmaması durumunda siber güvenlik ile ilgili yasal yaptırımlar etkili olabilir.
Siber güvenlik profesyonellerinin şirketin saldırılara karşı koymadaki ilk savunma hattı olduğunu ifade eden Purakayastha, doğru çalışan organizasyonunun oluşturulamaması halinde şirketin saldırılara açık hale geleceğini söylüyor.