Güçlü bir siber güvenlik geçmişine sahip 250 şirketteki bilgi
güvenliği başkanlarıyla yapılan anket, etkili bir güvenliğin nasıl inşa
edilebileceğini ortaya koyuyor. Bilişim güvenliği alanındaki dağıtım ve
çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin güvenlik
uzmanları, siber güvenlik konusunda başarılı organizasyonlardaki ortak
noktaları vurgulayarak tüm şirketlerin siber güvenlik politikalarına entegre
etmesi gereken 4 davranışı paylaşıyor.
Şirketlerde güçlü bir siber güvenlik kültürü oluşturmanın
öneminden sürekli bahsedilmesine rağmen böyle bir kültürün aslında ne demek
olduğu veya nasıl sağlanabileceği ile ilgili bilgiler çoğunlukla yetersiz
kalıyor. Siber güvenlik performansları yüksek olan 250 şirketle yapılan bir
anket, başarıya giden yoldaki ortak güvenlik uygulamalarını ortaya çıkarıyor.
Anket verilerini değerlendiren Komtera Teknoloji güvenlik uzmanları,
şirketlerin güçlü bir siber güvenlik kültürü oluşturmak için izlemesi gereken davranışları
4 başlıkta topluyor.
1. Şirketlerde bilgi güvenliği başkanı (CISO)
bulundurulmalı. Güçlü bir siber güvenlik kültürüne sahip olan şirketler
arasındaki en güçlü ortak noktalardan biri, bu kurumlarda mutlaka güvenlikten
sorumlu bir başkanın bulunması geliyor. Ankete katılan şirketlerin %86’sında
bir CISO (Bilgi Güvenliği Başkanı) bulunuyor ancak 2018’in başlarında yapılan
başka bir çalışma, günümüzde şirketlerin %48’inde hala bir CISO’nun
bulunmadığını ortaya koyuyor.
CISO’ya kıyasla CEO’nun, yönetim kurulu ve güvenlik ekibinin
siber güvenlik politikalarını ve teknolojilerini geliştirmede oldukça yetersiz
kalışı büyük sorun yaratıyor. Bu nedenle şirketin siber güvenlik düzeyinin
farkında olan bir CIO’nun işe alınması ve bu uzmanın gerçekleşen herhangi bir
saldırıdan, siber güvenlik ile ilgili eğitim, araç ve cihaz eksikliklerine
kadar güvenlik ile ilgili her konuda daima bilgi sahibi olması gerekiyor.
2. Güvenlik ekibi ve şirketin yönetim kurulu güvenlik
kurallarını ortak almalı. Güçlü bir siber güvenlik kültürü, CISO başta
olmak üzere güvenlik ekibi ile üst düzey yönetim arasındaki ince ilişkiye
dayanıyor. Ankete katılan teknoloji uzmanlarının %97’sine göre çalıştıkları
şirketler güçlü bir siber güvenliğin önemini anlıyor. %96’sı ise siber güvenlik
politikalarının yönetim kurulunun belirlediği stratejilerle tam bir uyum içinde
olduğunu belirtiyor. Ayrıca bu uyumun sadece üst kademedeki çalışanlarla
güvenlik ekibi arasında değil, şirket ile bulunduğu sektör arasında da
kurulması, başarıyı artırıyor.
Şirketlerdeki güvenlik ekipleri ile üst düzey görevliler
arasındaki düzenli toplantılarla yöneticiler de sürece dahil edilerek şirket
önceliklerine göre ortaklaşa hareket edilebiliyor. Bu görüşmelerde şirketin
veri haritasının, yeni güvenlik süreçlerinin ve gölge IT denilen, IT ekibinin
bilgisi olmadan yapılan davranışların incelenmesi büyük önem taşıyor. Ayrıca
güvenlik kayıtlarının, vakalara karşı savunma planlarının, stratejik
yatırımların güncellenmesi ve siber güvenlik prosedürlerinin iş süreçlerine
hızlı bir şekilde adapte edilmesi de bu toplantılarla kolayca
gerçekleştirilebiliyor.
3. Resmi risk yönetimi politikaları kurularak
geliştirilmeli. Doğru bir risk yönetimi politikası, siber güvenliğin en
önemli kaynaklarından birini oluşturuyor. Belirlenen kuralların rasyonel,
tekrarlanabilir, şirket verileri ve kimliği ile tamamen alakalı özelliklerde
olması gerekiyor.
Bu politikaların belirlenme aşamasında siber riskler ile
ilgili stratejiler gözden geçiriliyor, gerekirse değiştirilerek iyileştiriliyor
ve verilerin bulunduğu yerin risk oranı ve farklı veri gruplarının kritikliği
araştırılıyor. Yapılan veri merkezli iyileştirmeler, daha sonra kimlik odaklı
fikirlerin dahil edilmesiyle daha çok geliştirilebiliyor.
4. Güvenlik çalışanlarının aynı şirkette uzun süre kalması
hedeflenmeli. Güçlü siber güvenliğin en büyük işaretlerinden biri,
şirketin bulduğu yetenekleri sadece işe alım sürecinde kazanması değil daha
sonra da ekipte tutabilmesi oluyor.Anket verileri, güvenlik odaklı şirketlerin
%79’unun güvenlik ekibindeki çalışanları üç yıl veya daha fazla sürede ekibinde
tutabildiğini, %37’sinin ise bu konudaki ortalamasının 5 yıldan fazla olduğunu
gösteriyor.
En iyi güvenlik profesyonellerini bulmak ve bünyesinde
korumak isteyen şirketler için sürekli büyüme göstermek ve çalışanlar için
sürekli yeni öğrenme fırsatları üreterek etkileşim yaratmak kilit rol oynuyor.
Ayrıca bu şirketlerin bazıları yetenekleri kendi içlerinde, neredeyse sıfırdan
geliştiriyor. IT çalışanlarının arasında bir kariyer sıçraması yapmak isteyen
şirketler onları fazladan eğiterek boşlukları dolduruyor. Çalışanlara
kariyerlerinde destek olarak yetenek geliştirme eğitimleri veren kurumlardaki
ekip üyeleri, memnuniyetleri sayesinde iş değiştirme ihtiyacı duymuyor. Ankete
katılan şirketlerin %70’inin ekiplerine bu şekilde eğitim ve destek vermesi,
%57’sinin sertifika alma fırsatları sunması ve %55’inin IT çalışanlarına ek
beceriler katması bu düşünceyi destekliyor.
