Günümüzde hemen hemen tüm işletmelerin geleceği artık veri ve dijital altyapı üzerine inşa ediliyor. Küresel ekonomiler ve tedarik zincirleri kesintiye uğradıkça şirketeler de ürünlere, hizmetlere ve bunların temelini oluşturan dijital altyapılara da bağımlılıklarını artıyor. Yapay zeka, blok zinciri, biyometri, hiper bağlantılı sistemler ve sanal gerçeklik gibi çığır açan teknolojiler bu geleceği şekillendiriyor. Siber güvenlik hangi teknoloji kullanılırsa kullanılsın ticari faaliyetlerin ayrılmaz bir parçası haline geliyor. KPMG’nin “Siber Güvenlikte Dikkat Edilmesi Gereken Hususlar” başlığı ile yayımladığı yeni raporu, siber güvenliği tüm strateji ve operasyonlara dahil etmeyi hedefleyen işletmelere dikkat etmeleri gereken konuları bir arada sunuyor.
Konuyla ilgili değerlendirmede bulunan KPMG Türkiye Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen, “İşletmelerin, siber güvenliği tüm organizasyonları genelinde en önemli konuların başına yerleştirmeye başlaması ya da gündeme girdiyse de daha yüksek tondan takip etmeye devam etmesi gerekiyor. Bu çerçevede organizasyonlar, ekosistemleri içerisinde dijital güveni kuvvetlendirmek adına siber güvenlik faaliyetlerini bir temel olarak kullanabilmelidir. Ancak güvenlik faaliyetlerinden sorumlu yöneticiler (CISO) ve ekipleri bunu tek başlarına yapamazlar; bu organizasyondaki herkesin sorumluluğu olmalıdır. Tabii bu bunu sağlamak da kolay değildir. Öncelikle şirkette görev yapan herkes, başta en tepe yönetim unsurları (yönetim kurulları, icra kurulları, üst yönetim temsilcileri, vb.) olacak şekilde siber güvenlikle ilgili bir şekilde kendilerinin de sorumlu olduğunu anlamalıdır. Bunun ardından tüm ekipler güvenliği mevcut süreçlere nasıl entegre edebileceklerini düşünmelidir. Her iş birimine adeta bir müşteri gibi davranılması ve bu birimlere ait faaliyetlerin güvenlik ihtiyaçları, riskleri ve kontrolleri göz önünde bulundurularak tasarlanması, sorumlu ve güvenli davranışları teşvik edebilir ve işletmelere büyük fayda sağlayabilir. Hazırladığımız bu rapor özelde CISO’ların, genelde ise tüm çalışanların rekabet avantajı elde etmek için işletmelerinde dijital güveni tesis etmelerini sağlamaları için 2023 yılında atabilecekleri adımları verilere dayanarak aktarmayı amaçlıyor” dedi.
2023 yılı için en önemli siber güvenlik konuları
KPMG’nin raporunda işletmelerin 2023 yılında siber güvenlik stratejilerini şekillendirirken dikkat etmeleri gereken sekiz konu şu şekilde sıralanıyor:
1. Dijital güven için ortak sorumlulukla hareket edilmeli
Güven başarının anahtarıdır ve sadece itibarla ilgili değildir. Güvenin artırılması rekabet avantajı yaratabilir ve kar hanesine katkıda bulunabilir. Dijitalleşen dünyada herhangi bir işletmenin gelecekteki başarısı dijital güven üzerine inşa edilebilir. Siber güvenlik ve mahremiyet ise bu güven için hayati derecede önemlidir. Ancak bu potansiyelin gerçekleştirilmesi için tüm paydaşların ortak taahhüdü gerekiyor.
Raporda yer alan verilere göre;
2. Göze batmayan güvenlik ile güvenli davranışlar teşvik edilmeli
Güvenliği, insanların güvenle çalışmasına, verimli seçimler yapmasına ve işletmelerin korunmasında kendi rollerini oynamasına yardımcı olacak şekilde işin içine yerleştirmek, çoğu zaman zor olsa da CISO’ların temel hedeflerinden biri olmalıdır. İnsanların güvenliği bir engel olarak görmesi kolay olduğundan CISO’ların güvenliği hem insan hem de iş merkezli perspektiflerden ele alarak bu zihniyetin değişmesine ön ayak olması önem taşıyor.
Diğer yandan kurumlar CISO’ların kritik görevleri yerine getirme becerisine de oldukça güveniyor.
3. Çevre sınırının azaldığı ekosistemde veri merkezli gelecek sağlanmalı
Son on yılda işletme modellerinin temelden değişerek veri merkezli, iç ve dış ortaklar ile hizmet sağlayıcılardan oluşan bağlantılı ekosistemler haline gelmesi şaşırtıcı değil. Bu dağıtık bilişim dünyasında, olası kesintilerin veya ihlallerin yıkıcı etkilerini azaltmaya yardımcı olmak için CISO’lar ve güvenlik ekipleri; sıfır güven mimarisi, güvenli ağ erişim hizmeti (SASE) ve siber güvenlik ağı modelleri gibi çok farklı yaklaşımlar benimsemelidir.
4. Yeni modeller ile yeni ortaklıklar kurulmalı
Güvenlik ekiplerinin yalnızca işletmelerinin BT sistemlerinin güvenliğine odaklandığı günler geride kaldı. CISO’ların ne zaman frene basacaklarını siber güvenlikte ne zaman dış kaynaklardan faydalanacaklarını, günümüzde ve gelecekte hangi yetenekleri kurum içinde tutacaklarını belirlemeleri gerekiyor. Güvenlik; artık işletme ve hizmet sağlayıcılar arasında paylaşılan bir sorumluluk modeli aracılığıyla sunulan bir iş haline gelmiş durumda. Bu nedenle dış ortaklıkların da hiper bağlantılı ekosistemlerde başarı için hayati öneme sahip olması bekleniyor, ancak bu yöndeki iş birliklerinin önünde hala bazı engeller bulunuyor.
5. Otomasyona güven sorununun önüne geçilmeli
İnovasyon ve gelişen teknolojilerden yararlanma yarışında; güvenlik, mahremiyet, veri koruma ve etik ile ilgili endişeler daha fazla dikkat çekiyor olsa da bu hususlar genellikle göz ardı edilebiliyor veya unutulabiliyor. Bu hususlar kontrol edilmediği takdirde ortaya çıkan ihmal, özellikle de ufukta yapay zeka teknolojisinde mahremiyeti gözeten regülasyonlar görünüyorken, işletmelerin potansiyellerini kullanamamalarına yol açabilir. Otomasyon açısından zeka ve makine öğrenimi gibi önemli çözümlerin benimsenmesinin etik, güvenlik ve mahremiyet üzerindeki etkileri konusunda artan toplumsal ve ticari endişeler bulunuyor.
6. Akıllı bir dünyanın güvenliği sağlanmalı
Hemen hemen her sektördeki işletmeler, ağ destekli hizmetler geliştirmeye ve bunları destekleyen cihazları yönetmeye odaklanan bir ürün zihniyetine geçiş yapıyor. Kuruluşlar ürün güvenliğinin de önemli olduğunu fark ettikçe CISO’lar ve ekipleri de mühendislik, geliştirme ve ürün destek ekipleriyle görüşmelere katılıyor. Siber güvenliğin zorlukları konusunda kazanılar deneyim CEO’lara ne kadar hazırlıklı ya da hazırlıksız olabilecekleri konusunda daha net bir resim sunuyor.
7. Çevik düşmanlarla mücadele edilmeli
Günümüzde devlet destekli saldırganlar giderek artan bir şekilde otomatik araçlarla sistemlere sızabiliyor ve sistemleri ele geçirebiliyor. Bu nedenle güvenlik operasyonları bir saldırı meydana geldiğinde öncelikli hizmetlerin kurtarılmasını hızlandıracak şekilde optimize edilmeli ve yapılandırılmalıdır; bu sayede saldırıların tüketiciler, müşteriler ve iş ortakları üzerindeki etkisi azaltabilir. Bu çetin mücadelede siber güvenlik ekipleri de gelişen tehditlere ayak uydurma baskısı altında bulunuyor, ancak yetenek açığı sıklıkla güvenlik çabalarını sekteye uğratıyor.
8. Önemli olduğu zaman ve yerde dirençli olunmalı
Her güvenlik sisteminin kusurları vardır. Bir noktada, her işletme bir siber saldırıya maruz maruz kalabilir. Bu nedenle düzenleyiciler giderek daha fazla akla yatkın senaryolara odaklanıyor ve özellikle enerji, finans ve sağlık hizmetleri gibi stratejik öneme sahip sektörlerdeki işletmeleri dayanıklı olmaya ve kendilerini toparlayacak şekilde konumlandırmaya zorluyor. Kanun yapıcılar ve düzenleyicileri bu açıdan daha fazla şeffaflık ve denetim talep ediyor. Bu da birçok işletmeyi, giderek karmaşıklaşan küresel düzenlemeler arasında yollarını bulma konusunda endişelendiriyor.
Raporun tamamına buradan ulaşabilirsiniz.
Hibya Haber Ajansı