Siber güvenlik günümüz teknolojik yatırım listelerinin başında geliyor. 2022 yılındaki verilere göre yönetim kurullarının %88'i siber güvenliğin teknik bir meseleden ziyade ticari bir karar olduğunu düşünüyor. Fakat ne yazık ki yöneticiler ve yönetim kurulları, siber yatırımı ticari bir karar olarak etkin bir şekilde ele alabilmek ve yönetebilmek için gereken bilgiden yoksun durumda.
Hal böyle olunca da hiç kimse güvenlik önlemlerinin ticari faydalarını dile getiremiyor. Bu nedenle güvenliğe ilişkin yatırımlar hakkında doğru bir tartışma ortamı oluşturamıyoruz. Bu yüzden dünya çapında oldukça fazla sorun yaşanıyor.
Siber güvenlik, 15 yıldan fazladır yönetim kurulu seviyesinde değerlendirilen bir mesele. Bu süreç içerisinde 1000'den fazla Yönetim Kurulu sunumunu inceledim ve siber güvenliği sağlayan birçok kurul ile tanıştım. Bunun sonucunda sadece paraya değil, daha akıllı bir şekilde para kazanmaya ihtiyaç duyduğumuzu anladım.
Yönetim kurulları tam olarak ne istediğini bilmiyor.
Siber güvenliği bir sihir, güvenlik personellerini ise sihirbaz olarak görüyor. Sihirbazlara biraz para verin, hokus pokus yapsınlar ve şirket kurtulsun. Bir şeyler yanlış giderse de yeni sihirbazlar bulunur herhalde. İşte bu anlayış oldukça kötü yatırım kararlarına yol açmıştır.
Daha da kötüsü, siber güvenlikten sorumlu kişilerin tekrar tekrar aynı yanılgıyı benimsemiş olmalarıdır: ne kadar güvenlik, o kadar iyi.
İşin aslı böyle değil. Fakat yönetim kurulları ejderhalardan korkar, o nedenle sihirbazlara para ödemek zorundasınız.
Herhangi bir siber güvenlik kazasını ele alacak olursanız hatanın teknolojik bir arızadan ziyade karar alma sürecinden doğduğunu göreceksiniz.
Equifax'ın eski CEO'su verileri hacklenen150 milyon kişiyi yatıştırabilmek için ABD kongresi önünde ayağa kalktı ve önemli sistemleri 48 saat içinde yamalayacaklarını söylemişti. Sorun ise hacklenen sistemlerin güvenliği ihlal edildikten 77 gün sonra hala devre dışı olması ve yamalanmamasıydı.
Savunmasında belirttiği temel sorun ise bir sihirbazın işini yapmamasıydı. Tabii, şu anda işini kaybetmiş olan da kendisi. Yama politikalarından bahsetmiş olsa da ''sistemlerimizin yüzde kaçı 48 saat içinde yamalanabilir?'' gibi kritik soruları hiç sormadı.
Equifax kongresinin sunmuş olduğu 70 sayfalık nihai raporda bu durum şöyle özetlenmiş oldu: CEO siber güvenliğe öncelik vermedi.
Colonial pipeline buna ilişkin başka bir örnektir. İçeriden bir bilgiye sahip olmasam da durum dışarıdan da oldukça net anlaşılıyor.
Sizce çoğu şirket kritik işlemlere yönelik kurtarma süreçlerini neden test etmiyor? Çünkü komple faaliyet gösteren bir şirket sistemini, geri yükleme umuduyla en temel bileşenlerine kadar ayırmak oldukça maliyetli ve risklidir.
Çoğu şirket kurtarma süreçlerini ne zaman test ediyor dersiniz? Tabii ki de bir fidye yazılımı saldırısından sonra. İşte bu durum, bir fidye yazılımı saldırısının birkaç saatte kolayca ortadan kaldırılması veya şirketi büyük bir zarara uğratması arasındaki ince çizgiyi belirleyen en önemli faktördür.
Bu kurtarma süreçlerinin test edilmemesinin ticari bir karar olduğu ortadadır.
Kusursuz güvenlik diye bir şey yoktur, bu nedenle sahip olduğunuz tüm paranızı siber güvenliğe harcasanız bile ertesi gün saldırıya uğrayabilirsiniz.
Günümüzde çoğu yönetim kurulu üyesi bu hususu başlarını sallayıp gülümseyerek anladığını söyleyecektir. Fakat bu durumun temelde konuya bakış açılarını nasıl değiştirdiğinin farkında değillerdir.
Paranızı harcar ve daha güvende olursunuz veya paranızı saklar ve daha az güvende olursunuz. Bu meselede para da her şeyi çözemez. Çoğu şirket bir yol bulmaya çalışmıştır. Hala tamamen güvende değilken bazı işlemler konusunda da kendilerini kısıtlamaya başlamıştır.
Londra'da (COVID öncesi) 50.000 kişilik bir bankanın operasyon müdürüyle görüşmem esnasında ona bir organizasyonu gereğinden fazla koruyabileceğini söyledim. Bana ''Nasıl yani, bir organizasyonu nasıl gereğinden fazla koruyabiliriz ki?'' dedi.
''Ipadiniz var mı'' diye sordum. ''Evet'' dedi. ''O halde bana verin, korunmasız olduğu için tableti daha fazla kullanamazsınız'' dedim. "Şimdi anladım, her unsuru o kadar sıkı bir denetime tabi tutup insanların ihtiyaç duyduğu araçları ellerinden almaya başlarsak o zaman işletmemize zarar veririz," dedi. Gerçekten de öyle.
Ama öte yandan güvenliği görmezden de gelemezsiniz. Sorulması gereken soru şu: ''Doğru güvenlik seviyesi nedir?''
Bir güvenlik programının gerçek amacı şirketin saldırıya uğramasını engellemek DEĞİLDİR, çünkü bu imkansızdır. Güvenlik programının amacı, koruma ihtiyaçları ile işletmenin faaliyet göstermesi için gereken ihtiyaçlar arasında denge kurmaktır. Doğru seviyede güvenlik; çalışanlar, müşteriler, hissedarlar ve düzenleyici mekanizmalar gibi kilit paydaşlara göre sağlanmalıdır.
Sonuçlara değil, araçlara ve imkanlara yatırım yaptığımız için siber güvenlik yatırımlarımız başarısız oluyor. Bunun değişmesi gerekiyor.
Olgunluk, siber güvenliğin yetkinliği bakımından temel standart olarak kabul edilir ve 2.5'in üzerindeki şirketler kapsamında da faydalı bir ölçüt sunar. Çoğu şirket de bu skaladadır.
Bilinmeyen ve kontrol edilemeyen faktörlere yönelik tahminlerde bulunmak için risk ölçümü kavramına fazlaca bel bağlanıyor. Ne yazık ki müşteri tabanımızda bunun pek de işe yaradığı söylenemez. Pahalı olmakla birlikte üzerinde oynanabilir ve ticari bağlamda ihtiyaç duyduğumuz pragmatik karar alma sürecini desteklememektedir.
Risk ölçümü, insanların beklediği üzere her derde deva olmayacaktır. Fakat bu kavram şu anda içi boş beklentilerle oldukça popülerlik kazanmıştır. Bu konunun eksiklikleri ve sınırları tamamen fark edilene kadar da oldukça fazla paranın israf edileceği açık.
Bu kulağa siber güvenlik yatırımı meselesini yumuşatmak gibi gelebilir. Ama aslında öyle değil. Burada kastettiğimiz, istenen ticari sonuçları elde etmek için riskleri ve ihtiyaçları dengelemek adına uygun öncelikleri belirlemek ve uygun harcamaları yapmaya yönelik risk optimizasyonudur.
Yönetim kurulları ile bu minvalde etkileşim kurarsak daha iyi, daha da önemlisi akıllı yatırımlar yapabileceğiz. Bu da daha güvenli bir dünya yaratabilmemizi sağlayacak.
Kaynak: Gartner analistlerinden Paul E. Proctor’un “Cybersecurity as a Business Decision: A Manifesto” adlı makalesinden Türkçe’ye çevirilmiştir.