Yapay zekâ, blok zinciri, biyometri, hiper bağlantılı sistemler ve sanal gerçeklik gibi çığır açan teknolojilerin geleceği şekillendirdiği günümüzde, siber güvenlik, hangi teknoloji kullanılırsa kullanılsın ticari faaliyetlerin ayrılmaz bir parçası haline geliyor. KPMG’nin “Siber Güvenlikte Dikkat Edilmesi Gereken Hususlar” raporu, siber güvenliği tüm strateji ve operasyonlarına dahil etmeyi hedefleyen işletmeler için bu yıl dikkat etmeleri gereken en önemli sekiz konuyu mercek altına alıyor.
Günümüzde hemen hemen tüm işletmelerin geleceği artık veri ve dijital altyapı üzerine inşa ediliyor. Küresel ekonomiler ve tedarik zincirleri kesintiye uğradıkça şirketeler de ürünlere, hizmetlere ve bunların temelini oluşturan dijital altyapılara da bağımlılıklarını artıyor. Yapay zekâ, blok zinciri, biyometri, hiper bağlantılı sistemler ve sanal gerçeklik gibi çığır açan teknolojiler bu geleceği şekillendiriyor. Siber güvenlik hangi teknoloji kullanılırsa kullanılsın ticari faaliyetlerin ayrılmaz bir parçası haline geliyor. KPMG’nin “Siber Güvenlikte Dikkat Edilmesi Gereken Hususlar” başlığı ile yayımladığı yeni raporu, siber güvenliği tüm strateji ve operasyonlara dahil etmeyi hedefleyen işletmelere dikkat etmeleri gereken konuları bir arada sunuyor.
Konuyla ilgili değerlendirmede bulunan KPMG Türkiye Siber Güvenlik Hizmetleri Lideri Ümit Yalçın Şen, “İşletmelerin, siber güvenliği tüm organizasyonları genelinde en önemli konuların başına yerleştirmeye başlaması ya da gündeme girdiyse de daha yüksek tondan takip etmeye devam etmesi gerekiyor. Bu çerçevede organizasyonlar, ekosistemleri içerisinde dijital güveni kuvvetlendirmek adına siber güvenlik faaliyetlerini bir temel olarak kullanabilmelidir. Ancak güvenlik faaliyetlerinden sorumlu yöneticiler (CISO) ve ekipleri bunu tek başlarına yapamazlar; bu organizasyondaki herkesin sorumluluğu olmalıdır. Tabii bu bunu sağlamak da kolay değildir. Öncelikle şirkette görev yapan herkes, başta en tepe yönetim unsurları (yönetim kurulları, icra kurulları, üst yönetim temsilcileri, vb.) olacak şekilde siber güvenlikle ilgili bir şekilde kendilerinin de sorumlu olduğunu anlamalıdır. Bunun ardından tüm ekipler güvenliği mevcut süreçlere nasıl entegre edebileceklerini düşünmelidir. Her iş birimine adeta bir müşteri gibi davranılması ve bu birimlere ait faaliyetlerin güvenlik ihtiyaçları, riskleri ve kontrolleri göz önünde bulundurularak tasarlanması, sorumlu ve güvenli davranışları teşvik edebilir ve işletmelere büyük fayda sağlayabilir. Hazırladığımız bu rapor özelde CISO’ların, genelde ise tüm çalışanların rekabet avantajı elde etmek için işletmelerinde dijital güveni tesis etmelerini sağlamaları için 2023 yılında atabilecekleri adımları verilere dayanarak aktarmayı amaçlıyor” dedi.
2023 yılı için en önemli siber güvenlik konuları
KPMG’nin raporunda işletmelerin 2023 yılında siber güvenlik stratejilerini şekillendirirken dikkat etmeleri gereken sekiz konu şu şekilde sıralanıyor:
1. Dijital güven için ortak sorumlulukla hareket edilmeli
Güven başarının anahtarıdır ve sadece itibarla ilgili değildir. Güvenin artırılması rekabet avantajı yaratabilir ve kâr hanesine katkıda bulunabilir. Dijitalleşen dünyada herhangi bir işletmenin gelecekteki başarısı dijital güven üzerine inşa edilebilir. Siber güvenlik ve mahremiyet ise bu güven için hayati derecede önemlidir. Ancak bu potansiyelin gerçekleştirilmesi için tüm paydaşların ortak taahhüdü gerekiyor.
Raporda yer alan verilere göre;
– Kurumların üçte birinden fazlası artan güvenin kârlılığı artırdığını kabul ediyor.
– Ancak yüzde 65’i bilgi güvenliği gereksinimlerinin uzun vadeli stratejik hedeflerden ziyade mevzuatlara uyumluluk ihtiyaçları tarafından şekillendirildiğini belirtiyor.
– Katılımcıların yüzde 49’u ise yönetim kurulunun güvenliği rekabet avantajı elde etmenin bir yolu olarak görmek yerine gerekli bir maliyet olarak gördüğüne inanıyor.
2. Göze batmayan güvenlik ile güvenli davranışlar teşvik edilmeli
Güvenliği, insanların güvenle çalışmasına, verimli seçimler yapmasına ve işletmelerin korunmasında kendi rollerini oynamasına yardımcı olacak şekilde işin içine yerleştirmek, çoğu zaman zor olsa da CISO’ların temel hedeflerinden biri olmalıdır. İnsanların güvenliği bir engel olarak görmesi kolay olduğundan CISO’ların güvenliği hem insan hem de iş merkezli perspektiflerden ele alarak bu zihniyetin değişmesine ön ayak olması önem taşıyor.
Diğer yandan kurumlar CISO’ların kritik görevleri yerine getirme becerisine de oldukça güveniyor.
– Kurumların yüzde 79’u CISO’ların kurum genelinde hangi verilerin kritik öneme sahip olduğunu tespit edebileceklerinden emin.
– 3/4’ü CISO’ların en önemli veri hazinelerinin neler olduğunu belirleyebileceğine inanıyor.
– Yüzde 78’i CISO’ların hassas verilerinin ne kadarının üçüncü taraflarda olduğunu bildiklerinden ve bunları uygun şekilde koruma altına aldıklarından emin.
3. Çevre sınırının azaldığı ekosistemde veri merkezli gelecek sağlanmalı
Son on yılda işletme modellerinin temelden değişerek veri merkezli, iç ve dış ortaklar ile hizmet sağlayıcılardan oluşan bağlantılı ekosistemler haline gelmesi şaşırtıcı değil. Bu dağıtık bilişim dünyasında, olası kesintilerin veya ihlallerin yıkıcı etkilerini azaltmaya yardımcı olmak için CISO’lar ve güvenlik ekipleri; sıfır güven mimarisi, güvenli ağ erişim hizmeti (SASE) ve siber güvenlik ağı modelleri gibi çok farklı yaklaşımlar benimsemelidir.
– Yöneticilerin yüzde 28’i, paydaşların bir işletmenin verilerini kullanma ve yönetme becerisine olan güvenini zayıflatan başlıca faktör olarak “yürürlükteki yönetişim mekanizmalarına duyulan güven eksikliğini” gösteriyor.
– Yüzde 32’si ayrıca “belirli bir hizmet için verinin neden gerekli olduğu ve veri paylaşmanın veya sağlamanın faydaları konusunda netlik olmamasını” da bir diğer faktör olarak tanımlıyor.
– Yüzde 36’sı verilerinin nasıl korunduğu konusunda endişe duyuyor.
– Yüzde 35’inin ise verilerinin nasıl kullanıldığı veya paylaşıldığı konusunda endişeleri var.
4. Yeni modeller ile yeni ortaklıklar kurulmalı
Güvenlik ekiplerinin yalnızca işletmelerinin BT sistemlerinin güvenliğine odaklandığı günler geride kaldı. CISO’ların ne zaman frene basacaklarını siber güvenlikte ne zaman dış kaynaklardan faydalanacaklarını, günümüzde ve gelecekte hangi yetenekleri kurum içinde tutacaklarını belirlemeleri gerekiyor. Güvenlik; artık işletme ve hizmet sağlayıcılar arasında paylaşılan bir sorumluluk modeli aracılığıyla sunulan bir iş haline gelmiş durumda. Bu nedenle dış ortaklıkların da hiper bağlantılı ekosistemlerde başarı için hayati öneme sahip olması bekleniyor, ancak bu yöndeki iş birliklerinin önünde hala bazı engeller bulunuyor.
– KPMG’nin araştırmasına katılanların yüzde 79’u tedarikçiler ve müşterilerle yapıcı iş birliğinin hayati önem taşıdığını söyleseler de sadece yüzde 42’si bunu gerçekleştirdiklerini ifade ediyor.
– Yüzde 60’ı tedarik zincirlerinin kendilerini saldırılara karşı savunmasız bıraktığını kabul ediyor.
– Yöneticilerin yüzde 78’i ise CISO’ların tedarik zinciri boyunca verilerini güvence altına alabileceğinden emin.
5. Otomasyona güven sorununun önüne geçilmeli
İnovasyon ve gelişen teknolojilerden yararlanma yarışında; güvenlik, mahremiyet, veri koruma ve etik ile ilgili endişeler daha fazla dikkat çekiyor olsa da bu hususlar genellikle göz ardı edilebiliyor veya unutulabiliyor. Bu hususlar kontrol edilmediği takdirde ortaya çıkan ihmal, özellikle de ufukta yapay zekâ teknolojisinde mahremiyeti gözeten regülasyonlar görünüyorken, işletmelerin potansiyellerini kullanamamalarına yol açabilir. Otomasyon açısından zekâ ve makine öğrenimi gibi önemli çözümlerin benimsenmesinin etik, güvenlik ve mahremiyet üzerindeki etkileri konusunda artan toplumsal ve ticari endişeler bulunuyor.
– Katılımcıların yüzde 78’i yapay zekâ ve makine öğreniminin benzersiz siber güvenlik zorluklarına neden olduğu konusunda hemfikir.
– Her 4 katılımcıdan 3’ü yapay zekâ ve makine öğreniminin temel etik soruları gündeme getirdiğini söylüyor.
– Yöneticilerin yüzde 76’sı yapay zekâ ve makine öğreniminin kullanılmasının bu teknolojilerde şeffaflık gerektirdiğini de ifade ediyor.
6. Akıllı bir dünyanın güvenliği sağlanmalı
Hemen hemen her sektördeki işletmeler, ağ destekli hizmetler geliştirmeye ve bunları destekleyen cihazları yönetmeye odaklanan bir ürün zihniyetine geçiş yapıyor. Kuruluşlar ürün güvenliğinin de önemli olduğunu fark ettikçe CISO’lar ve ekipleri de mühendislik, geliştirme ve ürün destek ekipleriyle görüşmelere katılıyor. Siber güvenliğin zorlukları konusunda kazanılar deneyim CEO’lara ne kadar hazırlıklı ya da hazırlıksız olabilecekleri konusunda daha net bir resim sunuyor.
– CEO’ların yüzde 24’ü siber saldırılara karşı hazırlıksız olduklarını kabul ederken bu oran 2021’de yüzde 13 seviyesinde bulunuyordu.
– Yüzde 56’sı ise hazırlıklı olduklarını söylüyor.
– Katılımcıların 3/4’ü kuruluşlarının fidye yazılım saldırılarıyla başa çıkmak için bir planı olduğunu ifade ediyor.
– Her 4 CEO’dan 3’ü ise iş ortağı ekosistemini ve tedarik zincirini korumanın, kuruluşlarının siber savunmasını oluşturmak kadar önemli olduğunu belirtiyor.
7. Çevik düşmanlarla mücadele edilmeli
Günümüzde devlet destekli saldırganlar giderek artan bir şekilde otomatik araçlarla sistemlere sızabiliyor ve sistemleri ele geçirebiliyor. Bu nedenle güvenlik operasyonları bir saldırı meydana geldiğinde öncelikli hizmetlerin kurtarılmasını hızlandıracak şekilde optimize edilmeli ve yapılandırılmalıdır; bu sayede saldırıların tüketiciler, müşteriler ve iş ortakları üzerindeki etkisi azaltabilir. Bu çetin mücadelede siber güvenlik ekipleri de gelişen tehditlere ayak uydurma baskısı altında bulunuyor, ancak yetenek açığı sıklıkla güvenlik çabalarını sekteye uğratıyor.
– Kurumların yarısından fazlası siber güvenlik konusunda planlananın gerisinde kaldıklarını kabul ediyor.
– Yüzde 50’den fazlası organize suç grupları, içeriden bilgi sızdıranlar ve ele geçirilmiş tedarik zincirleri de dahil olmak üzere çeşitli siber tehditlerle karşı mücadelede kendilerinden oldukça emin.
– Yüzde 59’u saldırganların tedarik ve alım zincirindeki açıklardan faydalandığı konusunda hemfikir, ancak savunmalarının bu açıkları kapatacak kadar güçlü olduğundan emin değiller.
– Yüzde 40’ına göre ise siber güvenlik hedeflerine ulaşmalarının önündeki bir numaralı işletme içi zorluk anahtar yeteneklerin ve yetkinliklerin eksikliği.
8. Önemli olduğu zaman ve yerde dirençli olunmalı
Her güvenlik sisteminin kusurları vardır. Bir noktada, her işletme bir siber saldırıya maruz maruz kalabilir. Bu nedenle düzenleyiciler giderek daha fazla akla yatkın senaryolara odaklanıyor ve özellikle enerji, finans ve sağlık hizmetleri gibi stratejik öneme sahip sektörlerdeki işletmeleri dayanıklı olmaya ve kendilerini toparlayacak şekilde konumlandırmaya zorluyor. Kanun yapıcılar ve düzenleyicileri bu açıdan daha fazla şeffaflık ve denetim talep ediyor. Bu da birçok işletmeyi, giderek karmaşıklaşan küresel düzenlemeler arasında yollarını bulma konusunda endişelendiriyor.
– KPMG’nin araştırmasına katılanların yüzde 36’sı faaliyetlerini dijital hizmet sağlayıcılara yaptırdıklarında mevcut veya yeni siber güvenlik düzenlemelerini karşılama becerileri konusunda endişe duyuyor.
– Yüzde 31’i siber güvenlikle ilgili düzenlemelere daha fazla konu olan kritik altyapılara ilişkin endişe duyuyor.
– Yüzde 28’i kritik sistemlerin dayanıklılığıyla ilgili mevcut veya yeni düzenlemelerden endişe duyuyor.
– Yüzde 26’sı olayları daha sıkı bir şekilde raporlama gerekliliklerinden endişe duyduklarını ifade ediyor.