Katılımcılara göre, ‘çalışan eğitimi’ gibi temel güvenlik öncelikleri yerine getirilmiyor.
Fortinet, Küresel Kurumsal Güvenlik Araştırması çalışmasından elde ettiği yeni sonuçları paylaştı. Araştırmaya göre, dünya genelinde 250’yi aşkın personel çalıştıran kurumlardaki BT karar mercilerinin yüzde 53’ü siber güvenlik duruşlarından emin olduğu halde, sonuçlar son iki yıl içinde kurumların yüzde 85’inde güvenlik ihlali olduğunu da gözler önüne seriyor. Bu bulgulara ek olarak, katılımcıların yüzde 72’si siber güvenlik alanında, kendilerine eş kurumlardan daha iyi olduklarına inanırken, yüzde 6’sı diğerlerinin gerisinde kaldığını düşünüyor. Araştırma, siber saldırılara karşı korunma konusunda titiz davranmanın yanı sıra siber güvenlikte kullanılan ‘en iyi uygulamalar’ ve temel gerekliliklerin öneminin bir kez daha altını çiziyor.
Fortinet Sistem Mühendisi Faruk Yalçın konuyla ilgili yaptığı açıklamada: “BT karar mercileri, günümüzdeki siber güvenlik tehditleriyle mücadele etmek için kendi siber güvenlik çözümleri üzerinde bakım ve güncelleme işlemlerine öncelik vermeye devam ediyorlar. Her ne kadar bu işlemler de önem taşısa da, daha geniş bir kapsama sahip siber ve teknoloji stratejilerinde kullanılan güvenlik odaklı en iyi uygulamaları kaçırıyorlar. Özellikle, güvenlik hijyeninin acilen önceliklendirilmesi, çalışanlara eğitim verilerek farkındalık kapsamının artırılması ya da otomasyon, entegrasyon ve stratejik segmentasyonu en yüksek düzeye çekecek güvenlik yaklaşımları benimsenerek, yakın vadede beklenen ve hasar gücü yüksek internet saldırılarına karşı savunma oluşturulması kritik bir önem taşıyor” dedi.
Kurumlar, kendini açıkça gösteren sorunlara karşın halinden hoşnut görünüyor
Katılımcılar, son iki yıl içinde gerçekleşen ihlallerin yüzde 33’ünün sosyal mühendislik, fidye yazılım ve eposta oltalama ataklarının sonucunda gerçekleştiğini ortaya koyuyor. Kurumların yüzde 67’si 2018 yılında çalışanlarına BT güvenliği konusunda eğitim vermeyi planlıyor; bu da ihlallerin ortaya çıkmasındaki sebeplerin başında çalışanların dikkatsizliği ve bilgisizliliği olduğu konusunda giderek artan bir farkındalığa işaret ediyor.
Kurumların en çok önem verdiği bir diğer konu da ağ erişiminin korunması. BT karar mercilerinin yalnızca yarısı (yüzde 50), ağ erişimi sağlayan cihazları tam anlamıyla gözlemleyip kontrol altında tutabildiklerinden emin görünüyor. Yine aynı oranda BT karar mercisi, ağlarına sık erişimi olan üçüncü tarafların erişim düzeylerini tam olarak gözlemleyebildiklerinden emin. Kurum içi çalışanların gözlem ve kontrolünü tam olarak sağlayabildiklerine güvenenlerin oranı ise yüzde 54. Ağ görünürlüğündeki bu güven eksikliği, kurumların bu alanı en önemli önceliklerinden biri olarak ele almaları gerektiğini gösteriyor. Yine de, 2018 yılında ağ segmentasyonu gibi temel güvenlik önlemleri almayı planlayan kurumların oranı yüzde 24. Ağ segmentasyonu olmadan, ağa giren kötücül yazılımların yayılması genelde önlenemiyor.
Kurumsal Güvenlik için Çalışanın Bilgilendirilmesi Şart
Çalışmada BT karar mercilerine, kariyerlerinde neyi farklı yapmış olmayı diledikleri sorulduğunda, katılımcıların yüzde 42’sinin, güvenlik ihlallerini önleyebilmek için çalışan güvenlik farkındalığına daha fazla yatırım yapmış olmayı dilediği ortaya çıktı. Kullanıcılara eğitim vermek, siber güvenlik zincirinin en zayıf halkalarından biri olan çalışanların hedef alındığı saldırı girişimlerine kurban olma olasılıklarını aşağıya çekiyor.
İhlal olaylarının yüzde 71’inde yönetimler ilk önce BT departmanını suçluyor (ya belli bir kişiyi [yüzde 29] ya da departmanın tümünü [yüzde 42]). BT departmanının dışında kalan ve genelde en zayıf halka oldukları belirlendiği halde, çalışanların yalnızca yüzde 28’i bu tür suçlamalara maruz kalıyor. İhlal söz konusu olduğunda artık sadece BT departmanları bunun sorumlusu olamaz. Kendi cihazını getir uygulaması, nesnelerin interneti, bulut tabanlı uygulamalar ve gölge BT gibi unsurların hepsi güvenlik sorumluluğunun kurum geneline ve çalışanlara kadar yayılması gerektiğine işaret ediyor.
Dengeli Siber Güvenlik Yatırımlarına Öncelik Vermek Çok Önemli
2017’de, BT yetkililerinin yatırım öncelikleri önem sırasına göre şöyle:
- Yüzde 37 – Yeni güvenlik çözüm ve hizmetleri
- Yüzde 21 – Güvenlik politikaları ve süreç uygulamaları
- Yüzde 14 – Güvenlik çözümlerini bir üst seviyeye geçirme
- Yüzde 10 – Çalışan eğitimi
- Yüzde 6 – Denetleme ve değerlendirme
Teknolojiye sürekli yatırım yapan kurumlar, saldırıların hızına yetişebiliyor ve kapsamlı bir güvenlik çözümü kullanarak bu tür saldırılara karşı hazırlıklı oluyorlar. Yeni ve bir üst seviyeye çıkarılmış güvenlik çözümlerine 2018 yılında da yatırımlar yapılmaya devam edilecek fakat katılımcıların yüzde 41’i ayrıca çalışan eğitimine yapılacak yatırımların da en önemli 3 yatırım önceliği arasında yer alacağını ifade ediyor.
