Türkiye ’deki bir hayli işletmenin üst düzey idareyicisi, siber güvenlik mevzularını tartışırken bu mevzudaki kavrayış yetersizliğini kabul etmemeyi seçim ediyor.
Yakın zamanda yapılan bir Kaspersky araştırması, üst düzey idareyicilerin üçte birinin DDoS, botnet ve APT gibi terimleri öğrenmediğini ortaya koyuyor.
Türkiye ’deki idareyicilerin %42 ’si, BT ve BT güvenliği ile bir yapılan buluşmalardan bir şeyi kavramadıkları belirtmekten çekineceklerini söylerken, %43 ’ü bu mevzudaki kafa karmaşıklıklarını saklamayı seçim ediyor.
İşin her evresine güzergah veren kararlarda siber güvenliği göz önünde bulundurmak günümüzde bir norm haline gelmiş olsa da, bir hayli idareyici siber güvenlik tüketmelerinin müesseselerinin karşı karşıya olduğu en ehemmiyetli tehlikelere karşı koyabilecek biçimde yönlendirildiğinden emin olamıyor. Kaspersky, BT ve üst düzey idareyicilerin bu mevzuda ortak bir zeminde buluşmasına destekçi olmak ve yanlış kavramaların sebeplerini keşfetmek için özel bir araştırma reelleştirdi.
Kaspersky anketi, C seviyesi idareyicilerin bazı gidişatlarda BT güvenliğine dair mevzuları kavramakta zorlanmakla beraber bu mevzudaki kafa karmaşıklığını itiraf etmeye her zaman hazır olmadığını gösteriyor. Türkiye ’deki idareyicilerin %42 ’si, BT ve BT güvenliği ile bir yapılan buluşmalardan bir şeyi kavramadıkları gidişatta bunu belirtmekten çekineceklerini söylüyor. %43 ’ü bu mevzudaki kafa karışıklıklarını saklıyor ve her şeyi buluşmadan sonra kendi gayretleriyle sarihliğe kavuşturmayı seçim ediyor, %42 ’si ise BT alanındaki meslektaşlarının bunu kolay bir biçimde açıklayabileceğine inanmadıkları için ek sual sormuyor. Türkiye ’den araştırmaya katılanların yarısından aşırısı %53 mevzuyu kavramadıklarını ifade etmekten çekiniyor ve %47 ’si bunu BT ’den kavrayan meslektaşlarının önünde bilgisiz görüntüsü vermemek için yapıyor.
DDoS, botnet ve APT gibi terimler bütün olarak öğrenilmiyor
Ayrıca ankete katılan tüm üst düzey idareyiciler güvenlikle alakalı mevzuları BT güvenlik idareyicileriyle kumpaslı olarak konuşsa da, %33 ’ü botnet ’in, %32 ’si APT ’nin ve %37 ’si DDoS hücumunun ne olduğunu bütün olarak açıklayamıyor. Bununla beraber Spyware, Malware, Trojan ve Phishing gibi kavramlar üst düzey idareyicilerin kulağına daha tanıdık geliyor.
Alttaki ifadelerden hangisi alttaki tehditler hakkındaki bilgi ve kavrayışınızı en iyi biçimde belirlemektedir?
Türkiye ’deki bazı üst düzey idareyiciler DevSecOps %15, ZeroTrust %13 ve Pentesting %7 gibi siber güvenlik terimlerini hiç dinlemediklerini itiraf ediyor.
Kaspersky Çözüm Mimarı Sergey Zhuykov, şunları söylüyor: “BT harici üst idarenin karışık siber güvenlik terminolojisi ve kavramları mevzusunda uzman olması gerekmiyor. BT güvenlik idareyicilerinin idare heyetiyle irtibat kurarken bu vaziyeti usunda yakalaması gerekiyor. Sİber güvenlik mevzusunda tesirli bir işbirliği kurmak için CISO, C düzeyi idareyicilerin dikkatini bütün olarak anlamlı detaylara odaklayabilmeli ve işletmenin siber güvenlik tehlikelerini en aza indirmek için bütün olarak ne yaptığını sarihçe anlatabilmelidir. Bu yaklaşım, hissedarlara net metrikler iletebilmenin yanı gizeme mesele yerine çözüm sunmayı gerektirir.”
Kaspersky, BT güvenliği ile firma içindeki iş üniteleri arasındaki bağlantıyı basitleştirmek için alttakileri öneriyor:
BT güvenliği, müessesede sihrime ve inovasyon için bir itici efor olarak konumlandırılmalıdır. Bunu muvaffak olmak için BT güvenlik takımı kısıtlayıcı ve menedici stratejilerden uzaklaşmalı ve siber güvenlik tehlikelerini eksiltirken şirketin gayelerine nasıl erişebileceğini açıklamalıdır. CISO ’lar operasyonel faaliyetlere etkin olarak katılmalı ve işletmenin hissedarlarıyla ilişkiler kurmalıdır. CISO ’ların %20 ’sinden daha azının satış, finans ve pazarlama alanlarındaki kilit idareyicilerle işbirliği yaptığı göz önüne alındığında, şirketin gereksinimlerinden haberdar olmaları güçtür. İdare heyetiyle irtibat kurarken, uzmanlar tarafından tehditlere dair genel bir bakış açısı eşliğinde, firmanızın atağa uğrama gidişatına ve bu alandaki en iyi uygulamalara direnen argümanlara müracaat etmelisiniz. İdare heyetine BT güvenlik takımının temel mesullüklerinin neler olduğunu açıklayın. Muhtemelse, en ehemmiyetli BT güvenlik güçlükleri hakkında fikir edinmek için onlara bir CISO ’nun yerine geçme fırsatı verin. Siber güvenlik yatırımlarınızı faalliğini ve yatırım getirisini ispatlanmış vasıtalara ayırın. Yanlış pozitif seviyesini düşüren, hücum tespit vakitlerini, hadise başına tüketilen zamanı ve öbür ölçümleri eksilten taşıtlar tüm BT güvenlik takımları için son derece büyük ehemmiyet taşır.
Kaynak: BYZHA Beyaz Haber Ajansı