Güvenlik Araçları Almayı Bırak, İşini Düşünmeye Başla

Güvenlik Araçları Almayı Bırak, İşini Düşünmeye Başla

Şirketinizde muhtemelen yangın duvarları, antivirüsler ve tüm o güvenlik jargonları var. Ama siber güvenlikte hâlâ her şeyi tersine döndürmüş olabilirsiniz. Asıl sorun araçlarınız değil. İş stratejinizi güvenlik stratejinizden tamamen ayrı tutuyorsunuz.

Güvenlik Tiyatrosu Tuzağı

Şirketler hacklenince panikliyor. Hemen son model siber güvenlik araçlarına para akıtıyorlar. Yönetilen güvenlik duvarı kuruyor, yamaları peş peşe yapıştırıyor, uç nokta algılama sistemleri yerleştiriyor, eğitimler düzenliyor, kalın politika belgeleri yazıyorlar. Sonra da "artık güvendeyiz" diye sırtlarını sıvazlıyorlar.

Ama gerçek şu: Hâlâ savunmasızlar.

Sorun araçların kalitesinde değil.

Kamp Çantası Yanlışı

Şirketlerin siber güvenlik stratejisine bakın. Sanki nereye gideceğini bilmeden kamp çantası dolduruyorlar.

Uyku tulumu, yağmurluk, fener, ilk yardım kiti, çok amaçlı alet... Hepsi mantıklı görünüyor. Ama dağdaki ıssız bir kulübeye tırmanacaksanız, ihtiyacın yüzde 90'ını unutmuşsunuz. Arka bahçede lüks kamp yapacaksanız, yarısı gereksiz.

Siber güvenlikte de aynı. Araçları "önemli" diye topluyorlar, işlerine uymasına bakmıyorlar. Finans şirketi ile muhasebeci ofisi aynı değil. Eski sistemli fabrika ile bulut tabanlı yazılım girişimi farklı ihtiyaçlara sahip.

Yine de herkes aynı çantayı hazırlıyor.

İş ve Güvenlik Arasındaki Görünmez Duvar

Asıl mesele şu: Milyonlarca liralık koruma sistemleri kurarken, iş liderleri başka odada strateji belirliyor.

BT ekibi iş planını bilmiyor. Hangi müşteri hesabı kritik, hangi sistem geliri taşıyor, ne tür riskler şirketi batırır... Hiçbirini. Öte yandan yönetim, yeni pazarlara açılırken, buluta taşınırken ya da iş akışlarını değiştirirken güvenlikçilere sormuyor.

Değerli eşyaların nerede olduğunu bilmeyen koruma gibi.

Gördüğüm her siber güvenlik felaketinin kökü bu kopukluk. Zayıf şifreler, yamalanmamış sunucular, eksik duvarlar değil. İş planı ile güvenlik planı ayrı evrenlerde yaşıyor.

Neden Önemli Bu?

Güvenlik duruşunuz iş stratejinizin etrafında şekillenmeli. Tersine değil. Müşteri kredi kartlarını anlık işliyorsanız, ödeme sistemi kesintisizliği ve veri bütünlüğü öncelikli. Araştırma şirketiyseniz, veri sızıntısını önleyin, erişim kontrollerini kale gibi yapın.

Ama çoğu şirket her şeyi eşit koruyor ya da yanlış şeyleri. Uygun olmayan tehditlere para döküyor, asıl açıkları kapatmayı unutuyor.

Mücevherci sel bariyerine servet harcıyor, kapıyı açık bırakıyor.

Strateji Öncelikli Yaklaşım

Çalışan yol şu: Güvenlik baştan stratejiyi şekillendirmeli, sonradan eklenmemeli.

Güvenlik şirketi yönetmesin tabii, saçma olur. Ama iş planı yapılırken ya da güncellenirken güvenlik uzmanı masada olmalı. Sunucu yama bilen değil. İş riskini ve güvenlik stratejisini bilen biri. İş hedeflerini güvenlik ihtiyaçlarına çeviren.

Bu kişi (genelde kısmi CISO ya da sanal CISO) iki dünyayı birleştirir.

Hemen Yapacaklarınız

Eğer "bu biziz" diyorsanız, plan şöyle:

Bir, yeni araç almayı kesin. Bütçeyi dondurun.

İki, iş planınızı bulun. Yoksa ilk sorun o. 1, 3, 10 yıllık somut strateji yazın. Her şirketin bilmesi gereken nereye gittiği.

Üç, güvenlik odaklı stratejist getirin. Planı incelesin. Sorular sorsun:

  • Ana veritabanı 24 saat çökerse hayatta kalır mıyız?
  • Müşteriler hangi sistemlere en çok bağımlı?
  • Bize en çok ne zarar verir: Kesinti mi, veri kaybı mı, itibar mı?
  • CEO'yu ne uyutmuyor, ona karşı koruma var mı?

İki Temel Değerlendirme

Uzman gelince iki iş yapacak:

Risk Değerlendirmesi: Kutucuk işaretlemek değil. Bölgesel felaketler, salgınlar, büyük müşteri kaybı, kilit personel ayrılığı... Ne olur, nasıl yanıt verirsiniz? Yarı gün- tam gün liderlik atölyesi.

İş Kritikliği Değerlendirmesi: Her kritik sistem için ne kadar kesinti tolere edersiniz? Ne kadar veri kaybı? Dürüst olun, sıfır değil gerçekçi. Bu, hangi yatırıma değer gösterir, hangisi tiyatro.

Gerçek Kazanç

Doğru yapınca şahane: Harcamalar işinize orantılı olur. Gereksiz araca para gitmez. BT ekibi "neden"i bilir, "ne"yi değil.

En önemlisi, bir şeyler ters giderse (gider elbet), yanıt koordineli olur. Çünkü baştan aynı dil konuşulmuş.

Sonuç

Araçlarınız muhtemelen iyi. Ekip şirketi korumak istiyor. Sorun yapısal: İş stratejisi ile güvenlik ayrı silolarda büyüdü. Asıl açık orada.

Önce onu kapatın. Araçlar sonra anlam kazanır.

Etiketler ['cybersecurity strategy', 'business planning', 'ciso', 'risk assessment', 'security posture', 'it security', 'virtual ciso']