Türkiye’deki birçok şirketin üst düzey yöneticisi, siber güvenlik konularını tartışırken, konuyla ilgili anlayış eksikliğini kabul etmemeyi tercih ediyor.
Yakın tarihli bir Kaspersky anketi, üst düzey yöneticilerin üçte birinin DDoS, botnet ve APT gibi terimlere aşina olmadığını ortaya koyuyor.
Türkiye’deki yöneticilerin %42’si BT ve BT güvenliği ile yapılan bir görüşmede bir şey anlamadığını söylemekten çekinirken, %43’ü bu konudaki kafa karışıklığını gizlemeyi tercih ediyor.
Siber güvenliği işin her aşamasında taraf tutan kararlarda dikkate almak günümüzde norm haline gelmiş olsa da, birçok yönetici siber güvenlik harcamalarının kuruluşlarının karşı karşıya olduğu en değerli risklere karşı koyabilecek şekilde yönlendirildiğinden emin değil. Kaspersky, BT ve üst düzey yöneticilerin bu konuda bir araya gelmesine yardımcı olmak ve yanlış anlamaların nedenlerini keşfetmek için özel bir araştırma yaptı.
Kaspersky araştırması, C düzeyindeki yöneticilerin bazen BT güvenliğinin risklerini anlamakta zorlandıklarını, ancak bu konudaki kafa karışıklıklarını kabul etmeye her zaman hazır olmadıklarını gösteriyor. Türkiye’deki yöneticilerin %42’si BT ve BT güvenliği ile yaptıkları görüşmeden bir şey anlamadıkları takdirde bunu söylemekten çekineceklerini söylüyor. %43’ü bu konudaki kafa karışıklığını gizleyip toplantıdan sonra kendi kendine halletmeyi tercih ederken, %42’si BT meslektaşlarının bunu basitçe anlatabileceğine inanmadıkları için ek soru sormuyor. Türkiye’den yanıt verenlerin yarısından fazlası (%53) konuyu anlamadığını söylemekten çekiniyor, %47’si ise BT konusunda bilgili meslektaşlarının önünde cahil görünmemek için bunu yapıyor.
DDoS, botnet ve APT gibi terimler tam olarak bilinmiyor.
Ayrıca, ankete katılan tüm üst düzey yöneticiler güvenlikle ilgili riskleri BT güvenlik yöneticileriyle sistematik olarak tartışmış olsalar da, %33’ü botnet’in, %32’si APT’nin ve %37’si DDoS saldırısının ne olduğunu tam olarak açıklayamıyor. Ancak Spyware, Malware, Trojan ve Phishing gibi kavramlar üst düzey yöneticiler için daha tanıdıktır.
Aşağıdaki terimlerden hangisi, aşağıdaki tehditler hakkındaki bilginizi ve anlayışınızı en iyi şekilde tanımlar?
Türkiye’deki bazı üst düzey yöneticiler DevSecOps (%15), ZeroTrust (%13) ve Pentesting (%7) terimlerini hiç duymadıklarını itiraf ediyor.
Kaspersky Analiz Mimarı Sergey Zhuykov, diyor: “BT dışı üst yönetimin karmaşık siber güvenlik terminolojisi ve kavramları konusunda uzman olması gerekmez. BT güvenlik yöneticilerinin, yürütme organıyla bağlantı kurarken bunu akıllarında tutmaları gerekir. Etkili siber güvenlik işbirliği oluşturmak için CISO, üst düzey yöneticilerin dikkatini anlamlı ayrıntılara odaklayabilmeli ve şirketin “Siber güvenlik risklerini en aza indirmek için tam olarak ne yaptığını net bir şekilde açıklayabilmelidir. Bu yaklaşım, sorunlardan ziyade içgörüler ve paydaşlara net ölçütler iletebilme.”
BT güvenliği ile dahili iş birimleri arasındaki bağlantıyı kolaylaştırmak için Kaspersky aşağıdakileri önerir:
- BT güvenliği, kuruluşta büyüme ve yenilik için itici güç olarak konumlandırılmalıdır. Bunu başarmak için BT güvenlik ekibi, kısıtlayıcı ve yasaklayıcı taktiklerden uzaklaşmalı ve işletmenin siber güvenlik risklerini azaltırken hedeflerine nasıl ulaşabileceğini açıklamalıdır.
- CISO’lar operasyonel faaliyetlere aktif olarak katılmalı ve şirketin paydaşlarıyla ilişki kurmalıdır. CISO’ların %20’sinden daha azının satış, finans ve pazarlama alanlarındaki kilit yöneticilerle işbirliği yaptığı göz önüne alındığında, işin ihtiyaçlarının farkında olmak zordur.
- Yönetim ekibiyle iletişime geçerken, uzmanların tehditlere genel bir bakışıyla birlikte, şirketinizin saldırıya uğrama durumuna ve bu alandaki en iyi uygulamalara dayalı argümanlara başvurmalısınız.
- BT güvenlik ekibinin temel sorumluluklarının neler olduğunu yönetim kuruluna açıklayın. Mümkünse, onlara en değerli BT güvenlik sorunları hakkında bilgi edinmeleri için bir CISO olarak hareket etme fırsatı verin.
- Siber güvenlik yatırımlarınızı etkinliği ve yatırım getirisi kanıtlanmış araçlara bölün. Yanlış pozitifleri azaltan, saldırı tespit sürelerini, olay başına harcanan zamanı ve diğer ölçümleri azaltan araçlar, herhangi bir BT güvenlik ekibi için kritik öneme sahiptir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
bozkurtajans.com.tr
