ABD’yi hedef alan DDos saldırısı şirketlerin siber güvenliği yeniden gündemlerinin üst sıralarına çıkarmalarına neden oldu. Stratejinin ilk kuralı, ‘Yüzde 100 güvenlik imkansız’ gerçeğini kabul etmek ve doğru bilinen şu beş yanlışa azami dikkat etmek
Küresel şirketler de küçük/orta ölçekli kuruluşlar da siber güvenliği önemli bir endişe kaynağı olarak görüyor. KPMG Türkiye Bilgi Teknolojileri Danışmanlığı Şirket Ortağı Tanıl Durkaya, “Bu sorunu ele almak için sadece teknolojiye odaklanmak doğru bir hamle değil. Siber riskin doğru yönetilmesi gerek” diyor. Durkaya’ya göre, en çok rastlanan 5 yanlış şöyle:
- Yüzde 100 siber güvenliği sağlamak zorundayız
Yüzde 100 güvenlik doğru bir hedef değil, bunu başarmak imkansız: Kabul etmek gerekir ki hemen her büyük ve tanınmış kuruluş bir gün bir şekilde saldırılarla karşılaşacak. Yüzde 100 güvenlik sağlamanın mümkün olmadığı konusunda farkındalık yaratmak bile etkin bir güvenlik politikası için olumlu adımdır. Tehdidi anlamaya, tedbir mekanizmaları oluşturmaya ve bunlara yanıt verecek kabiliyeti yaratmaya odaklanmak gereklidir.
- Yüksek teknolojiye yatırım yaparsak güvende oluruz
Teknoloji hiçbir zaman tek başına yeterli değildir: Siber güvenlik dünyası, sisteme izinsiz girmeğe çalışanları hızla tespit eden teknik ürünler satan tedarikçilerin hakimiyetinde. Bu araçlar güvenlik için elbette gerekli ama bütüncül ve sağlam bir siber güvenlik politikasının temeli değil. Teknolojiye yatırım, siber güvenlik stratejisinin itici gücü değil sonucu olmalı. İyi bir güvenlik yapılanması, sağlam bir savunma yeteneği geliştirmekle başlar.
- Siber korsanların silahlarından daha güçlü silahlarımız olmalı
Silaha değil, akıl ve kalkana ihtiyacınız var: Siber suçla savaş, kazanılması kolay olmayan yarışlara bir örnektir. Çünkü saldırganlar sürekli yeni yöntem ve teknolojiler geliştirir. Onlar saldırır, siz her zaman savunmada olursunuz. Ve savunma hep bir adım geriden gelir. Siber güvenlik yatırımlarında öncelik, tehdidlerin ve eksikliklerin farkındalığı, sürekli tehdid istihbaratı ile, eksiklikleri gidermeye odaklanacak süreçleri sağlamaktır.
- Yönetmelik ve mevzuata uyum için etkili bir izleme yeterlidir
Öğrenme kabiliyeti izleme kabiliyeti kadar önemlidir: Şirketler bazı yönetmeliklere ve mevzuata elbette uyum sağlamak zorunda. Ancak mevzuata uyum, siber güvenlik politikasının hedefi olmamalı. Siber dünyadaki gelişmeleri ve trendleri anlayabilen, doğru politika ve strateji oluşturan şirketler siber suçla mücadelede başarılı olacak. Etkin bir siber güvenlik politikası, kesintisiz öğrenme ve gelişmeyi temel almalı.
- Siber suçtan korunmanın yolu en iyi profesyonelleri işe almak
Güvenlik sadece bir kişi veya grubun işi değildir. Herkesin sorumluluğudur ve kurumsal anlayış gerektirir: Siber güvenlik genellikle profesyonellerden oluşan bir departmanın sorumluluğu olarak görülüyor. Oysa sorumluluğu genele yaymak gerek. Yöneticiler, bilinçli yaklaşım sergilemeli ve gelebilecek tehdidlere karşı çalışanları eğitip farkındalık yaratmalıdır. Organizasyon kültürü çalışanların risklere karşı tetikte olacağı ve endişelerini üstlerine proaktif ileteceği şekilde değiştirilmelidir.