Siber güvenlikte şirket içi tehditlere yönelik 5 yatırım önerisi
Şirketlerin siber güvenlik yatırımlarını belirlerken iç tehditleri de göz önünde bulundurması büyük önem taşıyor. Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin güvenlik uzmanları, iç tehditler başta olmak üzere şirketlerin çeşitli siber güvenlik problemlerine karşılık güvenlik bütçesini nasıl yönetebileceği ile ilgili ipuçları paylaşıyor.
Şirketlerin olası siber tehditlere karşı yeterince savunma sağlayabilecek kapasitede olup olmadığını kontrol etmeleri için tüm olasılıkları düşünerek hareket etmesi gerekiyor. İç tehditler başta olmak üzere çeşitli siber riskler arasında doğru paylaşımların yapıldığı bir yatırım planı oluşturmanın oldukça önemli olduğuna dikkat çeken Komtera Teknoloji güvenlik uzmanları, hem gerçekçi hem de esnek bir siber güvenlik bütçesine sahip olmak için 5 öneride bulunuyor.
1. İç tehdit ihtimalini ciddiye alın. Global düzeyde yıllık ortalama 8,76 milyon dolar değerinde bedel yaratan iç tehditlerin yaygınlığından kaynaklanan ciddi tehlikeye rağmen çoğu şirket, teşkil edebileceği büyük problemleri fark etmediği iç tehditlere karşı bütçe ayırmıyor. Azınlıkta kalan şirketler ise bu ihtiyaçlarını karşılayabilecekleri maddi imkanı bulamıyor.
Güncel bir ankete göre şirketlerin %87’si iç tehdit yönetimi için en az %50 daha fazla bütçeye ihtiyaç duysa da sadece %12’si 2019 için %25’den daha fazla bütçe artışı almayı bekliyor. Ponemon Institute’nin son raporunda ise şirketlerin %34’ü iç tehditlere karşı savunmaya engel olarak bütçe eksikliğini gösteriyor. Olası sorunları önleyecek küçük bir savunma bütçesi ayırmak istemeyen şirketlerin, iç tehditlerden kaynaklanan yüksek bedellerle yüzleşebileceğini hatırlayarak adım atması gerekiyor.
2. Tehdit profilinizi anlayın. En çok hangi tipteki tehditler ile karşılaşma ihtimalinin olduğunu düşünmeden yatırım planı oluşturmak, oldukça yaygın yapılan hatalardan birini oluşturuyor. Yeni bir araştırmaya göre siber saldırılar ve insan hatalarıyla ortaya çıkan siber tehditler arasında nasıl bir bütçe ayrımı yapıldığı sorulduğunda katılımcıların %56’sı cevap veremiyor. İç tehditler gibi pek çok tehdide karşı ayıracakları bütçeye karar vermek için şirketlerin güvenlik trendlerini hem global bazda hem de sektör bazında araştırması ve kendilerine ait siber vaka geçmişlerine de dikkat etmesi kritik önem taşıyor.
3. İç tehditlere karşı savunma aracınızı doğru seçin. Siber güvenlikte kullanılan çoğu aracın iç tehdit yönetimi konusunda yardımcı olabileceği iddia edilse de durum hiç öyle olmayabiliyor. Kurulumları bile çok büyük emek isteyen bu yazılımlar, tehditleri genelde zamanında fark edemiyor.
Şirketlerin kısıtlı erişim yönetimi, kullanıcı hareketleri takibi, kullanıcı davranışları analitiği, etkinlik yönetimi sistemleri gibi farklı alanlardaki çeşitli programları hangisinin iç tehdit yönetimlerinde kendileri için işe yarayacağını bilmeden bütçeye dahil etmeleri, yatırım planlarını gerçekçilikten uzak kılıyor. Bu nedenle öncelikli olarak detaylı bir araştırma ile bu araçların işlev ve uygunluğunun anlaşılmasına ihtiyaç bulunuyor.
4. En çok bedel yaratan iç tehdit çeşitlerine odaklanın. Ponemon Institute’nin İç Tehdit Bedeli Raporu, öncelikle üç iç tehdit çeşidine odaklı yatırım yapılabileceğini gösteriyor. Düzenli takibin yararlı olacağı bu alanlar, çalışan ya da sözleşme sahiplerinin ihmalleri, kötü niyetli çalışanların varlığı ve kimlik hırsızlıkları şeklinde sıralanabiliyor.
5. Ceza bedelleri gibi fazladan oluşabilecek bedelleri aklınızda tutun. Özellikle gizlilik ve güvenlik düzenlemelerinin yeni yasalar tarafından korunduğu ülkelerde bulunan şirket yetkililerinin veri sızıntılarından kaynaklanacak legal prosedürleri ve olası para cezalarını akıllarında tutması gerekiyor. Avrupa Birliği’nde yürürlüğe giren Veri Koruma Kanunları, veri sızıntısı vakalarını iyi yönetemeyen şirketlere yıllık gelirlerinin %4’üne kadar çıkabilecek cezalar veriyor. Her ne kadar böyle yüksek bir bütçenin uzun süre boyunca bir kenara ayrılması şart olmasa da, veri sızıntısının ve ilişkili cezanın yaratacağı maddi bedellerin vaka öncesinde alınacak önlemler için yapılan yatırımlara göre ne kadar büyük olacağının düşünülmesi göz önünde bulundurularak bütçenin planlanması yarar sağlıyor.