Siber Güvenlik Yatırım Getirisine Proaktif Bakış
Siber güvenlik yöneticileri, pandemi nedenli evden çalışma döneminde takımları çevrim içi ve hastalık risklerinden uzak tutmak için ellerinden gelenin en iyisini yapmaya çalışıyor, ancak yıl sonuna doğru yaklaşırken her zaman daha az kaynak ile daha fazlasını yapmak zorunda kalınabileceği düşüncesi daha hakim. Bununla beraber birçok analiz raporunda altyapı yatırımlarına yönelik ortalama %10 bütçe kesintisi olacağı yapılan değerlendirmeler arasında.
CISO bakış açısı ile pandeminin bitmesinin ardından da artçılarının olacağını düşüncesi biraz daha hakim, diğer bir yaklaşım ise pandemi riskleri ile birlikte güvenlik teknoloji ve operasyon maliyetini optimize etmek için iyi bir fırsat olabilmesi yönünde. Buradaki denge aslında ölçülebilir güvenlik riskleri ve maliyetleri ile yatırım getirisinin diğer bir anlamda teknolojik verimliliğinin ortaya konulmasında yatmaktadır. Bu analizler aynı zamanda teknolojilerin kullanımı ile yaygınlaşan teknik, operasyonel ve prosedürel süreçlerin ve farklı birimler arasında oluşan iletişim eksiklerinin de net bir şekilde belirlenerek bir süreç optimizasyonu fırsatı olarakta değerlendirilebileği görüşünde.
Sürekli Analiz
Güvenlik teknoloji ve süreç optimizasyonu aşağıdaki başlıklar baz alınarak oluşturulabilinir;
- Kıyaslama: Bağlı bulunulan sektörün mevcut riskler ve tehditlere karşı nasıl performans gösterdiğine karşı kendi organizasyonunuzun performansını karşılaştırmak yararlı olacaktır. Siber güvenlikteki çeşitli kırılımlara özel lokal ya da uluslararası analiz raporları çıktılarından yardım alarak bir KPI hedefi oluşturabilirsiniz.
- Zayıflık Analizleri: CVSS ya da risk tabanlı skorlama yöntemleri varlık envanterinizdeki potansiyel zayıflıklar konusunda size çıktı ve ölçme imkanı sağlayarak değerlendirme imkanı sunar. Buradaki en önemli ve zorlu süreç zayıflıkları sürekli olarak risk/tehdit tabanlı olarak önceliklendirmek ve ‘exploit’ edilebilir zayıflıklara göre analiz yapabilmekten geçmektedir. CVE veritabanındaki zayıflıkların ortalama olarak %20’ye yakını kurumlarda ortaya çıkabiliyor ve ancak %5 civari tehdit aktörlerinin güncel olarak kullandığı zayıflıklardan oluşmaktadır.
- Güvenliğin Doğrulanması: Güvenlik doğrulaması, altyapıların mevcut riskler karşısında ne kadar iyi performans gösterdiğini ortaya koyan çalışmalardır. Güvenlik doğrulaması genellikle kırmızı takım ya da çeşitli validasyon teknolojileri ile güvenlik yapılandırma boşluklarının nerede bulunduğunu belirlemeye yardımcı olur, bu bilgiler ile güvenlik harcamaların efektifliği ve azaltılabileceği alanları doğru bir şekilde belirlenmesine de yardımcı olmakta ve nokta atışı yeni teknolojilerin belirlenebilmesini sağlamaktadır.
- Tehdit İstihbaratı: Oltalama, sosyal mühendislik, kimlik bilgisi hırsızlığı ya da hedefli saldırılar özellikle pandemi dönemindeki risklere göre kendini hali hazırda göstermektedir. Bu nedenle kurumlar için önemli olabilecek potansiyel tehditleri anlamak ve tehdit aktörü hakkında bilgi edinmek çok önemlidir. Tehdit istihbaratı, kurumların karşılabileceği tehditlerin bağlamı, yetkinlikleri, yöntemleri ve tüm bunların ne anlama geldiğini anlamasına yardımcı olur, böylece güvenlik takımları proaktif olarak riskleri önceliklendirebilir ve yönetebilir.
- Operasyonel Hedefler: Bu süreç içerisinde iş hedefleri nasıl değişti ve gelişen yeni şartların iş süreçlerine ve doğal olarak siber güvenlik altyapısına olan etkileri nelerdir? Organizasyonunuzun tehditleri etkin bir şekilde önleme, tespit etme ve bunlara yanıt verme yeteneğini proaktif olarak değerlendirmek ve karşılığında genel güvenlik duruşunu iyileştirmek için değerlendirme yapmak.
Bu pratikler ve çıktıları ışığında güvenlik riskleri ile uyumlu bir yatırım ve operasyonel efektiflik senaryoları oluşturmak mümkün olabilir. Bunlar tamamen en iyi durum ve en kötü durum yaklaşımıyla oluşturulan ve her bir senaryoya yanıt vermek için gerekli plan tanımlamaları (PlayBooks) içerecek adımları içermelidir.
Maliyet Azaltmayı Değil, Optimizasyonunu Düşünmek
Konu sadece maliyetleri düşürmek olduğunda, güvenlik ekipleri politika ve prosedürleri uygulama, güvenlik açıklarını giderme, cevap verme ve genel güvenlik etkinliğini artırma fırsatlarını kaçırabilir. Bu nedenle, maliyet optimizasyonuna ulaşmak için proaktif ve reaktif yaklaşımları bir arada değerlendirmek daha yerinde olcaktır. Dikkate alınacak unsurlar şunlardır:
- Ürün hizmet tedariğinde en iyi fiyat ve şartları elde etmek için konsolidasyon yapmak.
- Güvenlik etkinliği, iş gücü ve teknoloji verimliliği sağlamak için güvenlik verimliliği ve analiz verilerini sağlıklı yorumlayabilmek.
- Operasyonel Optimizasyon, büyük altyapılarda çalışırken uyumluluk ve politika, prosedürel süreçlerin optimizasyona giderek OpeX’in düşürülmesi.
- İş gücü ihtiyacını planlamak, güvenlik operasyonları ile operasyonel verimlilik arasında bağ kurabilmek, ek işe alımlar gerekiyorsa bunlarla bağlantılı olabilecek kısa ve uzun vadeli planları oluşturabilmek.
Çoğu durumda, maliyet optimizasyonu girişimleri, tasarruf edilen maliyet ile yönetilmesi riskin çıktısı arasındaki dengeye bağlıdır ve çok iyi analiz edilerek yorumlanması gerekir. Güvenliğin sağladığı potansiyel değerin herhangi bir riskten ağır basıp basmadığını belirlemek ve her seçenek iyi düşünmek gerekmektedir. CISO’lar bu değerlendirmeleri yaparken riske en az maruz kalmayı ve operasyonel verimliliği istenilen seviyede tutabilecek şekilde planlanlarını uygulamalıdır.
Detaylı çözüm ve bilgi için sales@inforte.com.tr