Siber dayanıklılık kazanmak için yapılması gerekenler
20.01.2021
Sosyal Medya

Siber dayanıklılık kazanmak için yapılması gerekenler

Son dönemin en popüler güvenlik kavramı olan siber dayanıklılık nedir, kurumlar bu yetkinliği kazanmak için hangi adımları izlemeli, hangi özellikleri uygulamaya almalı, bu yazımızda anlattık.

Siber tehditlerin sayısı her geçen gün artarken, Nesnelerin İnterneti (IoT) ve mobil cihazların sayısındaki artış da güvenlik mekanizmaları için ihtiyaç duyulan gereksinimleri değiştiriyor. Üstelik bu değişim ne ilk ne de son; aksine, sürekli devam eden yarışın bir başka aşaması.

Dijitalleşme çağında işlerini güvenlik risklerine karşı korunaklı sürdürmek isteyen kurumların, köşe kapmaca benzeri sürekli önlem artırma yaklaşımının ötesinde, etkili ve kökten bir yaklaşıma ihtiyacı var. İşte siber dayanıklılık tam da bu noktada imdada yetişiyor.

Siber dayanıklılık nedir?

Siber dayanıklılık (cyber resilience) terimindeki İngilizce resilience kelimesinin kökeni, psikoloji bilimine dayanır ve insanların olumsuz durumlara karşı gösterdiği duygusal direnci tanımlamak için kullanılır. Siber dayanıklılık ise bir kurumun içeriden veya dışarıdan gelen, bilinçli veya bilinçsiz sebep olunan tehditlere uyum sağlama ve bunlara karşı koyma yeteneğini tanımlar. Siber dayanıklılık, şirket için önemli verilerin ve hizmetlerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunmasıyla ölçülür.

Adım adım siber dayanıklılık

Bir siber dayanıklılık planının ilk adımı başlıca güvenlik tehditlerini saptamaktır. Mimecast E-Posta Güvenliği Durum Raporuna göre; ABD, İngiltere ve Almanya’daki bini aşkın BT yöneticisi, tehdit koruması, uyarlanabilirlik, direnç ve kurtarılabilirlik konularında zorluk yaşadıklarını belirtiyorlar.

Tehdit koruması, saldırıları önlemek için kullanılan klasik savunma biçimidir. Ancak bu savunmayı etkili şekilde kullanmak, BT güvenlik araçlarından daha fazlasını gerektirir. BT yöneticilerinin bu konuda karşılaştığı zorluk, son teknolojiye uyum sağlamaktır. Bunu sağlamak, siber güvenlik yatırımlarının sürekli en yüksek seviyede olmasını gerektirir ve bu, birçok kurum için uygulanabilir değildir. Bu nedenle, halihazırda tercih edilen çözüm ve hizmetleri daha verimli değerlendirmek önemlidir.

Öte yandan, insan faktörü sürekli olarak hesaba katılmalıdır. Çalışanlar, güvenlik risklerine karşı bilinçlendirilmeli ve modern saldırıları tanımaları için düzenli olarak eğitilmelidir. Bu uyum sağlama yeteneği siber dayanıklılık oluşturmada temel bir rol oynar.

Direnç, başarılı bir saldırı durumunda bile tüm kurumsal süreçleri sürdürme becerisiyle ilgilidir. İş süreçlerinin tutarlılığı, aslında bir güvenlik konusudur. Çoğu şirket verilerini yedekler ancak bir saldırı anında bu yedeklere ulaşabilmek de önemlidir. BT yöneticilerinin bir saldırı durumunda operasyonlarda kesinti yaşanmaması için kendi mekanizmalarını uygulamaya koymaları gerekir. Bu mekanizmaların yedeklere ya da kritik sistemlere erişimi önleyip önlemediği, önceden yapılacak tatbikatlarla ve siber saldırı durum planları ile ortaya konmalıdır.

Küresel çapta uygulanmaya konan kişisel verileri koruma yasaları, kullanıcı verilerini çaldıran şirketlere büyük parasal cezalar kesilmesini öngörüyor. Firmalara asıl büyük kayıpları ise sistemlerinin kapalı kaldığı süre yaşatıyor. İdeal senaryoda, bir sistem arızası durumunda başka bir çözümün devreye girmesi ve kesintisiz kullanılabilirliği garanti etmesi gerekir. Etkilenen öğelerin kurtarılması da aynı şekilde sorunsuz işlemelidir.

Kurumlar siber dayanıklılık konusunda ne kadar başarılı?

Mimecast araştırmasına göre, Avrupalı BT yöneticilerinin en büyük sorunu e-posta tabanlı saldırıların ortaya koyduğu tehditler. Ankete katılanların yüzde 65'i son bir yılda e-posta üzerinden gerçekleştirilen saldırıların arttığını belirtiyor. Bu noktada kurumsal kullanıcıların tehditlere karşı bilinçlendirilmesi kritik önem arz ediyor.

Diğer yandan, yönetim kurulları da özellikle risk altında görünüyor. Anket katılımcılarının yüzde 88'i, geride kalan yılda en az bir iş ortağının adresinin ele geçirildiğini ve bu adresten oltalama saldırısı aldıklarını belirtiyor.

Kritik bilgilerin büyük bölümüne erişebilen yönetim kurulu üyelerinin, içinde olabilecekleri zaman baskısı ya da sık seyahat etme gibi durumlar, aslında siber saldırganlar için birer fırsat niteliği taşıyor. Bu da, kötü amaçlı e-posta saldırılarının bu isimleri hedeflemesinin en önemli sebebi olarak değerlendirilebilir.

Çalışma, insan faktörünün tüm veri ihlallerinin yüzde 90'ında kilit bir rol oynadığını belirtiyor. Bir saha testi, zararlı bir bağlantı içeren e-posta gönderilen 6500 kullanıcıdan 500'ünün bir saniyeden kısa bir sürede bu bağlantıya tıkladığını ortaya koyuyor.

İşgücüne siber farkındalık eğitimi verenlerin artması, olumlu bir gelişme, ancak Avrupalı şirketlerin yalnızca yüzde 51'i bu konuda düzenli eğitimler veriyor. Bir şirketteki her çalışan, unvanı ne olursa olsun, BT güvenliğinde kilit bir rol oynadığını anladığında, siber güvenlik mücadelesinde avantaj sağlanabilir.

Kurumların siber dayanıklılık konusunda adım atmaları, büyük ölçüde yaklaşım değişimine bakıyor. Bu değişimde de insan kilit bir rol oynamaya devam ediyor.

Öne Çıkan Yazılar
Kripto para güvenliği için Soğuk Cüzdan nedir ve nasıl kullanılır?
Kripto para güvenliği için Soğuk Cüzdan nedir ve nasıl kullanılır?
Kripto para güvenliği, dijital para birimlerine yatırım yapan, bunların alım satımıyla uğraşan herkes için dikkat edilmesi...
26.07.2021
Güvenlik
İki faktörlü kimlik doğrulama (2FA) internette güvende kalın
İki faktörlü kimlik doğrulama (2FA) ile internette güvende kalın
İki faktörlü kimlik doğrulama ya da kısaca 2FA olarak bilinen güvenlik önlemi, internetteki giriş işlemlerinde hızlı ve pratik...
28.09.2020
Güvenlik
Güvenli işlemler için Blockchain alternatifi: Akıllı Kontratlar
Güvenli işlemler için Blockchain alternatifi: Akıllı Kontratlar
Akıllı Kontratlar, bilgisayar protokollerine bağlı çalışan sözleşmelerdir ve Blockchain (blok zinciri) üzerinde çalışan dijital...
18.11.2020
Güvenlik
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital Dönüşümde Siber Güvenlik neden önemli?
Dijital dönüşümde, sürecin ilerleyen adımlarına bırakılan siber güvenlik, planlama aşamasında ele alınarak dijitalleşmeye...
18.09.2020
Güvenlik
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO 27001 standardının 2013 revizyonunda neler değişiyor?
ISO27001 2013 revizyonu ile neler değişti? Belgelendirme ve belge yenilemesi sürecinde şirketleri neler bekliyor?
11.11.2013
Güvenlik
KVKK Hakkında Bilinmesi Gerekenler  
KVKK Hakkında Bilinmesi Gerekenler
Bilgi teknolojilerinin yaygınlaşması, bazı güvenlik risklerini de beraberinde getiriyor. Bireylerin yanı sıra, kurumların...
20.08.2020
Güvenlik