Güçlü bir siber güvenlik geçmişine sahip 250 şirketteki bilgi güvenliği başkanlarıyla yapılan anket, etkili bir güvenliğin nasıl inşa edilebileceğini ortaya koyuyor. Siber güvenlik faaliyetlerinde başarılı olmak için ilk kural şirketlerde Bilgi Güvenliği Başkanı (CISO) istihdam etmek.
MELİH BAYRAM DEDE
1- Bilgi güvenliği başkanı (CISO) olması güç katar: Güçlü bir siber güvenlik kültürüne sahip olan şirketler arasındaki en güçlü ortak noktalardan biri, bu kurumlarda mutlaka güvenlikten sorumlu başkan bulunması geliyor. Ankete katılan şirketlerin yüzde 86’sında bir CISO (Bilgi Güvenliği Başkanı) bulunuyor ancak 2018’in başlarında yapılan başka bir çalışma, günümüzde şirketlerin yüzde 48’inde hala bir CISO’nun bulunmadığını ortaya koyuyor. Komtera Teknoloji güvenlik uzmanlarına göre, CISO’ya kıyasla CEO’nun, yönetim kurulu ve güvenlik ekibinin siber güvenlik politikalarını geliştirmede yetersiz kalışı büyük sorun yaratıyor.
2 - Güvenlik ekibi ve yönetim kurulu birlikte çalışmalı: Güçlü bir siber güvenlik kültürü, CISO başta olmak üzere güvenlik ekibi ile üst düzey yönetim arasındaki ince ilişkiye dayanıyor. Ankete katılan uzmanların yüzde 97’sine göre şirketler güçlü siber güvenliğin önemini anlıyor. Yüzde 96’sı ise siber güvenlik politikalarının yönetim kurulunun belirlediği stratejilerle tam bir uyum içinde olduğunu belirtiyor. Bu uyumun sadece üst kademedeki çalışanlarla güvenlik ekibi arasında değil, şirket ile bulunduğu sektör arasında da kurulması, başarıyı artırıyor. Şirketlerdeki güvenlik ekipleri ile üst düzey görevliler arasındaki düzenli toplantılarla yöneticiler de sürece dahil edilerek şirket önceliklerine göre ortaklaşa hareket edilebiliyor.
3- Risk yönetimi politikaları kurularak geliştirilmeli: Doğru bir risk yönetimi politikası, siber güvenliğin en önemli kaynaklarından birini oluşturuyor. Belirlenen kuralların rasyonel, tekrarlanabilir, şirket verileri ve kimliği ile tamamen alakalı özelliklerde olması gerekiyor. Bu politikaların belirlenme aşamasında siber riskler ile ilgili stratejiler gözden geçiriliyor, gerekirse değiştirilerek iyileştiriliyor ve verilerin bulunduğu yerin risk oranı ve farklı veri gruplarının kritikliği araştırılıyor. Veri merkezli iyileştirmeler kimlik odaklı fikirlerin dahil edilmesiyle geliştirilebiliyor.
4 - Güvenlik çalışanı uzun süre istihdam edilmeli: Anket verileri, güvenlik odaklı şirketlerin yüzde 79’unun güvenlik ekibindeki çalışanları üç yıl veya daha fazla sürede ekibinde tutabildiğini, yüzde 37’sinin ise bu konudaki ortalamasının 5 yıldan fazla olduğunu gösteriyor. Bilgi teknolojieri (IT) çalışanlarının arasında bir kariyer sıçraması yapmak isteyen şirketler onları fazladan eğiterek boşlukları dolduruyor. Çalışanlara destek olarak yetenek geliştirme eğitimleri veren kurumlardaki ekip üyeleri, iş değiştirme ihtiyacı duymuyor. Şirketlerin yüzde 70’inin ekiplerine bu şekilde eğitim ve destek vermesi, yüzde 57’sinin sertifika alma fırsatları sunması ve yüzde 55’inin IT çalışanlarına ek beceriler katması bu düşünceyi destekliyor.
(23 Ekim 2018 tarihinde Yeni Şafak’ta yayınlanmıştır.)
MELİH BAYRAM DEDE
2 - Güvenlik ekibi ve yönetim kurulu birlikte çalışmalı: Güçlü bir siber güvenlik kültürü, CISO başta olmak üzere güvenlik ekibi ile üst düzey yönetim arasındaki ince ilişkiye dayanıyor. Ankete katılan uzmanların yüzde 97’sine göre şirketler güçlü siber güvenliğin önemini anlıyor. Yüzde 96’sı ise siber güvenlik politikalarının yönetim kurulunun belirlediği stratejilerle tam bir uyum içinde olduğunu belirtiyor. Bu uyumun sadece üst kademedeki çalışanlarla güvenlik ekibi arasında değil, şirket ile bulunduğu sektör arasında da kurulması, başarıyı artırıyor. Şirketlerdeki güvenlik ekipleri ile üst düzey görevliler arasındaki düzenli toplantılarla yöneticiler de sürece dahil edilerek şirket önceliklerine göre ortaklaşa hareket edilebiliyor.
3- Risk yönetimi politikaları kurularak geliştirilmeli: Doğru bir risk yönetimi politikası, siber güvenliğin en önemli kaynaklarından birini oluşturuyor. Belirlenen kuralların rasyonel, tekrarlanabilir, şirket verileri ve kimliği ile tamamen alakalı özelliklerde olması gerekiyor. Bu politikaların belirlenme aşamasında siber riskler ile ilgili stratejiler gözden geçiriliyor, gerekirse değiştirilerek iyileştiriliyor ve verilerin bulunduğu yerin risk oranı ve farklı veri gruplarının kritikliği araştırılıyor. Veri merkezli iyileştirmeler kimlik odaklı fikirlerin dahil edilmesiyle geliştirilebiliyor.
4 - Güvenlik çalışanı uzun süre istihdam edilmeli: Anket verileri, güvenlik odaklı şirketlerin yüzde 79’unun güvenlik ekibindeki çalışanları üç yıl veya daha fazla sürede ekibinde tutabildiğini, yüzde 37’sinin ise bu konudaki ortalamasının 5 yıldan fazla olduğunu gösteriyor. Bilgi teknolojieri (IT) çalışanlarının arasında bir kariyer sıçraması yapmak isteyen şirketler onları fazladan eğiterek boşlukları dolduruyor. Çalışanlara destek olarak yetenek geliştirme eğitimleri veren kurumlardaki ekip üyeleri, iş değiştirme ihtiyacı duymuyor. Şirketlerin yüzde 70’inin ekiplerine bu şekilde eğitim ve destek vermesi, yüzde 57’sinin sertifika alma fırsatları sunması ve yüzde 55’inin IT çalışanlarına ek beceriler katması bu düşünceyi destekliyor.
(23 Ekim 2018 tarihinde Yeni Şafak’ta yayınlanmıştır.)
Yorumlar