Şirketlerin %48’inde bilgi güvenliği başkanı yok!

Şirketlerde güçlü bir siber güvenlik kültürü oluşturmanın öneminden sürekli bahsedilmesine rağmen böyle bir kültürün aslında ne demek olduğu veya nasıl sağlanabileceği ile ilgili bilgiler çoğunlukla yetersiz kalıyor. Siber güvenlik performansları yüksek olan 250 şirketle yapılan bir anket, başarıya giden yoldaki ortak güvenlik uygulamalarını ortaya çıkarıyor. Anket verilerini değerlendiren Komtera Teknoloji güvenlik uzmanları, şirketlerin güçlü bir siber güvenlik kültürü oluşturmak için izlemesi gereken davranışları 4 başlıkta topluyor.

1. Şirketlerde bilgi güvenliği başkanı (CISO) bulundurulmalı. Güçlü bir siber güvenlik kültürüne sahip olan şirketler arasındaki en güçlü ortak noktalardan biri, bu kurumlarda mutlaka güvenlikten sorumlu bir başkanın bulunması geliyor. Ankete katılan şirketlerin %86’sında bir CISO (Bilgi Güvenliği Başkanı) bulunuyor ancak 2018’in başlarında yapılan başka bir çalışma, günümüzde şirketlerin %48’inde hala bir CISO’nun bulunmadığını ortaya koyuyor.

CISO’ya kıyasla CEO’nun, yönetim kurulu ve güvenlik ekibinin siber güvenlik politikalarını ve teknolojilerini geliştirmede oldukça yetersiz kalışı büyük sorun yaratıyor. Bu nedenle şirketin siber güvenlik düzeyinin farkında olan bir CIO’nun işe alınması ve bu uzmanın gerçekleşen herhangi bir saldırıdan, siber güvenlik ile ilgili eğitim, araç ve cihaz eksikliklerine kadar güvenlik ile ilgili her konuda daima bilgi sahibi olması gerekiyor.

2. Güvenlik ekibi ve şirketin yönetim kurulu güvenlik kurallarını ortak almalı. Güçlü bir siber güvenlik kültürü, CISO başta olmak üzere güvenlik ekibi ile üst düzey yönetim arasındaki ince ilişkiye dayanıyor. Ankete katılan teknoloji uzmanlarının %97’sine göre çalıştıkları şirketler güçlü bir siber güvenliğin önemini anlıyor. %96’sı ise siber güvenlik politikalarının yönetim kurulunun belirlediği stratejilerle tam bir uyum içinde olduğunu belirtiyor. Ayrıca bu uyumun sadece üst kademedeki çalışanlarla güvenlik ekibi arasında değil, şirket ile bulunduğu sektör arasında da kurulması, başarıyı artırıyor.

Şirketlerdeki güvenlik ekipleri ile üst düzey görevliler arasındaki düzenli toplantılarla yöneticiler de sürece dahil edilerek şirket önceliklerine göre ortaklaşa hareket edilebiliyor. Bu görüşmelerde şirketin veri haritasının, yeni güvenlik süreçlerinin ve gölge IT denilen, IT ekibinin bilgisi olmadan yapılan davranışların incelenmesi büyük önem taşıyor. Ayrıca güvenlik kayıtlarının, vakalara karşı savunma planlarının, stratejik yatırımların güncellenmesi ve siber güvenlik prosedürlerinin iş süreçlerine hızlı bir şekilde adapte edilmesi de bu toplantılarla kolayca gerçekleştirilebiliyor.

3. Resmi risk yönetimi politikaları kurularak geliştirilmeli. Doğru bir risk yönetimi politikası, siber güvenliğin en önemli kaynaklarından birini oluşturuyor. Belirlenen kuralların rasyonel, tekrarlanabilir, şirket verileri ve kimliği ile tamamen alakalı özelliklerde olması gerekiyor.

Bu politikaların belirlenme aşamasında siber riskler ile ilgili stratejiler gözden geçiriliyor, gerekirse değiştirilerek iyileştiriliyor ve verilerin bulunduğu yerin risk oranı ve farklı veri gruplarının kritikliği araştırılıyor. Yapılan veri merkezli iyileştirmeler, daha sonra kimlik odaklı fikirlerin dahil edilmesiyle daha çok geliştirilebiliyor.

4. Güvenlik çalışanlarının aynı şirkette uzun süre kalması hedeflenmeli. Güçlü siber güvenliğin en büyük işaretlerinden biri, şirketin bulduğu yetenekleri sadece işe alım sürecinde kazanması değil daha sonra da ekipte tutabilmesi oluyor.Anket verileri, güvenlik odaklı şirketlerin %79’unun güvenlik ekibindeki çalışanları üç yıl veya daha fazla sürede ekibinde tutabildiğini, %37’sinin ise bu konudaki ortalamasının 5 yıldan fazla olduğunu gösteriyor.

En iyi güvenlik profesyonellerini bulmak ve bünyesinde korumak isteyen şirketler için sürekli büyüme göstermek ve çalışanlar için sürekli yeni öğrenme fırsatları üreterek etkileşim yaratmak kilit rol oynuyor. Ayrıca bu şirketlerin bazıları yetenekleri kendi içlerinde, neredeyse sıfırdan geliştiriyor. IT çalışanlarının arasında bir kariyer sıçraması yapmak isteyen şirketler onları fazladan eğiterek boşlukları dolduruyor. Çalışanlara kariyerlerinde destek olarak yetenek geliştirme eğitimleri veren kurumlardaki ekip üyeleri, memnuniyetleri sayesinde iş değiştirme ihtiyacı duymuyor. Ankete katılan şirketlerin %70’inin ekiplerine bu şekilde eğitim ve destek vermesi, %57’sinin sertifika alma fırsatları sunması ve %55’inin IT çalışanlarına ek beceriler katması bu düşünceyi destekliyor.