Yakın zamanda yapılan bir Kaspersky araştırması, üst düzey yöneticilerin üçte birinin DDoS, botnet ve APT gibi terimleri bilmediğini ortaya koyuyor. Türkiye’deki yöneticilerin yüzde 42’si, BT ve BT güvenliği ile bir yapılan toplantılardan bir şeyi anlamadıkları belirtmekten çekineceklerini söylerken, yüzde 43’ü bu konudaki kafa karışıklıklarını gizlemeyi tercih ediyor.

İşin her aşamasına yön veren kararlarda siber güvenliği göz önünde bulundurmak günümüzde bir norm haline gelmiş olsa da birçok yönetici siber güvenlik harcamalarının kurumlarının karşı karşıya olduğu en önemli risklere karşı koyabilecek şekilde yönlendirildiğinden emin olamıyor. Kaspersky, BT ve üst düzey yöneticilerin bu konuda ortak bir zeminde buluşmasına yardımcı olmak ve yanlış anlamaların nedenlerini keşfetmek için özel bir araştırma gerçekleştirdi.

Üretken yapay zekâ uygulamalarına dikkat çekildi Üretken yapay zekâ uygulamalarına dikkat çekildi

Kaspersky anketi, C seviyesi yöneticilerin bazı durumlarda BT güvenliğine dair konuları anlamakta zorlanmakla birlikte bu konudaki kafa karışıklığını itiraf etmeye her zaman hazır olmadığını gösteriyor. Türkiye’deki yöneticilerin yüzde 42’si, BT ve BT güvenliği ile bir yapılan toplantılardan bir şeyi anlamadıkları durumda bunu belirtmekten çekineceklerini söylüyor. Yüzde 43’ü bu konudaki kafa karışıklıklarını gizliyor ve her şeyi toplantıdan sonra kendi çabalarıyla açıklığa kavuşturmayı tercih ediyor, yüzde 42'si ise BT alanındaki meslektaşlarının bunu basit bir şekilde açıklayabileceğine inanmadıkları için ek soru sormuyor. Türkiye’den araştırmaya katılanların yarısından fazlası (yüzde 53) konuyu anlamadıklarını ifade etmekten çekiniyor ve yüzde 47'si bunu BT’den anlayan meslektaşlarının önünde bilgisiz görüntüsü vermemek için yapıyor.

DDoS, botnet ve APT gibi terimler tam olarak bilinmiyor

Ayrıca ankete katılan tüm üst düzey yöneticiler güvenlikle ilgili konuları BT güvenlik yöneticileriyle düzenli olarak konuşsa da, yüzde 33'ü botnet'in, yüzde 32'si APT'nin ve yüzde 37'si DDoS saldırısının ne olduğunu tam olarak açıklayamıyor. Bununla birlikte Spyware, Malware, Trojan ve Phishing gibi kavramlar üst düzey yöneticilerin kulağına daha tanıdık geliyor.

Aşağıdaki ifadelerden hangisi aşağıdaki tehditler hakkındaki bilgi ve anlayışınızı en iyi şekilde tanımlamaktadır?

Türkiye’deki bazı üst düzey yöneticiler DevSecOps (yüzde 15), ZeroTrust (yüzde 13) ve Pentesting (yüzde 7) gibi siber güvenlik terimlerini hiç duymadıklarını itiraf ediyor.

Kaspersky Çözüm Mimarı Sergey Zhuykov, şunları söylüyor: "BT harici üst yönetimin karmaşık siber güvenlik terminolojisi ve kavramları konusunda uzman olması gerekmiyor. BT güvenlik yöneticilerinin yönetim kuruluyla iletişim kurarken bu durumu aklında tutması gerekiyor. Sİber güvenlik konusunda etkili bir işbirliği kurmak için CISO, C düzeyi yöneticilerin dikkatini tam olarak anlamlı ayrıntılara odaklayabilmeli ve şirketin siber güvenlik risklerini en aza indirmek için tam olarak ne yaptığını açıkça anlatabilmelidir. Bu yaklaşım, paydaşlara net metrikler iletebilmenin yanı sıra sorun yerine çözüm sunmayı gerektirir."

Kaspersky, BT güvenliği ile şirket içindeki iş birimleri arasındaki iletişimi kolaylaştırmak için aşağıdakileri öneriyor:

·        BT güvenliği, kurumda büyüme ve inovasyon için bir itici güç olarak konumlandırılmalıdır. Bunu başarmak için BT güvenlik ekibi kısıtlayıcı ve yasaklayıcı taktiklerden uzaklaşmalı ve siber güvenlik risklerini azaltırken işletmenin hedeflerine nasıl ulaşabileceğini açıklamalıdır.

·        CISO’lar operasyonel faaliyetlere aktif olarak katılmalı ve şirketin paydaşlarıyla ilişkiler kurmalıdır. CISO'ların satış, finans ve pazarlama alanlarındaki kilit yöneticilerle iş birliği yaptığı göz önüne alındığında, işletmenin ihtiyaçlarından haberdar olmaları zordur.

·        Yönetim kuruluyla iletişim kurarken, uzmanlar tarafından tehditlere dair genel bir bakış açısı eşliğinde, şirketinizin saldırıya uğrama durumuna ve bu alandaki en iyi uygulamalara dayanan argümanlara başvurmalısınız.

·        Yönetim kuruluna BT güvenlik ekibinin temel sorumluluklarının neler olduğunu açıklayın. Mümkünse, en önemli BT güvenlik zorlukları hakkında fikir edinmek için onlara bir CISO'nun yerine geçme fırsatı verin.

·        Siber güvenlik yatırımlarınızı etkinliğini ve yatırım getirisini kanıtlanmış araçlara ayırın. Yanlış pozitif seviyesini düşüren, saldırı tespit sürelerini, vaka başına harcanan zamanı ve diğer ölçümleri azaltan araçlar tüm BT güvenlik ekipleri için son derece büyük önem taşır.

Raporun tamamına ve C-seviyesi ile BT güvenlik yöneticileri arasındaki iletişim sorunlarına ilişkin daha fazla bilgiye bu bağlantıdan ulaşabilirsiniz.

Editör: Yaren Akkuş