Red Hat, Siber Güvenlikte İnsan Kaynağı Problemini ve Üstesinden Gelmenin 4 Yolunu Açıklıyor

Yeni bir kurumsal uygulama süratlice geliştirilirken güvenlik geri planda kalabiliyor. Bu da güvenlik gruplarının kâfi büyüklükte olmamasına ve iş yükünün yüksek olmasına neden oluyor. Tıpkı vakitte kâfi maharetlere sahip siber güvenlik profesyonelini her şirket takımına dahil etmek istiyor ve siber güvenlik durumlarıyla ilgili iş ölçüsü da artmaya devam ediyor.

Siber güvenlikte insan kaynağı eksikliği, kurumların datalarını, parasını, vaktini ve saygınlığını ele geçirmeyi hedefleyen siber hatalılardan daha büyük bir tehlike oluşturabiliyor. COVID-19’un akabinde güvenliğin birtakım hususlarda art plana atılmasıyla siber güvenlik insan kaynağında yaşanan zahmetler çok daha büyüyor.
COVID-19 öncesinde yetenekli siber güvenlik çalışanlarını bulmak ve elde tutmak zordu, çalıştırmak da kıymetliydi. Pandemiyle birlikte siber güvenlik alanındaki yetkinlik eksikliğini gidermek için gösterilen değerin yerini konuttan çalışma özelliklerini artırma ve sıfırdan oluşturma aldı. Birçok şirket proaktif güvenlik üzerine çalışmayı ertelemesiyle siber güvenlik alanındaki insan kaynağında büyük boşluklar oluşmaya başladı.

Memleketler arası ve kar gayesi gütmeyen üyelik kuruluşu olan (ISC)2‘nin pandemi öncesinde gerçekleştirdiği araştırmaya göre siber güvenlik alanında Amerika’da yaklaşık 500.000 kişilik açık bulunuyor. Kuruluş, Amerika’da iddia edilen çalışan sayısıyla ortadaki boşluğu birleştirdiğinde Amerika’daki şirketlerin gereksinimlerini bugün karşılaması için iş gücünün yüzde 62 büyümesi gerekiyor. Araştırmada yer alan 11 iktisatta yer alan yaklaşık 2,8 milyon çalışan ve 4,07 milyon kişilik boşluk göz önünde bulundurulduğunda tüm dünyada çalışan sayısının yüzde 145 artması gerekiyor.

Bu araştırmayı oluşturan anketi cevaplayanlar, kâfi hünere yahut tecrübeye sahip olmayan siber güvenlik çalışanı eksikliğinin en kıymetli kaygıları olduğunu ve çalışan boşluğunun şirketlerini orta yahut yüksek düzeyde bir riske sokuyor. Ponemon Institute’un gerçekleştirdiği 2020 Cost of a Veri Breach Report araştırması da COVID-19 tüm dünyaya yayılmadan birkaç ay evvel başladı fakat uzaktan çalışanların potansiyel tesiriyle ilgili destekleyici sorular, şirketlerin yüzde 76’sının potansiyel bir bilgi ihlaline karşılık vermeyi zorlaştıracağını düşündüğünü ortaya çıkardı.

Red Sınır Türkiye Genel Müdürü Haluk Tekin: “Ponemon’un araştırması, ortalama bir data ihlalinin maliyetini 3,86 milyon dolar olarak belirliyor. Bu yüzden siber güvenlik olayını başlamadan engellemek kritik ehemmiyete sahip. Siber güvenlik açığını bir anda kapatmak mümkün olmayabilir fakat şirketlerin çalışan almak yerine yapabilecek birçok şey var.”

1. İç güvenlik eğitimi ve sertifika programı oluşturmak

Farkındalığa sahip şirketler, gerçek bir siber güvenliğim kültürel değişim gerektirdiğini biliyor. Aşikâr bir kademeye kadar siber güvenlik, her çalışanın sorumluluğu olmalı. Haluk Tekin, bu durumu “Her ne kadar pazarlama yöneticisinin şirketi siber saldırganlara karşı müdafaası gerekmese de her çalışanın bir güvenlik eğitimine ve sertifika programına katılması gerekiyor. Bu programların PowerPoint sunumu yerine çalışanların etkileşime geçebileceği, siber güvenlik tehditlerini anlayabileceği ve tehditleri savuşturmak için oynadıkları rolleri anlayabilecekleri eğitimler olması gerekiyor” diyerek açıklıyor.

2. Güvenlik alanında bilgi paylaşımını teşvik etmek

Şayet güvenlik herkesin işiyse, güvenlikteki insan kaynağının yalnızca BT departmanlarında hudutlu kalmaması gerekiyor. Güvenlik, gelişmekte olan DevSecOps hareketiyle geliştirme alanına giriş yaptığı üzere, güvenlik insan kaynağına şirket içinde öbür alanlardaki şahıslar de entegre edilebilir. Böylelikle şirket içinde güvenlik sıkıntılarına dair bir farkındalık oluşturabilmenin yanında sıfırdan geliştirilen süreçlere, eserlere ve hizmetlere güvenliğin eklenmesi için departmanlar ortası çalışmalar teşvik edilebilir.

3. Güvenlik araçlarını dikkatli bir formda incelemek

Birçok kurum, muhtaçlık duymadığı yahut eskide kalan ve bulut, konteynerler ve Kubernetes üzere yeni teknolojileri destekleyemeyen güvenlik araçlarını kullanıyor. Bu da daha fazla vaktin boşa harcanmasına ve maliyetin artmasına neden oluyor. Mesela birçok şirket artık kullanılmayan sistemleri korumak için tasarlanan klâsik güvenlik araçlarını çalıştırıyor.

Şirketler tıpkı vakitte takip etmesi gereken çok fazla araç kullanarak gereksiz araçların yer almasına ve sayıları artan araçların idaresinin zorlaşmasına neden oluyor. Buna ek olarak işletim sistemi, konteyner platformu yahut bulut sağlayıcısı tarafından verilen güvenlik araçları üzere halihazırda sistemlerde yer alan güvenlik araçlarını tam kapasiteyle kullanamıyor. Mevcut güvenlik araçlarına yönelik yapılacak ayrıntılı bir envanter listesi sayesinde mevcut güvenlik meseleleri giderilebilir.

4. İstikrarlı bir otomasyon stratejisi kullanmak

Kullanılan bileşen sayısının artmasıyla bir insan yahut insan kümesinin tüm güvenlik boşluğunu doldurması imkansız hale geliyor. BT ortamları ve dünyanın kendisi üzere BT takımlarının karşılaştığı güvenlik olayları da daha karmaşık hale geliyor. İstikrarlı bir otomasyon stratejisi, insan kusurunu azaltarak, meseleleri azaltarak, güvenlik alarmlarına daha süratli karşılık vererek, tekrarlanabilir güvenlik ve uyumlu iş akışları geliştirerek kurumların riskleri daha tesirli bir formda ortadan kaldırmasına yardımcı oluyor.

Haluk Tekin, kelamlarına şu halde devam ediyor: “Otomasyonun bir yahut birçok eserden fazlası olduğunu unutmamak gerekiyor. Kurumların uygulama geliştirme, altyapı, güvenlik operasyonları üzere birçok alana dengeli otomasyon stratejisi sunan bir yaklaşım benimsemesi gerekiyor. Hatta Ponemon’un Cost of Veri Breach Report araştırmasına nazaran otomasyonu eksiksiz formda kullanıma alan kurumlar, rastgele bir otomasyonu hizmete almamış kurumlara kıyasla bir data ihlalinde karşı karşıya kaldı maliyet ortalama 3,58 milyon dolar azalıyor.

Siber güvenlikte insan kaynağı sıkıntısının üstesinden gelmek mümkün mü?

Büsbütün çözülmesi mümkün olmayan insan kaynağı sorununu proaktif planlama yaparak, stratejik teknolojileri kullanıma alarak ve geniş çaplı, kesintisiz devam eden ve etkileşim yaratan güvenlik farkındalık eğitimi ve işbirliği üzere sistemlerle tesirli bir formda yönetmek mümkün.