Siber Dayanıklılığın Formülü: İnsan, Süreç ve Teknoloji Yatırımı

Ayşim Niksarlı | 09 Şubat 2024

İlgili Konular: Siber Güvenlik, Siber Saldırılar, Risk Yönetimi, Güvenlik Mimarisi

Focerta Siber Güvenlik Danışmanlığı Direktörü Ayşim Niksarlı, bir kuruluşun siber dayanıklılığını artırmak için kritik öneme sahip üç temel bileşeni ele alıyor: İnsan kaynağı, süreç yönetimi ve teknoloji yatırımları.

“Siber dayanıklılığı nasıl geliştiririz sorusunun kısa cevabı aslında insan, süreç ve teknoloji yatırımları ile geliştiririz. Ama bunları biraz daha açacak olursak, insana olan yatırımlarımızın artması gerekiyor. Burada bu konuda uzmanlaşmış insan kaynaklarıyla bu konuyu ele almak çok önemli ve bir CISO rolünün stratejik olarak üst yönetimle yakın temasını sağlamak ve şirket stratejilerine güvenlik stratejilerinin paralel gitmesi çok önemli. Bununla birlikte sadece insan kaynağı olarak bakmak tabii ki yeterli değil; bunun yanı sıra teknolojik yatırımların da yapılması gerekli. Güvenlik alanında birçok çözümün uygulanması, bu çözümlerin de sadece yatırım yapıp çözüm almakla sınırlı kalmaması gerekiyor. Süreç tarafı burada gündeme geliyor. Süreç dediğimizde de özellikle güvenliğin ana süreçlerinden bir tanesi risk yönetimi tarafı. Bir kere kurumun kendi faaliyetlerini gerçekleştirmesi ve rekabetçi bir şekilde var olabilmesi ve ileriye taşıması için kendisini öncelikli olarak bu faaliyetlerde kullandığı bilgi varlıklarını çok iyi bilmesi gerekiyor. Ve tabii ki bu bilgi varlıklarının hangi hizmetlerine etki ettiğini, bu bilgi varlıklarının şirketin gizliliği, bütünlüğü ve erişilebilirliği açısından hangi kritiklik seviyesinde olduğu ki buna göre önlemler ve kontroller geliştirilebilir. Ve tabii ki bu bilgi varlıklarının üzerindeki riskleri çok iyi ortaya koyması ve onları da önceliklendirmek. Dolayısıyla risk yönetimi, varlık ve risk yönetimi çok çok önemli bir konu. Tabii ki varlık deyince veri de bu varlığın bir alt kategorisi olarak çok kritik. Veriyi tanımak, veriden değer üretme aşamasına gelene kadar o verinin aslında yine gizlilik, erişilebilirlik ve bütünlüğünü sağlayıcı önlemleri almak, bir veri yönetişim süreci oluşturmak yine oldukça kritik. Süreç tarafına baktığımızda diğer önemli süreçler, örneğin bir tehdit analiz tarafında gerek kendi sektöründe, gerek Türkiye, gerekse globalde ne tür tehditlerin olduğunun yine çok iyi takip edilmesi gerekiyor. Bunun yanı sıra tabii ki kriz, siber güvenlik iş sürekliliği yine çok önemli bir konu erişilebilirlik anlamında. Dolayısıyla felaket kurtarma, yedekleme stratejilerinin oluşturulması ve bunların tatbikatlarının yapılması, yine şirketin başına bir güvenlik ihlali ya da bir güvenlik olayı geldiğinde buna çok iyi hazırlıklı olmak ve hızlı reaksiyon vermek adına bununla ilgili tatbikatları gerçekleştirmek. Diğer taraftan yine değişiklik yönetimi, problem yönetimi dediğimiz birçok süreç de yine güvenlik açısından var olan çerçeveyi, yapıyı, mimariyi etkileyen değişikliklerin güvenlik riskleri açısından ele alınması anlamında bu süreçlerin de dikkatli bir şekilde ele alınmasında yarar görüyorum.”

Siber Dayanıklılığı Geliştirmek: İnsan, Süreç ve Teknoloji
Günümüzde siber tehditlerin artmasıyla birlikte, işletmelerin siber dayanıklılıklarını artırmaları büyük önem taşımaktadır. Siber dayanıklılık, bir kuruluşun siber saldırılara karşı koyabilme ve bu tür olaylardan hızla toparlanabilme yeteneğini ifade eder. Bu dayanıklılığı geliştirmek için insan, süreç ve teknoloji yatırımlarının dengeli bir şekilde yapılması gerekmektedir. Bu makalede, siber dayanıklılığı artırmanın yollarını detaylı bir şekilde ele alacağız. İnsan kaynaklarından teknoloji yatırımlarına, süreç yönetiminden risk analizine kadar birçok farklı başlık altında bu konuyu inceleyeceğiz.

İnsan Kaynaklarına Yatırım
Siber dayanıklılığı artırmanın ilk adımı, bu alanda uzmanlaşmış insan kaynaklarına yatırım yapmaktır. Eğitimli ve deneyimli bir ekip, siber tehditlere karşı daha etkili bir savunma sağlayabilir. Ayrıca, bir CISO’nun (Chief Information Security Officer) stratejik olarak üst yönetimle yakın temas halinde olması, güvenlik stratejilerinin şirket stratejileriyle paralel gitmesini sağlar.

Teknolojik Yatırımlar
İnsan kaynaklarının yanı sıra, teknolojik yatırımlar da siber dayanıklılığı artırmada kritik bir rol oynar. Güvenlik çözümlerinin uygulanması, sadece yatırım yapmakla sınırlı kalmamalı, aynı zamanda bu çözümlerin etkin bir şekilde yönetilmesi de sağlanmalıdır. Bu, güvenlik altyapısının sürekli olarak güncellenmesi ve tehditlere karşı hazır hale getirilmesi anlamına gelir.

Risk Yönetimi
Risk yönetimi, siber dayanıklılığın temel taşlarından biridir. Kurumlar, bilgi varlıklarını ve bu varlıkların hangi hizmetlere etki ettiğini iyi bilmeli, bu varlıkların gizlilik, bütünlük ve erişilebilirlik açısından hangi kritiklik seviyesinde olduğunu belirlemelidir. Bu sayede, riskler önceliklendirilerek etkili bir şekilde yönetilebilir.

Veri Yönetişimi
Veri, bir kuruluşun en değerli varlıklarından biridir. Veriyi tanımak ve bu veriden değer üretme aşamasına gelene kadar gizlilik, erişilebilirlik ve bütünlüğünü sağlayıcı önlemler almak, bir veri yönetişim süreci oluşturmak oldukça kritiktir. Bu süreç, verinin güvenli bir şekilde yönetilmesini sağlar.