Güvenlik çözümlerinin ideal yönetimi için konsalide olamaya ihtiyaç var mı?

Serkan Kırkkulaç | 18 Kasım 2024

İlgili Konular: Siber Güvenlik, Ağ Güvenliği, Genel

Wise TV’ye konuşan Yapı Kredi Teknoloji Veri ve Uç Nokta Güvenliği Müdürü Serkan Kırkkulaç, kurumların siber güvenlik çözümlerini yönetirken karşılaştığı zorlukları anlattı.

Bu konu, hakikaten kurumların baş etmekte zorlandığı, zaman zaman doğru kararlar verdiği, zaman zaman yanlış kararlar diye nitelendirebileceğimiz kararlar verdiği bir konudur. Gerçekten tüm kurumların mücadele ettiği zorlu bir konudur. Güvenlik sektöründe teknolojiler farklılaşıyor, siber güvenlik atak yüzeyi artıyor. Farklı ve kuvvetli güvenlik çözümleri geliyor. Ancak özüne döndüğümüzde, yaklaşık 100 ya da 100’den fazla veya 50-100 arası siber güvenlik çözümlerini yönetmek, gerçek anlamda doğru yönetmek ve siber güvenlik tehditleriyle baş etmek oldukça güç. Neden güç? Çünkü yetişmiş insan kaynağı problemimiz kaçınılmaz. Dolayısıyla her bir teknolojiyi doğru insan kaynağıyla yönetebilmek için bu insan kaynağına yatırım yapmak lazım. Diğer güvenlik çözümleriyle birlikte baktığımızda, yakın dönemde okuduğum bir araştırmada gördüm ki bir siber güvenlik personeli yaklaşık üç güvenlik çözümünü yönetiyor. Bu şekilde baktığımızda, gerçekten bu oranın doğru bir reçetesi ya da doğru bir oranı var mı dersek, bu kurumdan kuruma değişebilir. Ancak üç tane siber güvenlik çözümünün tek bir uzman tarafından yönetilmesi, hakikaten doğru olarak yönetilmesi güç olabilir. Artık hep aynı şeyleri konuşuyoruz: konsolidasyon ya da “best of breed” çözüm kullanımı. Bu bağlamda baktığımızda, bu işin de tamamen “best of breed” gitme ve birçok çözüm yönetme ya da platformlaşma, bir konsolidasyon yapıp tüm çözümlerimizi birkaç çözümde konsolide etmek gibi yaklaşımlar var. Bunun doğru bir reçetesi var mı dersek, açıkçası bunun doğru bir reçetesi olmadığını düşünüyorum. Sebebi, kurumların sair mevzuatlara uyum, kendi kurumları özelinde uymakla yükümlü oldukları mevzuatlar, ikincisi kendi BT kaynaklarının büyüklüğü, bütçe büyüklükleri, yetişmiş siber güvenlik kaynakları. Bu dört faktörü bir araya aldığımızda, kurumların farklı reçeteleri elbette olacaktır. Ancak 2025 yılına geldiğimizde, bunları daha etkin, daha maliyet etkin, daha insan kaynağı etkin yönetebilmek için kurumların kendileri doğru değerlendirmeleri yapmak, doğru kriterleri, doğru iş problemlerini çözmek üzere değerlendirme yapmaları oldukça kritik olacaktır.

Siber Güvenlikte Karar Verme Süreci

Siber güvenlik, günümüzün en önemli konularından biri haline gelmiştir. Teknolojinin hızla gelişmesiyle birlikte, siber tehditler de artmakta ve kurumlar bu tehditlerle başa çıkmak için çeşitli stratejiler geliştirmektedir. Ancak, bu süreçte doğru kararlar almak her zaman kolay olmayabilir. Kurumlar, zaman zaman doğru kararlar verirken, zaman zaman da yanlış kararlar alabilirler. Bu makalede, siber güvenlikte karar verme sürecini ve bu süreçte karşılaşılan zorlukları ele alacağız.

Teknolojik Gelişmeler ve Siber Güvenlik

Teknolojinin hızla gelişmesi, siber güvenlik alanında da birçok yeniliği beraberinde getirmiştir. Yeni teknolojiler, daha güçlü ve etkili güvenlik çözümleri sunarken, aynı zamanda siber saldırıların da daha karmaşık hale gelmesine neden olmaktadır. Bu durum, kurumların siber güvenlik stratejilerini sürekli olarak güncellemelerini gerektirmektedir.

İnsan Kaynağı ve Eğitim

Siber güvenlik alanında en büyük zorluklardan biri, yeterli ve nitelikli insan kaynağına sahip olmaktır. Teknolojinin hızla değişmesi, uzmanların sürekli olarak kendilerini geliştirmelerini gerektirmektedir. Bu nedenle, kurumlar, çalışanlarına sürekli eğitimler vererek, onların bilgi ve becerilerini güncel tutmalıdır.

Konsolidasyon ve Çözüm Seçimi

Kurumlar, siber güvenlik çözümlerini seçerken, konsolidasyon ve “best of breed” yaklaşımlarını değerlendirmektedir. Konsolidasyon, farklı güvenlik çözümlerini bir araya getirerek, daha bütüncül bir yaklaşım sunarken, “best of breed” yaklaşımı, her alanda en iyi çözümü kullanmayı hedefler. Her iki yaklaşımın da avantajları ve dezavantajları bulunmaktadır.

Mevzuat ve Uyumluluk

Kurumlar, siber güvenlik stratejilerini belirlerken, mevzuat ve uyumluluk gerekliliklerini de göz önünde bulundurmalıdır. Farklı sektörlerde faaliyet gösteren kurumlar, kendi özel mevzuatlarına uygun çözümler geliştirmelidir. Bu, hem yasal uyumluluğu sağlamak hem de güvenlik açıklarını minimize etmek için önemlidir.

Bütçe ve Kaynak Yönetimi

Siber güvenlik çözümleri, genellikle yüksek maliyetli yatırımlar gerektirir. Bu nedenle, kurumlar, bütçelerini etkin bir şekilde yönetmeli ve kaynaklarını en verimli şekilde kullanmalıdır. Doğru bütçe yönetimi, siber güvenlik stratejilerinin başarısı için kritik öneme sahiptir.

Geleceğe Yönelik Stratejiler

2025 yılına doğru ilerlerken, kurumlar, siber güvenlik stratejilerini daha etkin ve maliyet etkin hale getirmek için çeşitli değerlendirmeler yapmalıdır. Doğru kriterleri belirleyerek, iş problemlerini çözmeye yönelik stratejiler geliştirmek, kurumların siber güvenlik alanında başarılı olmalarını sağlayacaktır.

Özet

Siber güvenlik, kurumlar için kritik bir öneme sahiptir ve doğru kararlar almak, bu alanda başarıyı belirleyen en önemli faktörlerden biridir. Teknolojik gelişmeler, insan kaynağı, mevzuat uyumluluğu ve bütçe yönetimi gibi faktörler, siber güvenlik stratejilerinin belirlenmesinde önemli rol oynamaktadır. Kurumlar, bu faktörleri dikkate alarak, geleceğe yönelik stratejiler geliştirmeli ve siber güvenlik alanında daha etkin çözümler üretmelidir.