CISO’ların endişesi bilinmeyenler!

Güvenlikte lider 3,200 yetkiliyle yapılan görüşmeler, güvenlik teknolojileri, güvenlik konusunda eğitim, risk analizi ve risk önleme konularına yapılan yatırımlarda artışa işaret ediyor; kullanıcılar, veri, araçlar ve aplikasyonlar konusunda bilinmeyenler CISO’lar (Chief Information Security Officer: Bilgi Güvenliğinden Sorumlu Başkan) için önemli bir endişe oluşturuyor.

Cisco beşincisi gerçekleştirilen yıllık 2019 CISO Benchmark Araştırması’nı yayınladı. Kapsamlı bu anket için 18 ülkede 3,000’den fazla güvenlik lideri ile görüşülerek adeta CIOS’ların yıllık sağlık kontörlü yapıldı. Bu yılki sonuçlar, güvenlik yetkililerinin tedarikçi konsolidasyonu, networking ve güvenlik ekipleri arasında yakın iş birliği ve güvenlik farkındalığı eğitimlerine daha fazla önem vererek, kurumsal güvenlik duruşunu yükseltmeyi ve güvenlik ihlali riskini düşürmeyi amaçladıklarını ortaya koyuyor. Aynı zamanda pek çok CISO, karmaşıklığın getirdiği sorunlarla daha iyi başa çıkabilmek için buluta geçişe inanıyor ve bunun güvenlik çabalarına katkı yapacağını düşünüyor.

On veya daha fazla tedarikçiden oluşan kompleks güvenlik ortamları, yetkililerin çevrelerine olan hakimiyetine zarar verebiliyor. Ankete katılanların yüzde 65’i herhangi bir güvenlik ihlalinin boyutunu anlamanın, kontrol altına almanın ve oluşan zararı telafi etmenin kolay süreçler olmadığını düşünüyor. Kurum dışından gelen kullanıcılar, veri, araçlar ve aplikasyonlar konusunda bilinmeyenler de CISO’lar için önemli bir endişe kaynağı. Bu sorunlarla baş edebilmek adına ankete katılanlar şu şekilde hareket ettiklerini ifade ediyorlar: 

• Yüzde 44’ü güvenlik savunma teknolojilerine yaptıkları yatırımı arttırmış
• Yüzde 39’u çalışanlara güvenlik farkındalığı eğitimleri veriyor
• Yüzde 39’u risk düşürücü teknolojilere odaklanmış.

Katılımcılar güvenlik ihlallerinin yüksek mali etkisinin de altını çiziyor; yüzde 45’i güvenlik ihlalinin kuruma maliyetinin yarım milyon doları geçtiğini ifade ediyor. Ancak iyi haber de şu ki, katılımcıların yarısından fazlası güvenlik ihlallerinin maliyetini yarım milyon doların altına indirmeyi başarmış. Öte yandan, yüzde birlik bir kısım geçtiğimiz yıl oluşan en büyük güvenlik ihlalinin ortalama beş milyon dolar gibi oldukça ağır bir zarara sebep olduğunu belirtiyor.

Güvenlik yetkililerinin güvenlik duruşlarını yükselten olumlu adımlar

• Tekil ürünlerden tedarikçi konsolidasyonuna geçiş trendi devam ediyor: 2017’de katılımcıların yüzde 54’ü ortamları içinde on veya daha az tedarikçi olduğunu belirtirken, bu rakam şu anda yüzde 63’e çıkmış durumda.

Pek çok ortamda tedarikçi çözümleri entegre olmadığı için, bu çözümler uyarı tetiklenmesi ve önceliklendirme paylaşımı yapmıyor.

• En yoğun iş birliği yapan ekipler, en az zarar uğruyor. Siloları ortadan kaldırmak, somut mali kazanımları beraberinde getiriyor: Güvenlik uzmanlarının yüzde 95’i networking ve güvenlik ekiplerinin yoğun veya fevkalade bir iş birliği içinde olduklarını ifade ediyor.

Networking ve güvenlik ekiplerinin yoğun veya fevkalade bir iş birliği içinde olduklarını ifade eden katılımcıların yüzde 59’u, aynı zamanda güvenlik ihlallerinin en büyüğünün mali zararının da 100 bin dolar altında kaldığını belirtmiş (bu rakam cevaplar arasındaki en düşük kategoriyi temsil ediyor).

• Bulut üzerinden sağlanan güvenlik çözümlerine olan inanç ve bulutun güvenliğine olan inanç artmış: CISO’ların yüzde 39’u buluta geçisin ekiplerinin etkinlik ve verimini arttırdığını düşünüyor.

Bulut altyapısını korumanın güç olduğunu düşünenlerin oranı 2017’de yüzde 55 olarak gözlemlenmiş; aynı oran 2019’da yüzde 52.

• Siber yorgunluk: Kötü niyetli tehditlerin gelişimine yetişmek konusunda ümidini kaybetme olarak tanımlanan siber yorgunluk, 2018’deki yüzde 46 seviyesinden 2019’da yüzde 30’a gerilemiş.

CISO’ların karşılaştığı zorlukları ve ilerlemeye açık alanlar

• • • Çalışanlar / kullanıcılar CISO’lar açısından korunma konusunda en önemli konu başlığını oluşturmaya devam ediyor. Kurumsal süreçte güvenlik farkındalığı eğitiminin ilk günden başlaması şart.
    • Ankete cevap verenlerin sadece yüzde 51’i kullanıcı güvenliğini işe alım / işe alıştırma ve transfer / ayrılma döneminde mükemmel yönettiğini düşünüyor.
    • E-posta güvenliği bir numaralı tehdit vektörü olmaya devam ediyor. Phishing ve riskli kullanıcı davranışları (örneğin eposta veya web siteleri içerisindeki zararlı linklere tıklanması) halen yüksek seviyede seyrediyor ve CISO’lar için en önemli sorun olmaya devam ediyor. Son üç yılda bu risk konusundaki algı katılımcılar arasında yüzde 56 – 57 aralığında seyrederek sabit kaldı.

• • • Alarm yönetimi ve çözüm getirme önemini koruyor. Meşru alarmlara çözüm getirilme oranı 2018’de yüzde 50,5 iken, bu rakam şu anda yüzde 42,7. Bu trend endişe verici, çünkü pek çok katılımcı çözüm oranını güvenlik sisteminin verimi için temel indikatörlerden birisi sayıyor.

• • • Güvenlik ölçütleri değişiyor. Katılımcıların ortalama tespit süresini güvenlik konusunda bir metrik olarak kullananlarının oranı 2018’de yüzde 61 iken, 2019’da yüzde 51’e düşmüş durumda. Patch süresini kullananların oranı ise, 2018’de yüzde 57 iken, 2019’da yüzde 40’a gerilemiş. Çözüm için geçen sürenin bir güvenlik metriği olarak kullanım oranı ise artmış; şu anda katılımcıların yüzde 48’i bu metriği kullanırken, 2018’de aynı oran yüzde 30 olarak kaydedilmiş.