IBM’in en son “Veri İhlalinin Maliyeti Raporu”na göre, bir ihlalin maliyeti dünya çapında ortalama olay başına yaklaşık 4,5 milyon dolara yükseldi. Çalınan veriler bir ihlalin açık bir etkisi olsa da, kar kaybı ve kurumsal itibar da işletmelere önemli ve hatta daha uzun süreli zararlar verebilir. Müşterilerin güvenini zedeleyebileceği, halka açık şirketlerin hisse senedi fiyatlarının düşmesine yol açabileceği ve işletmeleri, kayıp karlarla başa çıkmak için fiyatları artırmaya zorlayabileceğinden, sonuçlar genellikle ilk ihlalden çok sonra hissedilir.
Söylenecek tek şey bu, bir veri ihlali işin tüm alanlarında çok büyük bir etkiye sahip olabilir… Peki ya durum artık böyle değilse?
İhlallerin zararsız olduğu bir gelecek hayal edin; gerçekleşmeyecekleri anlamına gelmiyor ama bir önemi de olmayacak. Bir şirkete sızılır, saldırganlar ağa girer ve hatta bir çalışanın cihazına bile erişebilir, ancak veriler güvende ve tehlikeye atılmaz. Veri kaybı olmadığı için itibar kaybı neredeyse yok denecek kadar az; zira kuruluşlar, ihlale rağmen kurumsal ve müşteri verilerinin korunduğunu rahatlıkla söyleyebilirler.
Kulağa harika geliyor, değil mi? Bu tamamen mümkündür; ancak yalnızca kuruluşların güvenlik stratejilerinde gecikmiş olmasa da gerekli bir paradigma değişimini taahhüt etmeleri durumunda.
Güvenlikte Paradigma Değişimi
Yıllar boyunca baskın teori ağ çevresinde güvenlik oluşturmaktı: çevreyi korumak ve kötü aktörleri dışarıda tutmak. Çevre gözenekli olduğunda daha büyük ve daha yüksek duvarların bir önemi olmadığından bu yaklaşım yetersiz kaldı. Daha sonra, uç noktaların büyümesi ve daha fazla dağıtılmış iş gücü, güvenliğin cihazlar etrafında oluşturulduğu yeni bir strateji yarattı. Cihaz tabanlı güvenlik, kurumsal varlıklara erişimi olan üçüncü taraflar söz konusu olduğunda boşluklar bıraktığından bu yaklaşım yine yetersiz kaldı.
Ağlar ve cihazlar etrafında güvenlik oluşturmak tek başına etkili değildir. Odağı veri etrafında güvenlik oluşturmaya kaydırmanın zamanı geldi. Bu model, yalnızca amaçlandığı şekilde kullanıldığından emin olmak için cihazların veya çalışanların değil, dijital varlıkların etrafına ayrıntılı güvenlik kontrolleri yerleştirir. Bu kontroller, verinin kurum içinde veya dışında gittiği her yere gider, verilerin paylaşıldığı ve depolandığı ortamlardan bağımsızdır ve dijital varlıklara erişimin istenildiği zaman güncellenmesine olanak tanır.
Kuruluşlar, verileri ağ çevresi dışında güvence altına alarak, kritik bilgileri üçüncü taraf işbirlikçileriyle paylaşırken bile hassas varlıklarının görünürlüğünü ve kontrolünü koruyabilir. Bu, işletmenin büyümesini yavaşlatmadan tedarik zincirlerini güvence altına almalarına olanak tanır. Kuruluşlar, ağlar veya uç noktalar yerine verileri korumaya odaklanarak yalnızca en kritik ve hassas varlıklarını korumakla kalmaz, aynı zamanda gelecekteki herhangi bir ihlalin etkisini proaktif olarak azaltır.
İhlallerin Etkisini Azaltmak için 5 Adım
Güvenlik profesyonellerinin siber güvenlik stratejilerini yeniden yönlendirmek ve ihlallerin etkisini azaltmak için atabilecekleri beş adım:
Yönetici liderlere bu değişimin neden gerekli olduğunu anlatın: Güvenlik duvarları ve uç nokta koruması yıllardır güvenliğe hakim olduğundan, bir değişiklik yönetimi unsuruna ihtiyaç vardır. Veri odaklı bir modele geçmeden önce yönetim ekibinin desteğini almanız gerekir. Bu tartışmaya hazırlanırken, kar kayıplarını ve itibar kaybını vurgulamak için Log4j ve MOVEit gibi son zamanlarda iyi bilinen ihlallerden yararlanın. Konuşma sırasında, daha fazla uyumluluk gibi bu değişimin sağlayacağı diğer faydalara da değinin. Daha yüksek düzeydeki iş değerleri, teknik olmayan paydaşlar arasında salt siber güvenlik kullanım senaryolarına göre daha iyi yankı bulabilir.
Verilerinizi bilin ve sınıflandırın: Yöneticilerden destek aldıktan sonra en değerli verileri belirleyin ve buna göre sınıflandırın. Verilerinizi sınıflandırmak için şu tür sorular sorun: Verilerin amacı nedir? Veriler hangi formatta? Veriler nerede yaşıyor? Bunu kim kullanıyor ve bunlar kuruluşun içinde mi yoksa dışında mı?
Verileri sürekli koruyan politikalar geliştirin: Kuruluş için en iyi politikalara karar verirken, verinin yaşam döngüsünü (kim tarafından, ne zaman ve nasıl kullanıldığı gibi) anlamanız ve farklı veri gruplarının gerektirebileceği farklı risk düzeylerini ele almanız gerekir. Politikaları oluştururken, en kullanışlı süreçleri oluşturmak için verilerin gerçek kullanıcılarını dahil ettiğinizden emin olun.
Veri korumanızı otomatikleştirin: Otomasyon, insan hatası veya gözetimden kaçınmaya yardımcı olduğundan veri güvenliğinde gerekli bir unsurdur. Ekipler, belirli kullanıcılardan veya ekiplerden gelen veya belirli bilgilerden (örneğin, mali tablolar) bahsedildiğinde verilerin otomatik olarak sınıflandırılması gibi uygulamaları dikkate almalıdır.
Geri bildirim isteyin ve kullanılabilirliğe öncelik verin: Katı güvenlik politikaları işin tamamlanmasını engelleyebilir, bu da sinirli çalışanların güvenlik önlemlerini aşmanın yollarını aramasına yol açabilir. Neyin işe yarayıp neyin yaramadığını, nerede daha fazla esnekliğe ihtiyaç duyabileceklerini ve iş akışı süreçlerinin ne zaman değişebileceğini görmek için güvenlik ekibinin dışındaki çalışanları da dahil edin.
Tek bir veri ihlali, bir şirketi bazen toparlanamayacak şekilde altüst edebilir. Ancak gelecek yıllarda bu böyle olmak zorunda değil. Artık modern işletmelere hizmet etmeyen eski siber güvenlik paradigmalarını geliştiren kuruluşlar, yalnızca daha güçlü güvenlik uygulamaları geliştirmekle kalmaz, aynı zamanda ihlalleri önemsiz hale getirir.
