EY Global Siber Güvenlik Liderliği İçgörüleri araştırmasının sonuçları açıklandı. Araştırmaya nazaran; kuruluşlar her geçen gün siber güvenlik alanına yönelik yatırımlarını artırıyor ve siber savunma sistemlerini güçlendiriyor. Fakat araştırma siber saldırganların ileri teknolojilerden yararlandıkça, atak çeşitliliğinin ağırlaştığını ve siber atak sayısında son beş yılda yaklaşık %75 artış olduğunu gösteriyor.
EY Global Siber Güvenlik Liderliği İçgörüleri araştırmasının sonuçları açıklandı. Araştırmaya nazaran; kuruluşlar her geçen gün siber güvenlik alanına yönelik yatırımlarını artırıyor ve siber savunma sistemlerini güçlendiriyor. Fakat araştırma siber saldırganların ileri teknolojilerden yararlandıkça, akın çeşitliliğinin ağırlaştığını ve siber taarruz sayısında son beş yılda yaklaşık %75 artış olduğunu gösteriyor.
Uluslararası danışmanlık şirketi EY (Ernst & Young), Küresel Siber Güvenlik Liderliği İçgörüleri araştırmasının sonuçlarını açıkladı. Araştırmaya nazaran, artan siber taarruz tehditlerine karşı bu alanda yapılan nizamlı yatırımlara karşın, bilgi güvenliği başkanları (CISO’lar) ve üst seviye yöneticilerden yalnızca beşte biri, yaklaşımlarının bugünün ve yarının zorluklarına karşı tesirli olduğunu düşünüyor.
Araştırma; kuruluşların yılda ortalama 44 değerli siber olayla karşı karşıya kaldığını ve bilinen siber hücum sayısının son beş yılda yaklaşık %75 arttığını gösteriyor. Kuruluşların dörtte üçünün bir hadiseyi tespit etmesi ve müdahale etmesi ortalama 6 ay yahut daha uzun sürüyor. Fidye yazılımı taarruzlarının şirketlere maliyetleri 2021’de 20 milyar ABD dolarıyken, 2031 yılına kadar 265 milyar ABD doları düzeyine ulaşacağı öngörülüyor.
Siber güvenliği benimsemek şirketleri hem koruyor hem de bedel yaratıyor
EY araştırmasına nazaran; en tesirli siber güvenliğe sahip şirketler daha düşük performans gösterenlere nazaran daha az siber olayla karşılaşıyor. Hadiseleri tespit etme ve cevap verme konusunda da daha süratli aksiyon alıyorlar. Ayrıyeten, günümüz siber güvenlik yaklaşımlarından şad olma (%51’e karşı %36) ve yarının tehditlerine karşı kendilerini hazırlıklı hissetme olasılıkları daha yüksek (%53’e karşı %41). Bunun yanı sıra şirketlerin tesirli bir siber güvenlik yaklaşımını benimsemesi, kuruluşlara muhafaza sağlarken birebir vakitte bedel katıyor. Pazar fırsatlarına karşılık verme maharetleri, dönüşüm ve inovasyon suratları kıymetli ölçüde yükseliyor.
Siber güvenlik için bütünsel bir teknoloji stratejisi geliştirilmesi gerekiyor
Araştırma sonuçlarına nazaran; 2010 ile 2022 yılları ortasında siber güvenlik alanına 1,3 trilyon ABD doları yatırım yapıldı ve bu yatırım yıllık olarak %16,6 oranında arttı. Siber güvenlik araçları ve uygulamaları karmaşıklık, sürat ve tesirlilik bakımından gelişti. Lakin ironik olarak tesirli siber güvenliğe yönelik en büyük tehdidi de güvenlik tedbirlerinin ölçeği ve karmaşıklığı oluşturuyor. Zira teknoloji ortamınızda ne kadar dağınıklık varsa, sinyalleri almak ve sıkıntılara süratle tahlil bulmak da o kadar sıkıntı oluyor. Karmaşıklığı azaltan en tesirli usul ise donanım otomasyonu. Bu doğrultuda, şirketlerde teknolojiyi tek bir platformda birleştirmek entegrasyonu kolaylaştırıyor ve ilgili grupların siber hadiseleri daha verimli bir biçimde tespit etmesine yardımcı oluyor.
Siber riskte öne çıkan alanlar; Bulut, IoT ve tedarik zincirleri
Ankete katılan dört bireyden üçü, bulut ve IoT (nesnelerin interneti) bahislerini önümüzdeki beş yıldaki en büyük teknoloji başlıkları olarak gördüğünü belirtiyor. Araştırmaya nazaran; bulut teknolojisinin benimsenmesiyle siber akın alanları da katlanarak arttı. Değişimin suratı ise artmaya devam ediyor ve şirketler buna ayak uydurmaya çalışıyor. Bu süratli değişimler, bulut arayüzleri ve ortamı etrafında kâfi tahlil ve planlama yapılmadan bulut ve IoT sistemlerine geçiş yapıldığında, şirketleri bilgi kaybına, ihlallerine ve kesintilerine maruz bırakma potansiyeline sahiptir. Bu riskleri önlemek ve zorlukların üstesinden gelmek için şirketlerin otomasyon teknolojisinden faydalanması gerekiyor. En tesirli siber güvenliğe sahip şirketlerin CISO’larının yarısı, kuruluşlarının siber güvenlik yaklaşımlarında bulut düzenlemesini ve otomasyonunu kullandığını belirtiyor.
Araştırmada öne çıkan bir başka risk faktörü; tedarik zincirleri. Artık tüm kuruluşlar, tedarik zincirlerindeki işletmelere ayrılmaz bir formda ve dijital olarak bağlı. Son beş yılda tehdit aktörlerinin en zayıf halka olarak gördükleri tedarik zincirlerini maksat aldığı görünüyor. Bu sebeple CISO’ların, sadece bir kereye mahsus değil sistemli olarak kuruluşlarının tedarik zincirlerini denetim altında tutması gerekiyor. Ayrıyeten tedarik zincirindeki tüm siber hücum alanlarının tespit edilebilmesi için operasyon yöneticileri (COO’lar) ve öteki operasyon önderleriyle iş birliği içinde olunması kritik kıymet taşıyor.
CISO’lar idare masasında
CISO rolü daha evvelce öncelikli olarak operasyonel ve teknik alanı ilgilendirirken, aşikâr bir olgunluğa erişmiş tertiplerde artık siber güvenlik başlı başına bir departman olarak faaliyet gösteriyor ve üst idare katında da kelam sahibi oluyor. EY araştırması, giderek daha fazla öne çıkan rolleri sayesinde, CISO’ların günümüzün yüksek riskli ortamında gerekli kaynakları garanti altına alma konusunda genel olarak başarılı olduklarını ortaya koyuyor.
EY Türkiye Siber Güvenlik Hizmetleri Başkanı ve Danışmanlık Kısmı Şirket Ortağı Ateş Sünbül, ilgili araştırma sonucunda çıkan temel aksiyon hususlarını şu halde kıymetlendirdi;
“EY Global Siber Güvenlik Liderliği İçgörüleri araştırması, üst seviye başkanların mevcut ve beklenen bir dizi tehditle uğraş ettiğine dair çarpıcı bulgular ortaya koyuyor. Lakin şirketler; teknolojilerinde kolaylığı ve bütünsel bakış açısını göz önünde bulundurarak siber riskleri minimuma indirebilirler. Bununla birlikte, siber güvenliğin sadece varlıkların korunmasıyla ilgili olmadığını unutmamak gerekir. Âlâ uygulandığında kurum çapında inovasyonu ve katma kıymeti destekleyip hızlandırabilir. Hasebiyle siber güvenliğin tertibin ve işletim modelinin her kesimine entegre edilmesi, işlevin bedel yaratan bir itici güce dönüşmesini sağlayabilir. Muhakkak bir olgunluk düzeyindeki kuruluşlar, işçinin siber güvenlik alanında sistemli eğitim almasını sağlayarak, en yeni otomasyon ve önleyici araçlardan yararlanarak daha tesirli bir siber güvenlik sistemi elde edebilirler.”
EY araştırmasıyla ilgili olarak detaylara EY web sitesi üzerinden ulaşılabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
