CEO’lar siber saldırılardan haberdar edilmiyor

Avrupa ve Ortadoğu’daki 12 ülkede, 3.500 ofis çalışanı ve 1.700 BT yöneticisinin görüşlerini toplayan VMware araştırmasından elde edilen bulgulara göre EMEA bölgesindeki BT liderleri siber saldırıları kıdemli liderlere bildirmiyor. EMEA’daki kurumsal liderlerin sadece yüzde sekizi siber güvenliği, BT inisiyatiflerini yeniden değerlendirmek için bir öncelik olarak görüyor. Şirketlerin üçte birinden fazlası ise önlerindeki 90 gün içinde ciddi bir siber saldırıyla karşılaşmayı bekliyor.

Bulut altyapısı ve Kurumsal mobilitede lider VMware, Inc. (NYSE: VMW) tarafından pazar araştırmalarında uzman ajans Vanson Bourne’a yaptırılan araştırmada BT Karar Vericilerinin neredeyse üçte birinin (yüzde 30), Avrupa, Ortadoğu ve Afrika’daki (EMEA) ofis çalışanlarının ise neredeyse dörtte birinin (yüzde 23) ciddi veri ihlallerinde CEO’nun sorumlu tutulması gerektiğine inandığını ortaya koyuyor. Buna karşın, BT Karar Vericilerin dörtte biri (yüzde 25), ciddi veri ihlallerini kıdemli yönetim sorumlularına iletmediklerini kabul ediyor.

Bilgilerin açıkça iletilmesinde yaşanan bu eksiklik, şirketin sorumluluğunu üstlenenlerin, ihlallerin yol açtığı riskler söz konusu olduğunda, tablonun tamamından haberdar olmadıklarına işaret ediyor. Bu durum ayrıca, bu yılın başlarında VMware’in sponsor olduğu ve Economist Intelligence’ın yürüttüğü diğer bir araştırmada da gözlemlenmiş, EMEA’daki kurumsal liderlerin sadece yüzde sekizinin siber saldırıları şirketleri için bir öncelik olarak değerlendirdiği bulgusu ortaya çıkmıştı.¹ Siber saldırılar arttıkça ve kurumlar için daha büyük zararlara yol açtıkça (fikri mülkiyet hakları, rekabetçi konumlanma ve müşteri verileri) performans ve markaya dair bu kopukluğun potansiyel etkisi de büyük önem kazanıyor.

Zayıf noktalar, güvenlik konusunda yeni bir yaklaşım gerektiriyor

Şirketler ciddi siber saldırılardan kaynaklanan tehlikelerle gitgide daha sık yüz yüze geliyor; öyle ki üçte birinden fazlası (yüzde 37) 90 gün içinde bir siber saldırıya maruz kalabileceğini düşünüyor. Giderek daha da dijitalleşen iş dünyasının karmaşıklıkları arttıkça, mevcut güvenlik yöntemlerinin yetersiz kalabileceği düşünülüyor. Hatta EMEA bölgesinde her üç BT Karar Vericisinin 1’den fazlası, kurumlarının bir siber saldırı karşısındaki en önemli zayıflığının, tehditlerin savunmalarından daha hızlı olmasından kaynaklandığına inanıyor.

VMware EMEA Baş Teknoloji Yöneticisi Joe Baguley konu hakkında şöyle görüş bildiriyor: “Kurum liderleri ile BT karar vericileri arasındaki kopukluk, kurumlar sınırları zorladıkça, dönüştükçe ve farklılaştıkça ve bunların yanı sıra sürekli evrilen tehditlere karşı şirketlerini korumaya çalıştıkça karşılaştıkları güçlüklerin bir semptomu olarak ortaya çıkıyor. Bugünün en başarılı kurumları son derece hızlı hareket edip karşılık verebilir ve markalarını ve müşterilerinin kendilerine duyduğu güveni koruyabilirler. Uygulamaların ve kullanıcı verilerinin şimdiye kadar hiç görülmemiş bir oranda her noktada ve çok sayıda cihazda yer aldığı bir ortamda bu şirketler, günümüzün dijital şirketlerini koruyamayacak geleneksel BT güvenliği yaklaşımlarının ötesine geçmeyi başarıyor.”

İnsanlar ve süreçler de en az teknolojinin kendisi kadar soruna yol açabiliyor

Kurumların güvenliğindeki en büyük zaaflardan bir kısmı kurumun içinden kaynaklanıyor: Özensiz veya siber güvenlik konusunda eğitimsiz çalışanlar kurumlarını en büyük güçlüklerle yüz yüze bırakabiliyorlar (EMEA’daki BT Karar Vericilerinin yüzde 45’inin değerlendirmesi). Bugünkü araştırmada ayrıca üretkenliği artırmak için çalışanların atmak istediği adımlar da ortaya çıkıyor. Bunların neredeyse dörtte biri (yüzde 21) Kurumsal verilere girmek için kişisel cihazlarını kullanıyor ve yaklaşık beşte biri (yüzde 17), işlerini etkin bir şekilde yürütmek adına kurumun güvenliğini ihlal edebiliyor.

“Güvenlik sadece teknolojiyi ilgilendiren bir şey değildir. Araştırmadan elde edilen bulgulara göre, insanların kararları ve davranışları kurumun bütünlüğünde önemli bir etkendir” diyen Baguley şöyle devam ediyor: “Ne var ki, bu, kilit altında tutmak veya korku kültürü yaymak anlamına da gelmez. Akıllı kurumlar kısıtlayıcı değil işleri kolaylaştırıcı olanlardır; gelişmeyi teşvik eder, başarılı olmak adına süreçlere uyum sağlar ve operasyonlarını dönüştürür.”

“İleriyi gören kurumlar, bugünün reaktif güvenliğinin, uygulamaları ve verileri koruma işini başaramadığını görüyorlar. BT konusunda yazılım tanımlı bir yaklaşım benimseyerek güvenliği garanti altına almak, tüm mimariyi değiştirebilir; bunu yapan kurumlar hem güvenlik hem de dijital alanda başarı için gereken esnekliği kazanmaktadırlar.”

Araştırmanın en ilgi çeken noktasının, kurumların üçte birinden fazlasının üç aydan kısa bir süre içinde ciddi bir siber saldırıyla karşılaşmayı beklerken, şirket yöneticilerinin yalnızca yüzde 8’inin siber güvenliği bir öncelik olarak benimsemesi olduğunu söyleyen VMware Türkiye Ülke Müdürü Murat Mediçeler, şu açıklamayı yapıyor: “En iyi ihtimalle, şirketlerin yalnızca yüzde 25’i bekledikleri saldırılarla ilgili ciddi önlem almayı planlıyor. Türkiye’de de bu oranların çok farklı olmadığını söyleyebiliriz. Zira her ne kadar siber güvenlik ülkemizde ciddi bir konu olarak değerlendirilse de, siber saldırılara karşı yeterince hazırlıklı olduğumuzu söylemek zor. Bu anlayışın değişmesi için güçlü bir planlama ve güvenlik stratejisini oluşturmak kadar insan kaynağı ve süreçleri dönüştürmek de önem taşıyor. Aksi takdirde en iyi teknoloji bile kurumları tamamen güvenli hale getirme yönünde yetersiz kalacaktır.”