Güvenliğin dijital dönüşümdeki rolü

Güvenliğin dijital dönüşümdeki rolü

Özellikle veri ihlalleri, dijital dönüşümün organizasyonları büyük bir risk altında bıraktığını düşünmeye yönlendiriyor. Dijital dönüşüm çoğu kıdemli yönetici için elbette önemli; ancak sıklıkla güvenlik geride kalıyor.
Dijital dönüşüm süreç ve servislerin dijitalleşmesiyle ilgili ki böylelikle işletmeler daha çevik olabilir ve müşteri hizmetleri sağlamadan tedarik zinciri ortaklarıyla olan süreçleri iyileştirmeye kadar daha verimli faaliyet gösterebilir. Pazarlama ekibi ürünleri tanıtım şekillerini dönüştürmek, İK bölümü işe alımları iyileştirmek ve IT takımı da online hizmetleri anında yinelemek istiyor.
Bir DX projesini başlatmak için organizasyonların planlama ve strateji aşamasında insanları, süreçleri ve teknolojiyi bir araya getirmesi gerekiyor. Veri analitikleri, nesnelerin interneti, mobil ve sosyal medya gibi teknolojilerin bir fark yaratabileceğini görmeleri için onlara bir fırsat sunarak. Ancak birçok kişi bilgi güvenliğinin büyük sıklıkla döngünün dışında tutulduğuna inanıyor.

Güvenliksiz dijital dönüşüm riski artırıyor
IT ve işletme pazara çıkma hızlarını iyileştirmek üzere çevik ve DevOps gibi teşebbüslerin peşinde koşarken, güvenliğin rolü risk ve güvenlik üzerindeki etki hakkında sonradan sorulan sorularla kısıtlanıyor. Kısaca, dijital dönüşüm müşteriye değer katma üzerine odaklandığından çekirdek güvenlik fonksiyonlarına çok az dikkat veriliyor.
Veri ihlali ve açık rakamlarındaki artış bazılarının güvenliksiz dijital dönüşümün organizasyonları büyük bir risk altında bıraktığını düşünmeye yönlendiriyor. Gartner’ın yakın dönemdeki tahminlerine göre dijital işletmelerin yüzde 60’ı güvenlik ekiplerinin dijital riski yönetememesi yüzünden 2020 itibariyle önemli hizmet problemlerinden zarar görecek.
“Dijital işletmeler geleneksel organizasyonlarla karşılaştırıldığında daha hızlı ilerliyor ve maksimum kontrol için tasarlanan geleneksel güvenlik yaklaşımları yeni dijital inovasyon döneminde artık işe yaramayacak,” vurgusu yapılıyor Gartner raporunda.

Dijital dönüşümde güvenlik arkada mı bırakılıyor?
Mevcut DX projeleri sıklıkla güvenliği geç dâhil ettikleri ya da hiç dahil etmedikleri için başarısız oluyor. Dell ve Dimensional Research’ün araştırmasına göre durum bu. İşletme yöneticileri güvenlik ekibinin araya girmesi yüzünden dijital dönüşüm çabalarının engellenebileceği korkusu taşıyor.

Bazı küçük işaretler eğilimin değiştiğini gösteriyor. Kayıtlı ihlal rakamları, sorunlu IoT yazılımı ve tasarım aşamasında güvenlik hareketi (hiç şüphesiz Avrupa Birliği GDPR tarafından desteklendi) yönetim kurulunda daha büyük bir odağa sahip oldu. “Bugün tüm organizasyonlar ve CIO’lar için güvenliğin en önemli ajanda halini aldığını görüyoruz,” diye konuşuyor CCS Insight’ın kurumsal araştırma uygulamalarına liderlik eden analist Nick McQuire.
“Amerika ve Avrupa’da incelediğimiz işletmelerin yüzde 70’i güvenlik bütçelerinin arttığını gösterdi. Yarıya yakın bir kısmı önümüzdeki birkaç yıl içinde muhtemelen bir siber saldırıya maruz kalacaklarını söylüyor. Veri güvenliği dijital işyerleri için en büyük yatırım ve en büyük güçlük mobil uygulamalara yaymak ki bu sıklıkla dijital dönüşüm stratejilerinin ilk yüzü,” diyor McQuire. “Kesin kez değişen şey şu ki bugün güvenlik sadece anahtar bir teknik öncelik halini almadı aynı zamanda o bir iş önceliği de oldu.” Bu görüş herkes tarafından paylaşılmıyor. “Firmalarla yaptığım görüşmelerden edindiğim deneyimime göre onlar güvenliğe sözde bağlılar ve o dijital dönüşüm sürecinin temel bir bileşeni değil,” şeklinde konuşuyor J. Gold Associates kurucusu ve baş analisti Jack Gold.

Bu onun önemini bilen ama ne anlama geldiğini bilmeyen CEO’lar yüzünden. Aynı zamanda farklı tedarikçilerden çeşitli çözümleri içeren teknolojik “yama işi” yüzünden. “Gerçekten hepsini bir araya getirmek güç,” diyor Gold.

McQuire, işletmelerin teknolojik ilerlemeye ayak uydurma savaşı verdiğini itiraf ediyor. “Birçok işletme teknolojinin hızlı değişimine yetişemiyor. Gözleriniz kötü niyetli kod saldırılarını görmezden evvel tehdit uzayı dönüşüme uğruyor,” diye konuşuyor. “Ayrıca GDPR yapısında önemli mevzuat değişimleri de geliyor ki bu yeni baskıları getiriyor, zayıf güvenlik ve gizlilik süreçlerine sahip olanları mali olarak sorumlu tutuyor.”
“Bunu çoğu işletmedeki genel bir güvenlik yeteneği eksikliğiyle birleştirin. Çoğu, iş verilerine çeşitli cihaz ve bulut uygulamaları üzerinden erişen çalışanlarını doğru biçimde koruyamayan karmaşık eski güvenlik teknolojilerini kullanıyor ve hızla gelişen bir güvenlik pazarınızı mevcut,” diye ekliyor McQuire. “İşte bu yüzden bulut erişim güvenliği, kullanıcı davranış analitikleri ve otomatik öğrenme, servis olarak kimlik, çok faktörlü yetkilendirme ve örnek mobil saldırı savunması gibi daha yeni güvenlik teknolojileri yükselişte. Bu teknolojiler modern bir güvenlik yığınının yeni katmanlarını temsil ediyor; sayıları giderek artan sınırları dışında bulunan daha fazla firma verisini korumak zorunda olan organizasyonları koruyan.”

Güvenliğin dijital dönüşümdeki rolü nedir?
DX’in bir dizi aşaması mevcut ama güvenliğin doğal olarak onun içinde nereye oturduğu belirsiz. Altimer Group’un dijital dönüşümün altı aşamasında ilerlediğimizde, güvenliğin tüm aşamalara, ya da en azından son aşamalara, dâhil olması gerektiği tartışılabilir.
Öyle görünüyor ki CISO’lar tüm DX süreçlerinde var olmaya çalışıyor. Söz gelimi geçen yılki bir etkinlikte Los Angeles CISO’su Timothy Lee, dijital dönüşümü benimseyen CISO’ların hızla gelişen global pazara adapte olmada organizasyona yardımcı olabileceğini söyledi. “Bizim işimiz sadece fırsat ve riski yönetmekle ilgili değil. Bizim rolümüz siber güvenliği bir başarı aracı ve dijital dönüşümün temelinin bir parçası yapmaya doğru kayıyor,” diyor Lee.
Bu arada Xerox CISO’su Alissa Johnson (Beyaz Saray eski CIO vekili) CISO’nun “güvenliği tasarım sürecinin en başına” yerleştirmesi gerektiğini söyledi. İnovasyonu önleyerek aynı CISO’lar “firmanızın rekabet etme ve konuyla ilgili kalma yeteneğini aksatabilir.”
Geçen haftanın CSO50 konferansında National Oilwell Varco CIO ve CISO’su Alex Phillips dijital için güvenlik altyapısının nasıl yeniden düşünüldüğünü açıkladı ama güvenilir bir partner’le ve adım adım bir süreçle. Bu ilerleyiş aynı zamanda Gold’un, sadece diğer herkese bir servis sağlayıcısı olmaktan ziyade güvenliğin kendi dönüşümünü üstlenmesi gerektiği görüşüyle de uyumlu.
Eski CISO ve şimdi Duo Security baş analisti olan Dougle Copley belki de dijital dönüşüm ikilemini en iyi yakalayan kişi; CISO’ların IaaS, mikro servisler ve API’ler tarafından domine edilen bilgi çağının yeni “temel taşlarına” hem kültürel hem de teknolojik olarak yanıt vermek zorunda olduğunu öne sürüyor. “CISO ya da benzeri bir rolde olanlar için, organizasyonunuzun yeni iş modellerini ve yeni teknolojileri benimsemesine imkân tanımak yeni ölçü ve bu sizin rolünüz için temel bir gereksinim.”

Güvenliğin dâhil olduğu aşamaları tartışırken McQuire güvenliğin en başından dâhil edilmesi gerektiği konusunda hemfikir. “Güvenlik tüm dijital dönüşüm girişimlerinin en başında olmalıdır, ideal olarak en başta planlama ve tasarım safhalarında. Güvenlik düşünülmeden ya da doğru prensipler belirlenmeden tasarlandıklarından projelerin sıklıkla geciktiğine ya da zorlandığına şahit oluyorum. Bu yüzden güvenlik ekibi nihayet dâhil olduğundan projenin tamamına kırmızı bayrak takılıyor,” diye konuşuyor. “En başından dijital dönüşüm çabasının bir parçası olarak güvenliği temin eden firmalar uzun vadede sadece başarılı olmuyorlar aynı zamanda günümüz ikliminde pazara çıkma anlamında çok daha hızlı ilerliyorlar.”

Dijital dönüşüm yeni güvenlik çözümlerine ihtiyaç duyuyor mu?
McQuire güvenliği destekleme amacıyla yeni teknolojiler için bir talep görüyor. “Sınırların kaybolmasıyla birlikte güvenlik gereksinimleri değişiyor,” şeklinde konuşuyor. Çoğu durumda birbirleriyle konuşamayan, ağırlıklı olarak savunma güvenliği ürünlerinin karmaşık bir karışımına sahip müşterilerde bir odak değişikliği görüyoruz. Onlar tespit ve yanıt vermeye imkân tanıyan daha bütünleşik ve eksiksiz bir güvenlik platformuna ihtiyaç duyuyor.

“İhtiyacın savunmadan, savunma, tespit ve tepkiye kayması büyük oranda onların altyapıları çapında görülebilirlik ihtiyacı tarafından besleniyor; cihazlar, ağlar ve hem yerinde hem de buluttaki uygulamalar çapında,” diye sürdürüyor konuşmasın McQuire. “Firmaların daha geniş bir saldırı yüzeyinde tehditleri tespit edebilmesi ve itibar zedelenmesi ile uyumluluk riskinden kaçınmak için her zamankinden daha hızlı tepki verebilmeye olan gereksinimi sayesinde bu büyük bir değişim. İşte bu yüzden pazardaki güvenlik kategorilerinde satın almak etkinliklerinin son birkaç yıl zarfında yükseldiğini görüyoruz. Güvenlik pazarı bu yeni dönem için kendini yeniden şekillendiriyor. Modern güvenlik teknolojileri firmaların güvenlik mimarileri oluşturmalarına yardımcı olacak; bilgiişlemin mobil ve bulut çağı için, GDPR altında veri uyumluluğunun yeni dönemi için amaca uygun mimarileri.”

Gold “gevşek sistemleri” bir araya getirmede yapay zekanın potansiyelini görüyor; “samanlıktaki iğneyi bulmak için” ağlar üzerinde yeni anlayışlar sunuyor. “Yeni teknolojiye yalnız dijital dönüşüm için gereksinim duyulmuyor aynı zamanda CISO’ların yeni güvenlik modelleri geliştirmesine imkân tanımak için de gerekli,” diye konuşuyor.

Sonuç itibariyle; analistler takımların güvenliği anlayan (ya da bunu bilen çalışanlara sahip), uygun kaynaklara sahip olan ve ardından güvenliğin neden önemli olduğu hususunda organizasyonu eğitebilecek dijital dönüşümden sorumlu bir idareciye sahip olması gerektiğini söylüyor. “Şayet firmanız dijital dönüşüm sürecindeyse ve güvenliği katmıyorsa başarısız olacaksınız. Güvenlik olmadan dijital dönüşümün fazla bir manası yok.”

Categories: Uncategorized

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*