Dünyanın önde gelen denetim ve danışmanlık firmalarından Ernst & Young’ın Yıllık Küresel Bilgi Güvenliği Anketi açıklandı. Mobil telefonlar, bulut bilişim, sosyal medya kullanımı ve diğer yeni teknolojiler, şirket sırlarının paylaşılmasını kolaylaştırıyor. Buna karşı şirketlerin bilgi güvenliğini yönetim kurulu düzeyinde ele alması ve bu konuya daha yüksek bütçe ayırması öneriliyor.
Teknolojideki gelişmeler, bir yandan şirketlerin verimini artırırken; bir yandan da şirketler için hayati önem içeren şirket sırlarının izinsiz olarak daha fazla paylaşılmasına neden oluyor.
Ernst & Young tarafından gerçekleştirilen Küresel Bilgi Güvenliği Anketi sonuçlarına göre, yazışmaların dijital ortama taşınması, cep telefonu kullanımı, sosyal medyaya erişim ve bulut bilişim, şirket bilgilerinin şirket dışına sızmasını kolaylaştırabilecek ortam sağlıyor. Şirketlerin bilgi güvenliği konusundaki boşlukların kapanması için tek yolun bilgi güvenliği altyapılarında köklü bir dönüşüme gitmek olarak gözüküyor. Ernst & Young’ın anket sonuçlarına göre, şirketler bilgi güvenliği hakkındaki risk ortamının değiştiğinin farkında. Ankete yanıt verenlerin yüzde 80’i dış tehditlerin artmasıyla risk faktörünün de yükseldiği konusunda hemfikir.
ABD’nin resmi rakamları da bilgi sızıntısının vardığı boyutu ortaya koyuyor: Kişisel tanımlanabilir bilgilerin izinsiz paylaşımı, 2011 yılında yüzde 19 arttı. Katılımcıların neredeyse yarısı da bu konuya karşı şirket içi hassasiyetin de geliştiği kanısında. Buna ek olarak katılımcıların yüzde 31’i bilgi güvenliklerini tehdit eden vakaların geçen yıla göre artış gösterdiğini, yüzde 59’u aynı oranda kaldığını, yüzde 10’u da düşüş gösterdiğini belirtti. Bilgi güvenliğine yönelik tehditlerin sıklığı ve güvenlik vakalarının artması bu konuda şirketlerin görebileceği potansiyel zararın da arttığına işaret ediyor. Şirketlere geçtiğimiz 12 ayda riski en çok artıran tehditler sorulduğunda, sonucun sosyal medya kullanımına ilişkin savunmasızlık unsuru olduğu görüldü.
ŞİRKETTEN DIŞARIYA KAZILAN TÜNEL: SOSYAL MEDYA
Şirketler, sosyal medya yoluyla bilgi sızıntısına maruz kalsalar da yeterli önlem almıyorlar: Ankete katılanların yüzde 38’i şirketinin sosyal medyaya yönelik koordineli bir yaklaşımı olmadığını, yüzde 19’u da bilgi güvenliği departmanınca bir yaklaşım sağladığını belirtiyor. Sosyal medya günümüzde şirketler için ürün geliştirme, geri bildirim, müşterinin süreçlere katılabilmesi gibi etkenler açısından anahtar bir görev üstleniyor.
Ayrıca şirketler arası ilişkileri, müşteri ilişkilerini, işveren, tedarikçi ve kural koyucu ilişkilerini yeniden yapılandırmış durumda. Eskiden günler süren süreçleri de dakikalara indirerek kısaltılmasını sağlıyor. Ancak sosyal medya bir şirketin marka bilinirliğini kısa sürede yukarı çekebildiği gibi aynı hızda da çökertebiliyor. Sosyal medyanın getirdiği zorluklar arasında veri güvenliği, gizlilik kaygıları ve düzenlemelerin getirdiği gereklilikler gibi sorunlar yer alıyor.
YETERLİ KAYNAK DA YOK BECERİ DE
Şirketlere bilgi güvenliği fonksiyonlarını yönetmelerini engelleyen en önemli etkenler sorulduğunda yüzde 43 katılımcı, kalifiye kaynaklardan yoksun olduğu ve bu durumun bütçe kısıtlamalarından kaynaklandığı yanıtını verdi. Önümüzdeki 12 ay boyunca ise katılımcıların sadece yüzde 22’si kalifiye kaynaklar için bütçe ayıracağını belirtti.
Bu yılki katılımcı şirketlerinin yüzde 63’ü resmi bir bilgi güvenliği mimarisinin olmadığını belirtti. Bazı şirketler bunun nedeni olarak kaynak, beceri ve bütçe sorunlarını gösteriyor. Şirketlere sosyal medya kullanımına ilişkin riskleri azaltma adına nasıl bir yaklaşım geliştirdikleri sorulduğunda, yüzde 45’inin sosyal medya sitelerine limitli kullanım getirdiği ya da tamamen yasakladığı, yüzde 40’ının güvenlik ve sosyal medya farkındalık programları hazırladığı, yüzde 20’sinin ise bu konuda bir şey yapmadığı görülüyor.
Ernst & Young’ın bilgi güvenliği anketi sonuçlarına göre şirketlerin sosyal medya, bulut bilişim, sanal suçlar ve süregelen tehditlerin oluşturduğu boşluğu kapatmak için bilgi teknolojilerine yaklaşımlarını değiştirmeleri gerekiyor. Raporda bu yaklaşımı değiştirirken şirketlerin aşağıdaki dört ana adımı yerine getirmeleri gerektiğine yer veriliyor:
- Bilgi güvenliği stratejilerini iş stratejileri ile entegre etmek
- Yeni teknolojiler hakkında detaylı bilgiler edinerek eskiden geçerli olan önyargıları kırmak
- Bilgi güvenliğini sağlayan fonksiyonların sürdürülebilir ve etkin bir şekilde değiştirilmesine müsait bir ortam yaratmak
- Yeni teknolojiler söz konusu olduğunda yeni fırsatlara ve risklere açık olarak bunların getiri ya da zararlarını şirket kullanımına göre düzenlemek
