‘Güvenlik stratejisi’ 2013’te şirketlerin gündeminde
Sınırları olmayan dünyada bilgi güvenliğinin önemine dikkat çeken Deloitte’un yeni raporu, şirketlerin geçen yıldan farklı olarak bilgi güvenliğinde strateji oluşturmaya daha çok önem verdiklerini ortaya koyuyor
Profesyonel hizmetlerde dünyanın en büyük firmalarından biri olan Deloitte, ‘2013 TMT (Teknoloji, Medya ve Telekomünikasyon) Küresel Güvenlik Çalışması’nı yayınladı. 33 farklı ülkeden 122 şirketle yapılan görüşmelerle oluşturulan çalışma raporunda, bilgi güvenliğine yatırım, dış tehditlerle mücadele ve üçüncü partilerden gelebilecek tehditlerle ilgili bilgiler yer alıyor.
Deloitte Türkiye Kurumsal Risk Hizmetleri Lideri Cüneyt Kırlar raporla ilgili olarak, “Bu yılki raporda geçen yıla göre farklı bir tablo karşımıza çıkıyor. Önceden güvenlik ile ilgili yatırımlarda uyum ön plandayken şimdi güvenlik stratejisi ön plana çıkmış, bu da güvenlik konusunun öneminin kurumlarda daha net bir şekilde anlaşıldığını ortaya koyuyor. Bu durumun sektör açısından güvenlikten katma değer sağlamak için önemli bir fırsat olduğunu düşünüyorum. Bunun yanı sıra en büyük tehdit olan insanın sorunun çözümünün bir parçası haline getirilerek farkındalık ve güvenlik eğitimlerinin ön plana çıkması ayrıca sevindiricidir. ” dedi.
Şirketler neden bilgi güvenliğine yatırım yapıyor?
Geçtiğimiz sene yayınlanan 2012 raporunda, bilgi güvenliğine ilişkin girişimlerin itici gücü olarak yasal uyum gösterilirken, 2013 raporunda bu gerekçenin yerine güvenlik stratejisi ve yol haritası oluşturma ihtiyacı yer alıyor. Böylelikle bilgi güvenliği ile ilgili geliştirmeler, artık yasal uyumsebebiyle değil, gerçekten iş süreçlerinde bir gereksinim olması nedeniyle yapılıyor. Strateji ve yol haritası oluşturmadan sonra gelen ihtiyaç ise bilgi güvenliği eğitimi ve farkındalığı ile mobil güvenlik olarak karşımıza çıkıyor
Medya, endüstri casusluğunu önemsemiyor
Bilgi güvenliğinin şirketler arası rekabette bir farklılaşma noktası haline geldiğini belirten raporda, şirketlerin %28 oranla en çok ‘servis engelleme(DoS) saldırıları’ndan endişeli oldukları iletiliyor. Küçük şirketlerin %33’ü endüstriyel casusluğu orta ve yüksek seviye tehdit olarak algılarken, bu oran büyük şirketlerde %67’ye kadar çıkıyor. Sektörel anlamda ise endüstri casusluğunu düşük seviyeli tehdit olarak düşünenler %82 oranında medya şirketleri.
Güvenlik yeterli değil!
Çalışmaya katılan tüm teknoloji, medya ve telekomünikasyon şirketlerinin %88’i, teknoloji şirketlerinin ise %92’si, dışarıdan gelebilecek siber tehditlere karşı çok ya da yeterince güvende olduklarını düşünüyor. Raporda öne çıkan noktalardan biri de, çalışmaya katılan şirketlerin %59’unun, son 12 ayda bir sızıntıya maruz kalmış olması.
Öte yandan rapora göre siber saldırılardan %100 oranında korunmak mümkün değil. Bunun yerine, olası tehditlerin oluşturabileceği zararlara karşı önlem alma, tehdidi öngörme ve buna hızlı yanıt verme yeteneklerini geliştirmek gerekiyor. Günümüzde bunu sağlamak için şirketler, güvenlikten ziyade siber esnekliğe daha çok odaklanmış durumda.
Raporda öne çıkan tehditlerden bir diğeri de ‘hacktivism’. Aktivizim ve hackleme’nin bir kombinasyonu olan hacktivism bugünlerde bir iş sonucu olarak ya da bir kişi veya grup hakkında konuşmak sebebiyle bile baş gösterebiliyor. Böylesi bir tehdidin önüne geçmek için ise şirketlerin %55’inin siber suçlara ilişkin genel bilgi, %39’unun ise kendilerine yöneltilen siber suç ve saldırılar hakkında spesifik bilgi topladığı belirtiliyor.
İnsan, bilgi güvenliği için bir tehdit
Teknolojiye ilişkin güvenlik riskinin, bizzat teknolojinin bünyesinde geçirdiği evrime bağlı olduğu belirtilen raporda, insan faktörünün de güvenlik için başlı başına bir risk oluşturduğu ve şirketlerin %70’inin çalışanlarının güvenlik farkındalığı konusunda eksik olduğu iletiliyor. Bu şirketlerin ise sadece %44’ü çalışanlarına genel güvenlik eğitimi veriyor.
Son yıllarda, çalışanların işyerlerine kendi cihaz ve yazılımlarını getirmesini ve halka açık bulut bilişim araçlar kullanmasını teşvik eden “Bring your own device – Kendi cihazını getir” ve The Rogue IT gibi bulut bilişim trendleri, bilgi güvenliği konusunda ciddi sorunlara neden oluyor. Özellikle çalışanların iş için kullandıkları cihazları, şahsi işler için de kullanması, mobil cihazları üçüncü kişilerin ana hedefleri haline getirmesinde büyük risk oluşturuyor. Bu açıdan mobil cihazlar %74 oranla bilgi güvenliği risk sıralamasında ikinci iken, hacker ve iş ortakları gibi üçüncü partiler/kişiler %78 oranla birinci sıraya yerleşiyor. Bulut bilişim araçlarının oluşturduğu risklere karşı ise büyük şirketlerin %80’inin ‘gizlilik programı’na sahip olduğu belirtiliyor.
Deloitte’un “2013 TMT (Teknoloji, Medya ve Telekomünikasyon) Küresel Güvenlik Çalışması” başlıklı raporunun İngilizcesine, http://www.deloitte.com/tmtsecuritystudy adresinden ulaşılabilir.