Siber güvenlik sektöründe dış kaynak kullanımı
Kaspersky Ticari Faaliyetler Yöneticisi (CBO) Alexander Moiseev, dış kaynak kullanımı ile siber güvenlik bütçesi, denetimi ve uzmanlığıyla ilgili sorunları çözme konusunda düşünceleri paylaştı.
Dış kaynak kullanımı tüm dünyada yaygın kullanılan bir yöntem ve siber güvenlikte de bundan yararlanılıyor. Gartner’a göre, yönetilen güvenlik hizmetleri pazarı 2018’de yüzde 6,7 büyüyerek 10,7 milyar dolar toplam ciroya ulaştı. Bunun ileride daha da artması bekleniyor.
Hizmet sağlayıcılar ve satıcılar müşterilerine uzmanlıklarını, bilgilerini ve çözümlerini birer hizmet şeklinde sunarak bu pazara katkı sağlıyor.
Biz de Kaspersky olarak bu şekilde çalışıyoruz. Hizmet geliştirmek uzun yıllardır şirketimizin stratejik önceliklerinden biri. Daha yakın zaman önce şirketlere açıklar ve tehditler hakkında istihbarat sunan yeni bir hizmetimizi duyurduk.
Günlük yaşantımda, son zamanlarda herkesin de benzer alışkanlıkları olduğunu düşünüyorum; pek çok farklı hizmetten yararlanıyorum. Taksi, yemek servisi, ev temizliği, hediye satın alma, antrenman programları veya seyahat planı gibi şeylerin tümü için dışarıdan destek alabiliyorum. Bu benim için kahvaltı etmek kadar doğal bir şey.
Dış kaynak kullanımıyla elde edilen avantajlar şirketlerin birçok ihtiyacını karşılayabiliyor. Ancak bütünsel olarak baktığımızda bunların tamamı üç temel sorunu çözmek için uygulanıyor: İçeride gerekli uzmanlığın olmaması, zayıf bütçe planlama ve denetim.
Daha fazlası için dış kaynak
Çoğu hizmet bize başka türlü gücümüzün yetmeyeceği şeyler sağlıyor. Örneğin, her gün farklı malzemelerden yapılmış değişik yemekler yemek için insanların çok fazla para ve vakit harcayıp pahalı ürünler satın alması veya pahalı restoranlara gitmesi gerek.
Bunun yerine yemek servisleri her gün müşterilerinin damak tadına uygun yeni lezzetleri çok daha uygun bir fiyatla sunabiliyor. Araç paylaşımı sayesinde, kendiniz satın alacak güce sahip olmasanız bile üst düzey bir araba kullanabiliyorsunuz.
Şirketler için BT hizmetleri de bu şekilde işliyor. Diyelim ki bir şirket veri merkezini genişletmeye ihtiyaç duyuyor olsun. Bu şirketin sunucular satın alması, veri merkezinde daha geniş bir yere sahip olması ve kurulum için zaman harcaması gerekli.
Ancak bunun yerine açık buluttan iş yükü satın alıp, kendi altyapısını kurmak için harcayacağı paradan tasarruf edebilir. Gelişmiş siber koruma için güvenlik operasyonları merkezi kurmak da buna örnek gösterilebilir.
Dahili bir SOC (Güvenlik Operasyonları Merkezi) kurmak için personel yatırımı yapmak, tespit ve müdahale süreçleriyle ilgili teknolojiler almak gerekir.
Buna alternatif olarak, yönetilen hizmet sağlayıcıları ve satıcılar güvenlik operasyonları merkezlerini bir hizmet olarak sunuyor. Bu merkezlerde konusunda uzman kişiler, koruma çözümleri ve tehdit istihbaratı hazır oluyor.
Uzmanlık için dış kaynak
Şirketlerin sorun yaşadığı alanlardan biri de kendi bünyelerinde yeterli uzmanlığa sahip çalışanların az olmasıdır. Her üç CISO’dan biri deneyimli siber güvenlik profesyoneli bulmakta zorlandığını söylüyor.
Günlük yaşantımızda bilmediğimiz bir konu olduğunda hemen o konunun uzmanına danışırız. Evde yapılacak tamiratlardan kişisel hukuki ve finansal sorunlarımızı çözmeye kadar hemen her konuda bu geçerli. Şirketler de benzer bir yaklaşım sergilemeli.
Siber güvenlik işlerinden sorumlu orta düzey yöneticiler BT güvenliği hakkında karar alırken kritik bir rol üstleniyor. Güvenlik ile ilgili talepleri değerlendiren ve hangi çözüme ihtiyaç duyulduğunu belirtenler onlar oluyor.
Bunu düzgün yapabilmek için birden fazla uzmanın bulunması gerekli. Aynı sağlık sektöründeki heyet raporlarında olduğu gibi uzmanların da en iyi çözümü belirlemek için birlikte çalışması lazım.
Şimdi bir şirketin yeterli sayıda çalışana sahip olmadığını ve mevcut çalışanların da ağır iş yükü altında ezildiğini düşünün. Hatta bu çalışanların bulut bilişim veya IoT güvenliği gibi konularda etkin çalışmasına yetecek bilgiye sahip olmadığını hayal edin.
Bu durumda dış kaynak kullanımı bir çözüm yolu olabilir. Hizmet sağlayıcılar siber güvenlik uzmanlarını toplayıp hizmet kalitesine odaklanıyor çünkü gelirleri müşteri memnuniyetine bağlı. Hizmet pazarı giderek daha da rekabetçi bir ortam haline geliyor.
Ami Partners tarafından yapılan değerlendirmeye göre, yönetilen hizmet sağlayıcılarının sayısı 2016’da 48.000’ken, 2021’de neredeyse iki katına çıkıp 74.000’e ulaşacak. Bu da bu şirketlerin müşterilerini korumak için bilgi ve itibar düzeylerini yukarıda tutması gerektiği anlamına geliyor.
Kurumsal şirketler bu başarısı kanıtlanmış yolu uzun süredir izliyor. Röportaj yaptığımız CISO’ların en az yarısı (yüzde 55) personel sorununu dış kaynak kullanımıyla çözdüğünü dile getirdi. KOBİ’ler için ise bu yöntem çok daha faydalı çünkü genellikle BT güvenliği için çok kısıtlı insan kaynağına sahip oluyorlar.
Bütçe kontrolü için dış kaynak
Siber güvenlik için dış kaynak kullanımının diğer bir büyük faydası ise yapılması gereken çok önemli kaynak planlamasına yardımcı olması. Bu örneğin BT ve BT güvenliği için bir bütçe planlama yöntemi geliştirmemiş ve gerçek maliyetleri belirlemekte zorlanan şirketler için faydalı oluyor.
Uç nokta için siber koruma sistemi bir hizmet olarak satın alındığında güvenlik yöneticisi tam olarak ne alacağını, ne kadar ödeyeceğini ve hizmet kurulumunun ne kadar süreceğini bilebiliyor. Şeffaflık, açıklık, tahmin edilebilir sonuçlar ve önceden belirlenmiş maliyetler dış kaynak kullanımının en önemli avantajları arasında yer alıyor.
Bir şirket BT güvenliği bütçesini kısmaya ihtiyaç duyduğunda da dış kaynak kullanımına yönelebilir. Şirket mevcut güvenlik düzeyini korumak isteyeceğinden bütçenin akılcı bir şekilde bölünmesi gerekir. Yöneticiler ne harcadığını ve bunun karşılığında ne aldığını tam olarak anlamalıdır.
Şirketler bu fırsatlara hazır mı?
Yukarıda bahsedilen avantajlara rağmen siber güvenlik için dış kaynak kullanımının şirketlerin ancak zor zamanlarda, örneğin bütçeleri kısıtlı olduğunda tercih ettiği bir seçenek olduğunu gözlemledim.
BT yatırımları artan şirketler sahip oldukları uzman sayısını artırıp sorunları içeride çözmeye çalışıyorlar. Hizmet sağlayıcılara şüpheyle yaklaşıyor veya iç kaynakların daha kolay kontrol edilebileceğini düşünüyor olabilirler.
Aynı zamanda kendi kanalımızda yönetilen hizmet pazarının dar hedefli hizmetlere yöneldiğini görüyoruz. Hizmet sağlayıcılar belirli bir alana odaklanıp o alanda uzmanlaşıyor ve sundukları hizmet düzeyini yükseltiyor.
Şirketlerin kendi içlerinde bu dar alanlarda uzmanlıklarını artırması onlar için maliyetli olabilir. Bu nedenle ileride aksi bir durumla karşılaşabiliriz. Siber güvenliğe daha çok yatırım yapan şirketler belirli konularda uzmanlık gerektiren etkili hizmetleri dışarıdan daha çok talep edebilir.
