Neden birçok kuruluş, gelişen tehdit ortamına ayak uydurmakta ve siber risklerini etkin bir şekilde yönetmekte zorlanıyor?
Finansal hizmet şirketleri, uzun süredir siber suçlular için popüler bir hedef oldular. Finans şirketleri, parayla çalışmanın ötesinde suçluların çeşitli dolandırıcılık planlarında kullandığı veya karanlık web pazarlarında sattığı bir dizi hassas müşteri verisine de sahipler. Verizon'un 2020 Veri İhlali Soruşturma Raporuna göre, finans sektörü yalnızca geçen yıl, 1.500'den fazla olay yaşadı ve bunların 448 tanesinde veri ifşası olduğu doğrulandı.
Uzun süredir devam eden tehditlere ek olarak, çoğu şirket son zamanlarda uzaktan çalışmaya hızlı geçişle uğraşmak zorunda kaldı. Değişim son derece kısa sürede gerçekleşti ve şirketlere yeterli siber güvenlik önlemleri uygulamak veya çalışanları yaklaşan siber tehditlere hazırlamak için çok az zaman kaldı. Pandemi eninde sonunda sona erecek olsa da uzaktan çalışma hayatımızda kalmaya devam edecek gibi görünüyor ve şirketlerin siber güvenlik planlarını ve politikalarını hazırlarken başa çıkmaları gereken zorluklar listesine ekleniyor. Finans kuruluşlarının çeşitli faktörler nedeniyle sıklıkla mücadele ettikleri zorlukların beş tanesini sıraladık:
Yetenek açığı
Pek çok şirket, saflarına katmak ve çeşitli tehditlere karşı bir savunma çevresi oluşturmalarına yardımcı olması için deneyimli veya gelecek vadeden siber güvenlik profesyonelleri arıyor olsa da etrafta yeterli sayıda işinin ehli yetenek yok. Aslında, siber güvenlik iş gücü açığı yıllardan beri ilk kez küçülmüş olsa da hala küresel olarak 3,12 milyon çalışan sıkıntısı var. Aslında, küresel yetenek açığını kapatmak için istihdam seviyelerinin Amerika Birleşik Devletleri'nde %41 ve dünya çapında %89 oranında büyümesi gerekir. Bu nedenle şirketler en iyi ve en parlak siber güvenlik zihinlerini çekmek için rekabetçi maaşlar ve tatmin edici iş fırsatları sunmak zorunda kalıyorlar ve kalacaklar.
Yetersiz bütçe
Şirketlerin siber tehditlerle doğrudan mücadele etmesini engelleyen kilit noktalardan biri de siber güvenliğe ayrılan bütçelerin yetersiz olmasıdır. Danışmanlık firması Ernst and Young tarafından yürütülen bir ankete göre, katılan kuruluşların %87'si, hedefledikleri siber güvenlik ve dayanıklılık düzeylerine ulaşmak için yeterli bütçeye sahip olmadıklarını belirtti. Kaynak eksikliği, şirketlerin çeşitli siber tehditlere karşı dayanıklı olmaları için gereken siber güvenlik uzmanlarını işe alamamalarına veya teknik önlemleri uygulamaya sokamamalarına neden oluyor.
Kendi siber güvenliğini abartmak
Şirketlerin yaptığı yaygın bir hata, siber güvenlik önlemlerinin ne kadar iyi olduğunu abartmaları. Şirketler her ne kadar her şeyin üstünde olduklarına inansalar da örneğin düzgün güvenlik açığı yama yönetimi politikalarına sahip olmayabilir. Buna bir örnek, Windows'ta bulunan BlueKeep güvenlik açığıdır. Yama Mayıs 2019'da yayınlandı ve Microsoft herkesi hemen yamayı dağıtmaya çağırdı; bir ay sonra, Ulusal Güvenlik Ajansı kendi uyarısını yayınladı , ancak Temmuz ayında hala güvenlik açığına sahip 805.000'den fazla makine vardı ve bu, Kasım ayındaki ilk BlueKeep saldırılarıyla sonuçlandı. Bu kadar ciddi bir güvenlik açığının kapatılmasının hiçbir koşulda altı ay sürmemesi gerektiğini söylemeye gerek yok.
Farkındalık eğitimi eksikliği
Bir şirketin siber güvenliğini baltalayan bir diğer yaygın durum, çalışanların yeterince siber güvenlik farkındalığı eğitimi almamasıdır. Muhtemelen, çalışanların kötü amaçlı yazılım indirmeleri veya şirket kimlik bilgilerini saldırganlara teslim etmeleri riskleri, uzaktan çalışmaya geçiş nedeniyle artmıştır. Ponemon Enstitüsü tarafından yürütülen bir araştırmayagöre, şirketler pandemi sırasında (kimlik avı ve sosyal mühendislik saldırıları dahil) siber saldırılarda bir artış kaydetmiş olsa da katılımcıların %24'ü kuruluşlarının uzaktan çalışmayla ilgili riskler hakkında yeterli eğitim vermediğini söylüyor. Endişe verici bir şekilde, araştırma, şirketlerin yarısından fazlasının uzaktan çalışanlar için gereksinimleri kapsayan hiçbir güvenlik politikasına sahip olmadığını da ortaya koyuyor.
Siber güvenliğin değerini küçümsemek
Bazı kuruluşlar, işleri için siber güvenliğin değerini hafife alır ve bunun yerine genişlemeleri finanse etmek veya yeni ürünler geliştirmek gibi daha değerli gördükleri diğer alanlara yatırım yapmayı tercih eder. Bir veri ihlalinden kaynaklanan potansiyel kayıplara göre siber güvenlik önlemlerinin maliyetinin, faydalarından daha ağır bastığını iddia edebilirler. Bununla birlikte, potansiyel cezalar ve kayıplar kısa vadede daha düşük gibi görünse de itibar kaybı, müşteri güvenini kaybetmek de dahil olmak üzere gelir akışlarını etkileyecek daha büyük sonuçlara yol açacağı kesindir. Alternatif olarak, başarılı olursa siber suçlular, karanlık ağdaki müşteri verileriyle birlikte satabilecekleri fikri mülkiyete erişim elde edebilirler. Bu nedenle, hem şirketi hem de müşterilerini korumaya hizmet eden siber güvenlik önlemleri sonradan düşünülecek bir kategori değildir!
Sonuç
Yukarıda bahsedilen faktörlerin herhangi bir kombinasyonu, bir siber saldırı ile karşı karşıya kaldıklarında çoğu kuruluş için felaket ile sonuçlanabilir. İşin iyi tarafı, finansal hizmet şirketleri siber güvenlik endişelerini en üst düzeyde ciddiye almaya başladı. Küresel yönetim danışmanlığı firması McKinsey, anket yaptıkları yönetim kurulu komitelerinin %95'inin yılda en az dört kez siber riskleri ve teknoloji risklerini tartıştığını ortaya koyuyor. Yine de üst yönetimde farkındalık oluşturmanın, siber güvenlik çözümlerine yeterli miktarda yatırım yapmak ve personeli mümkün olan en iyi standartlarda eğitmekle el ele gitmesi gerektiğini belirtmekte fayda var.