Açık kaynak çözümlerinde dünya lideri Red Hat, siber güvenlikte insan kaynağı eksikliğinin bir sorun yarattığına dikkat çekiyor.
Yeni bir kurumsal uygulama hızlıca geliştirilirken güvenlik geri planda kalabiliyor. Bu da güvenlik ekiplerinin yeterli büyüklükte olmamasına ve iş yükünün yüksek olmasına neden oluyor. Aynı zamanda yeterli becerilere sahip siber güvenlik profesyonelini her şirket ekibine dahil etmek istiyor ve siber güvenlik pozisyonlarıyla ilgili iş miktarı da artmaya devam ediyor.
Siber güvenlikte insan kaynağı eksikliği, kurumların verilerini, parasını, zamanını ve saygınlığını ele geçirmeyi hedefleyen siber suçlulardan daha büyük bir tehlike oluşturabiliyor. COVID-19’un ardından güvenliğin bazı konularda arka plana atılmasıyla siber güvenlik insan kaynağında yaşanan güçlükler çok daha büyüyor.
COVID-19 öncesinde yetenekli siber güvenlik çalışanlarını bulmak ve elde tutmak zordu, çalıştırmak da pahalıydı. Pandemiyle birlikte siber güvenlik alanındaki yetkinlik eksikliğini gidermek için gösterilen önemin yerini evden çalışma özelliklerini artırma ve sıfırdan oluşturma aldı. Birçok şirket proaktif güvenlik üzerine çalışmayı ertelemesiyle siber güvenlik alanındaki insan kaynağında büyük boşluklar oluşmaya başladı.
Uluslararası ve kar amacı gütmeyen üyelik kuruluşu olan (ISC)2‘nin pandemi öncesinde gerçekleştirdiği araştırmaya göre siber güvenlik alanında Amerika’da yaklaşık 500.000 kişilik açık bulunuyor. Kuruluş, Amerika’da tahmin edilen çalışan sayısıyla aradaki boşluğu birleştirdiğinde Amerika’daki şirketlerin ihtiyaçlarını bugün karşılaması için iş gücünün yüzde 62 büyümesi gerekiyor. Araştırmada yer alan 11 ekonomide yer alan yaklaşık 2,8 milyon çalışan ve 4,07 milyon kişilik boşluk göz önünde bulundurulduğunda tüm dünyada çalışan sayısının yüzde 145 artması gerekiyor.
Bu araştırmayı oluşturan anketi cevaplayanlar, yeterli beceriye veya deneyime sahip olmayan siber güvenlik personeli eksikliğinin en önemli endişeleri olduğunu ve çalışan boşluğunun şirketlerini orta veya yüksek seviyede bir riske sokuyor. Ponemon Institute’un gerçekleştirdiği 2020 Cost of a Data Breach Report araştırması da COVID-19 tüm dünyaya yayılmadan birkaç ay önce başladı ama uzaktan çalışanların potansiyel etkisiyle ilgili destekleyici sorular, şirketlerin yüzde 76’sının potansiyel bir veri ihlaline karşılık vermeyi zorlaştıracağını düşündüğünü ortaya çıkardı.
Red Hat Türkiye Genel Müdürü Haluk Tekin: “Ponemon’un araştırması, ortalama bir veri ihlalinin maliyetini 3,86 milyon dolar olarak belirliyor. Bu yüzden siber güvenlik olayını başlamadan engellemek kritik öneme sahip. Siber güvenlik açığını bir anda kapatmak mümkün olmayabilir ancak şirketlerin çalışan almak yerine yapabilecek birçok şey var.”
1. İç güvenlik eğitimi ve sertifika programı oluşturmak
Farkındalığa sahip şirketler, gerçek bir siber güvenliğim kültürel değişim gerektirdiğini biliyor. Belli bir aşamaya kadar siber güvenlik, her çalışanın sorumluluğu olmalı. Haluk Tekin, bu durumu “Her ne kadar pazarlama direktörünün şirketi siber saldırganlara karşı koruması gerekmese de her çalışanın bir güvenlik eğitimine ve sertifika programına katılması gerekiyor. Bu programların PowerPoint sunumu yerine çalışanların etkileşime geçebileceği, siber güvenlik tehditlerini anlayabileceği ve tehditleri savuşturmak için oynadıkları rolleri anlayabilecekleri eğitimler olması gerekiyor” diyerek açıklıyor.
2. Güvenlik alanında bilgi paylaşımını teşvik etmek
Eğer güvenlik herkesin işiyse, güvenlikteki insan kaynağının sadece BT departmanlarında sınırlı kalmaması gerekiyor. Güvenlik, gelişmekte olan DevSecOps hareketiyle geliştirme alanına giriş yaptığı gibi, güvenlik insan kaynağına şirket içinde başka alanlardaki kişiler de entegre edilebilir. Böylece şirket içinde güvenlik sorunlarına dair bir farkındalık oluşturabilmenin yanında sıfırdan geliştirilen süreçlere, ürünlere ve hizmetlere güvenliğin eklenmesi için departmanlar arası çalışmalar teşvik edilebilir.
3. Güvenlik araçlarını dikkatli bir şekilde incelemek
Birçok kurum, ihtiyaç duymadığı veya eskide kalan ve bulut, konteynerler ve Kubernetes gibi yeni teknolojileri destekleyemeyen güvenlik araçlarını kullanıyor. Bu da daha fazla zamanın boşa harcanmasına ve maliyetin artmasına neden oluyor. Mesela birçok şirket artık kullanılmayan sistemleri korumak için tasarlanan geleneksel güvenlik araçlarını çalıştırıyor.
Şirketler aynı zamanda takip etmesi gereken çok fazla araç kullanarak lüzumsuz araçların yer almasına ve sayıları artan araçların yönetiminin zorlaşmasına neden oluyor. Buna ek olarak işletim sistemi, konteyner platformu veya bulut sağlayıcısı tarafından verilen güvenlik araçları gibi halihazırda sistemlerde yer alan güvenlik araçlarını tam kapasiteyle kullanamıyor. Mevcut güvenlik araçlarına yönelik yapılacak detaylı bir envanter listesi sayesinde mevcut güvenlik sorunları giderilebilir.
4. İstikrarlı bir otomasyon stratejisi kullanmak
Kullanılan bileşen sayısının artmasıyla bir insan veya insan grubunun tüm güvenlik boşluğunu doldurması imkansız hale geliyor. BT ortamları ve dünyanın kendisi gibi BT ekiplerinin karşılaştığı güvenlik olayları da daha karmaşık hale geliyor. İstikrarlı bir otomasyon stratejisi, insan hatasını azaltarak, sorunları azaltarak, güvenlik alarmlarına daha hızlı karşılık vererek, tekrarlanabilir güvenlik ve uyumlu iş akışları geliştirerek kurumların riskleri daha etkili bir şekilde ortadan kaldırmasına yardımcı oluyor.
Haluk Tekin, sözlerine şu şekilde devam ediyor: “Otomasyonun bir veya birçok üründen fazlası olduğunu unutmamak gerekiyor. Kurumların uygulama geliştirme, altyapı, güvenlik operasyonları gibi birçok alana tutarlı otomasyon stratejisi sunan bir yaklaşım benimsemesi gerekiyor. Hatta Ponemon’un Cost of Data Breach Report araştırmasına göre otomasyonu eksiksiz şekilde kullanıma alan kurumlar, herhangi bir otomasyonu hizmete almamış kurumlara kıyasla bir veri ihlalinde karşı karşıya kaldı maliyet ortalama 3,58 milyon dolar azalıyor.
Siber güvenlikte insan kaynağı sorununun üstesinden gelmek mümkün mü?
Tamamen çözülmesi mümkün olmayan insan kaynağı problemini proaktif planlama yaparak, stratejik teknolojileri kullanıma alarak ve geniş çaplı, kesintisiz devam eden ve etkileşim yaratan güvenlik farkındalık eğitimi ve işbirliği gibi yöntemlerle etkili bir şekilde yönetmek mümkün.
