Intel Security ve Stratejik ve Uluslararası Çalışmalar Merkezi (CSIS), siber güvenliği alanındaki problemlerin nedenlerini yeni bir küresel raporla açıkladı.
“Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity” başlıklı araştırma raporuna göre; siber suçlular oldukça özgür bir alanda hareket ederken, siber güvenliği uzmanları bürokratik engellerle mücadele ediyor. Kurumların %93’ü siber güvenlik stratejisine sahip, ancak sadece %49’u bu stratejileri tam anlamıyla uyguluyor. Yöneticilerin %60’ı güvenlik stratejilerini tam olarak uyguladıklarından emin. Bu oran IT profesyonellerinde %30’a düşüyor.
Intel Security, Stratejik ve Uluslararası Çalışmalar Merkezi (CSIS) iş birliğiyle “Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity” başlıklı küresel araştırma raporunu yayınladı.
Rapor, üç temel kategoride şirketlerin kurumsal yapısı karşısında siber suç örgütlerinin serbest ve kural tanımaz hareket alanı, strateji ile uygulama arasındaki farklar ve üst düzey yöneticiler ile uygulamayı gerçekleştiren IT çalışanları arasındaki ilişkiyi inceliyor.
5 farklı sektörden 800 siber güvenlik profesyoneliyle yapılan küresel bir araştırmaya dayanan rapor, siber suçluların akıcı ve dinamik bir ortamda işlerini büyütmelerini sağlayan avantajları nasıl elde ettiklerini ortaya çıkarıyor. Siber güvenlik ekipleri ise bürokratik hiyerarşiler içerisinde çalışmalarını yürütmek zorunda kalıyor.
Şirketlerin güvenlik operasyonlarındaki problemler pek çok farklı nedene dayanıyor. Örneğin, şirketlerin %90’ından fazlası bir siber güvenlik stratejisine sahip, ancak %50’den azı bu stratejileri tam anlamıyla uyguluyor. Ayrıca, %83’ünde siber güvenlik sızıntıları yaşandığını belirtiliyor; bu da strateji ile uygulama arasındaki uyumsuzluklara işaret ediyor.
Öte yandan, araştırma siber suçluların direkt bir motivasyon kaynağına sahip olduklarını, siber güvenlik çalışanlarının ise gördükleri takdir ve aldıkları teşviğin az olduğunu düşündüğünü gösteriyor. Ancak uzman ekibin aksine yöneticiler sunulan teşviklerin yeterli olduğunu savunuyor. Örneğin, siber güvenlik çalışanlarının %42’si yaptıkları işlerin hiç bir teşvik içermediğini belirtirken, bu oran karar vericilerde %18 ve liderlerde %8.
Raporda öne çıkan diğer konular ise şöyle;
- IT uzmanları, yöneticilere göre siber güvenlik stratejilerinin uygulanmasındaki temel problemlere neden olan ekip ya da kaynak eksikliklerini gözlemlemek ve tespit etmekte 3 kat daha başarılılar.
- Siber güvenlik profesyonellerini motive edecek unsurların azlığına rağmen, uzmanların %65’i kurumlarının güvenliğini artırmak için istekliler.
- Siber güvenlik stratejisini tam olarak uygulamada en düşük başarıya sahip grup, %38 ile kamu kurumları. Bu kurumlar aynı zamanda yetersiz kaynak (%58) ve ekip (%63) sorunları yaşıyor. Şirketlerde bu oranlar sırasıyla %33 ve %43.
Rapor siber güvenlik uzmanlarının siber suçlulardan öğrenebilecekleri şeyler olduğunu da vurguluyor.
Bu alanlar;
- Bir hizmet olarak siber suç yaklaşımına karşılık bir hizmet olarak güvenlik yaklaşımının benimsenmesi
- Şeffaflığı artırmak
- Siber yetenek havuzuna giriş için bariyerin aşağı çekilmesi
- Üst düzey yöneticilere sunulan performansa dayalı teşviklerin çalışanlara da sunulması
Rapora göre çoğu şirket siber güvenlik problemlerinin ciddiyetinin farkında ve buna çözüm üretmeye istekli. Kurumlar, siber güvenliği sadece maliyet açısından değerlendirmeyi bırakıp organizasyonel yapıları ve süreçlerine daha yenilikçi bir çerçevede kurgulamaya çalışıyor. Bu süreçte, siber suçlularla mücadelede güvenlik araçlarından daha fazlasına ihtiyaç var. Dengeli bir ölçüm ve teşvik modelinin belirlenmesi için çalışmalar yapılması gerekiyor.