141 bilgi güvenliği ve bilgi teknolojileri yöneticisinin katılımıyla gerçekleşen PwC’nin Dijital Dünyada Güven Araştırması, COVID-19 sebebiyle şirketlerin değişen güvenlik endişelerine ve bu konuda aldıkları önlemlere ışık tutuyor. Şirketler pandemi dönemindeki bu dayanıklılık testinden nasıl geçtiler? İlerisi için stratejilerinde ve yatırımlarında ne gibi değişiklikler yapmayı planlıyorlar?
Dijital ekonomiler, COVID-19 salgını sebebiyle kapanan işyerlerinin ekonomiye verdiği hasarı hafifletmekte büyük bir rol oynadı. Teknoloji firmaları ve dijitalleşen şirketler başta olmak üzere tüm işletmeler otomasyon, sanal iş birliği, uzaktan çalışma, bulut teknolojilerine geçiş, tele tıp, doğrudan tüketiciye yönelik kanallar, insansız uçak ve 3 boyutlu yazıcılar gibi araçlar sayesinde şirketlerinin dijitalleşme süreçlerini hızlandırdı.
Siber güvenlik personeline, çözümlerine ve altyapılarına yapılan yatırımın getirisi hakkında ön yargılı olan yönetim kurulları ve üst düzey yöneticiler, pandemi sırasında duydukları bu ön yargıları bir kenara bırakarak yıllar içinde yaptıkları siber güvenlik harcamalarının ve CISO’nun liderliğinin değerini fark ettiler.
Günümüzde, CISO’lar ve CIO’lar farklı bir geleceğe uyum sağlıyorlar. CISO’ların/CIO’ların yüzde ikisi hariç tümü siber stratejilerinde değişiklikler yapmayı planlıyor ve yatırım önceliklerini yeniden belirliyorlar. Bilgi teknolojileri yöneticilerinin %70’i organizasyon gelirlerinin COVID-19 nedeniyle 2020 yılında düşmesini beklerken, dörtte birinden daha fazlası gelirlerde %25’in üstünde bir azalış olmasını bekliyor. Bu, hayatta bir kez yaşanacak bir zorluk. Şirketler önümüzdeki aylarda ikili hedeflerini yakalamaya çalışırken CISO’ların ve CIO’ların oynayacağı rol çok büyük: hızlandıracakları dijital modeller sayesinde organizasyonları yeniden finansal sağlıklarına kavuşturmak.
- Üst düzey yöneticiler kriz planlarını oluştururken özellikle hızla uygulanmaya başlanan uzaktan çalışma ve önceden test edilmemiş fonksiyonların dijitalleşme süreçlerinin hızlandırılmasında CISO’lar ve CIO’lar ön saflarda yer almıştı.
- Kriz dönemlerinde şirketlere artan siber saldırılara karşı tetikte kalanlar da yine şirketlerin CISO’ları ve CIO’larıydı.
- Bu gibi krizlere karşı şirketlerinin dayanıklılıklarını arttıracak kritik stratejik projelere odaklanmaya devam ettiler.
- Risk, iş birimleri, hukuk ve teknoloji liderleriyle birlikte şirketi yeni risklere karşı korumak ve savunmak için iş birliği yaparak siber olmayan projelere de giriştiler.
Son iki- üç yıl içinde yapılan ve kriz esnasında şirketlerin en çok işe yarayan yatırımları tek seferlik güvenlik çözümleri değildi.
CISO’lar geçtiğimiz iki-üç yıl içinde ortalama sekiz farklı alana yatırım yaptıklarını belirttiler. Kriz sırasında en çok işe yarayan yatırımlar ise hızla geçiş yapılan Uzaktan çalışmayı mümkün kılan VPN, VDI, mobil cihaz yönetimi, uç nokta güvenliği ve kimlik tabanlı ağ altyapısı yatırımlarıydı. Kriz yönetiminde işe yarayan yatırımlar ise, iş sürekliliği ve felaket kurtarma planlaması, yönetilen siber olay tespit ve müdahale hizmetleri gibi dayanıklılık kapasitesine yapılan yatırımlar oldu. Gerçek zamanlı siber tehdit istihbaratı, veri analiz araçlarının kullanımı ve siber risklerin ölçümü gibi veriye dayalı risk yönetimi yatırımları, kriz esnasında hızla değişen bilgilerin takibi açısından şirketlere büyük kolaylık sağladı.
Öğrendiklerimiz:
Doğru yatırımları yapmak yalnızca şans meselesi miydi yoksa öngörülerden mi kaynaklanmıştı sorusu bu araştırmanın kapsamını aşıyor. Ancak 2019 yılında iş birimi odaklı siber güvenlikle ilgili yapılan Dijital Dünyada Güven Araştırmasından şunu biliyoruz ki: Şirketlerin yalnızca %25’i siber güvenlik ekiplerinin misyonlarını, şirketlerinin stratejik hedeflerine uygun bir şekilde yeniden yapılandırdı. İş odaklı siber güvenlik ekiplerinin, somut getiri sağlama olasılığı daha yüksek olan siber yatırımlar yapması daha muhtemel.
Son 2-3 yılda yapılan yatırımların COVID-19 krizine etkisi ne oldu?(“Oldukça pozitif ya da pozitif” etkisi olduğunu söyleyen katılımcılar)
Güvenli uzaktan çalışma
VPN89%VDI86%Kimlik tabanlı ağ altyapısı83%Modern mobil cihaz yönetimi83%Uç nokta güvenlik çözümleri78%
Dayanıklılık ve kriz yönetimi
Yönetilen siber tespit ve müdahale hizmetleri91%İş sürekliliği ve felaket kurtarma planlanması79%
Veriye dayalı risk yönetimi
Gerçek zamanlı siber tehdit istihbaratı86%Veri analiz araçlarının ve yapay zekanın kullanımı86%Siber risklerin ölçümü85%
Kaynak: PwC, Dijital Dünyada Güven Araştırması, Haziran 2020: katılımcı sayısı 141
CISO’lar siber saldırıların Şubat 2020’den bu yana arttığını söylüyor. Bu tehditlerin önümüzdeki altı ayda da yüksek seviyede seyretmesi bekleniyor.
Katılımcıların yarısından fazlası, uğradıkları siber saldırıların Mart ve Nisan aylarında artış gösterdiğini belirtiyor. Yine katılımcıların yaklaşık yarısı önümüzdeki altı ayda saldırıların sayısının artmasını bekliyor. Koronavirüs ve virüsle mücadele oldukça güncel ve cazip konular olduğu için, işletme e-postalarını ve sosyal mühendislik kampanyalarını tehlikeye atacak phishing (oltalama) saldırıları yükselişe geçti. İşletme sürekliliğini sağlamak için hızlıca hayata geçirilen uzaktan çalışma düzenlemeleri, tehditlere karşı riskin artmasına neden oldu. Fidye yazılımları(Ransomware) ve hizmetleri kullanılamaz hale getiren saldırılar gibi daha az rastlanan saldırılar ise katılımcılar tarafından 2020 yılı sonuna kadar artacağı düşünülen riskler arasında ilk sırada geliyor.
Siber suçlular, hackerlar ve beyaz şapkalı hackerlar kanıtlanmış teknikleri kullanmaya ve yeni teknikler geliştirmeye devam edecekler. Güvenlik analizcileri, araştırmacılar, siber olay müdahale ekipleri ve zaafiyet testi uygulayıcıları ise artmaya ve değişmeye devam eden bu tehdit faaliyetlerine cevap vermekle çok meşgul olacaklar.
Öğrendiklerimiz:
Şirketler bu süreçte çalışanlarını hızla ve sorunsuz bir şekilde uzaktan çalışmaya kaydırabildiklerini gösterdiler. Ancak birçok şirket uzaktan çalışma düzenlemelerinin güvenliğini sağlamak için sistemleri üzerinde daha çok çalışmaları gerektiğini kabul ediyor.
Uzaktan çalışma pratikleri tıpkı ofiste çalışma gibi sürekli hale gelecek. Bu karma çalışma düzenindeki artış, ofis içi koruma amacıyla tasarlanmış testlerin ve güvenlik planlarının riskli bir hale geleceği anlamına geliyor. Değişen çalışma biçimleri sebebiyle dış ve iç güvenlik duvarı korumaları arasındaki farklar da ortadan kalkmış oluyor.
Kimlik tabanlı ağ altyapıları ve Erişim Yönetimi Kontrolleri bu risklerle savaşmakta şirketinize yardımcı olabilir. Erişim Yönetimi Kontrolleri, kritik verilerinize ve altyapınıza erişmeye çalışan iç ve dış tüm tehditleri “kim, ne, nerede, neden ve nasıl” şeklinde kontrolden geçirerek sürekli kimlik doğrulaması aracılığıyla koruma sağlıyor. Kullanıcı veya cihaz nerede olursa olsun, herkes hassas veriye erişmek için sıkı incelemelerden geçiyor. Sıfır güven modeliyle uyumlu olan bu kontrol mekanizması sayesinde herkes, her zaman ve sürekli olarak sanal bir “inceleme”den geçiyor.
Şirketinizde COVID-19’la ilişkili saldırı olaylarında bir artış yaşandı mı ya da yaşanmasını bekliyor musunuz?
Şubat 2020’den bu yanaÖnümüzdeki 6 ay içinde
Kurumsal olmayan cihaz ve yazılımların kullanımından doğan riskler (Uzaktan çalışma nedeniyle)62%61%Phishing (Oltalama) saldırıları61%61%Yeni modellere geçişten kaynaklanan uyum ve yasal düzenleme riskleri (Örn. Telesağlık, doğrudan tüketici kanalları, vs.)59%56%Güvenliği yeterli olmayan ilişkisiz taraflardan kaynaklanan riskler57%60%Uzaktan çalışma temelli güvenlik açığı nedeniyle sertifikalı olmayan kullanıcıların erişimi51%49%İşletme e-postalarının tehlikeye girmesi50%50%Fidye yazılımları48%54%Hizmetleri kullanılamaz hale getiren saldırılar40%48%Sıfır gün saldırıları34%38%
Source: Kaynak: PwC, Dijital Dünyada Güven Araştırması, Haziran 2020: katılımcı sayısı 141
Önümüzdeki 6 ay içinde (Mayıs- Ekim) aşağıdaki tehdit türlerinden hangilerinin artacağını düşünüyorsunuz?
72%58%52%33%24%Siber suçlularHackerlar/ hacktivistlerBeyaz hacker sponsorlarıMevcut çalışanlarEski
çalışanlar
Kaynak: PwC, Dijital Dünyada Güven Araştırması, Haziran 2020: katılımcı sayısı 141
CISO’lar için aksiyon planı:
- Krizin ötesinde iş birimi ve risk liderleriyle daha fazla iş birliği yapmak.
- Krizden kaynaklanabilecek tüm zafiyetleri veya zayıflıkları tespit etmek ve bu zayıflıkların giderilmesini önceliklendiren sistemleri modernize ederek basitleştirme fırsatlarını yakalamak.
- Hızlandırılmış dijitalleşme, bulut teknolojileri ve dijital iş birimi modellerine geçiş sürecinde karşılaşılabilecek riskleri öngörmek ve yönetilmesi için işletmenin yanında olmak.
- CEO ve yönetim kuruluyla sık sık iletişim kurmaya devam etmek.
- Güvenlik, dayanıklılık ve güven alanlarında iyileştirmeler yapmanın yaratıcı yollarını bu liderlere aktararak siber güvenlik bütçesini iyi yönetmek ve maliyetlerin azaltılmasına yardımcı olmak.
Araştırma hakkında
Dijital Dünyada Güven Araştırması 8-22 Mayıs 2020 tarihleri arasında ABD’de bulunan 141 bilgi güvenliği ve teknoloji yöneticisinin (CISO’lar, CIO’lar ve benzeri kıdemlerde) katılımıyla gerçekleştirilmiştir. Katılımcıların yüzde 60’ı cirosu 1 milyar Dolar ve üstü olan; %13’ü ise cirosu 10 milyar Dolar ve üstü olan şirketlerde yöneticidir. Katılımcılar teknoloji, medya, telekomünikasyon (%24), Finansal hizmetler (%23), Endüstriyel üretim ve otomotiv (%19), Tüketici pazarları (%17), Sağlık (%12), Enerji, Altyapı ve Madencilik (%4) sektörlerinde faaliyet gösteren şirketlerden oluşmaktadır.
Karşılaştırılabilir bulgular tüm dünyada 3000 işletme ve BT yöneticisinin katılımıyla gerçekleştirilen 2019 Dijital Dünyada Güven araştırmalarından alınmıştır.
Araştırma, PwC’nin pazar araştırması konusunda küresel mükemmeliyet merkezi PwC Research, tarafından gerçekleştirmiştir.