Siber Güvenlikte Alaaddin’in Lambası: CISO’ların Büyülü Değil, Stratejik Mücadelesi

Efsanelerdeki gibi gizemli ve tehlikelerle dolu siber güvenlik krallığında, CISO’lar modern zamanların büyücüleri olarak karşımıza çıkar. Bu kahramanlar, veri hazinelerini korumak için dijital labirentlerde yılmadan mücadele ederken, onların en büyük silahı bilgi ve teknoloji olmuştur. Ancak, gerçek dünyada mücadele için sihirli lamba tek başına yeterli değildir; stratejik düşünce, derin analitik yetenekler ve liderlik bu mücadelenin temel taşlarıdır. Bu yazıda, CISO’ların siber güvenlik dünyasındaki en zorlu meydan okumalarla nasıl başa çıktıklarını, stratejilerini nasıl belirlediklerini ve siber saldırılara karşı nasıl bir kalkan oluşturduklarını detaylı bir şekilde ele alacağız. Dijital çağın karanlık yüzüyle mücadelede onların yanında yer almak için, bu heyecan verici yolculuğa hazır mısınız?

2023 yılında siber güvenlik dünyası her zamanki gibi oldukça hareketli geçti. Bu yılda CISO’lar hem yeni risklerle hem de yeni fırsatlarla karşılaştı. 2023 yılında yaşanan olayları farklı yaklaşımlar ile ele alan raporları inceleyerek kurumlardaki CISO (Chief Information Security Officer) görevinin olası zorluklarına ve fırsatlarına değineceğiz. 

IBM tarafından bu sene 18.si yayınlanan “Cost of a Data Breach” raporunda CISO görevinin ne kadar önemli olduğunu belirtmiştir. Bu görevi yaparken karşılaştıkları riskleri ve fırsatları Heidrick & Struggles tarafından bu sene 4.sü yayımlanan “2023 Global Chief Information Security Officer (CISO) Survey” raporu ile değerlendirceğiz. Ayrıca IANS tarafından bu sene 4.sü yayımlanan “State of the CISO” raporu ile CISO’ların yönetim kurulları ile olan ilişkilerindeki gelişmeleri ve liderlik rollerindeki değişiklikleri ele alacağız. 

CIO’lar için Güvenlik en önemli konulardan biri

Gartner danışmanlık firması, üst düzey bilgi teknolojisi yöneticilerine yönelik her sene anket düzenleyerek onların kendi firmalarındaki önceliklerini ortaya koymaktadır. Son 3 senenin anket sonuçlarına göz attığımızda Siber Güvenlik Stratejilerinin en önemli başlık olarak her sene yer aldığı gözükmektedir

CIO’lar için bu kadar önemli olan siber güvenlik stratejilerine liderlik yapanlar ise CISO’lar olmaktadır. Siber güvenlik stratejilerinin neden bu kadar önemli olduğunu anlamak için IBM tarafından bu sene 18.si yayımlanan “Cost of a Data Breach” raporuna göz atalım.

IBM – Cost of a Data Breach

IBM Security tarafından yayımlanan “Cost of a Data Breach” raporunda, veri ihlallerinin maliyetlerini analiz ederek IT, risk yönetimi ve güvenlik liderlerine önemli bilgiler sunmaktadır. Bu raporda, Mart 2022 ile Mart 2023 arasında veri ihlali yaşayan 553 kuruluşun verilerini incelemiş olup bu ihlallerin 16 ülke ve bölgede yer alan 17 farklı sektörde meydana geldiği tespit edilmiştir.

Raporda ön plana çıkan veriler;

  • 2023 yılında, veri ihlallerinin ortalama maliyeti 4.45 milyon USD ile rekor seviyeye ulaşmıştır. Özellikle sağlık sektörü, 2020 yılından bu yana %53.3’lük bir maliyet artışıyla dikkat çekmektedir. Bu veriler, sektörel farklılıkların yanı sıra, siber güvenlik önlemlerinin ve stratejilerinin sektöre özgü olarak nasıl şekillendirilmesi gerektiğini vurgulamaktadır.
  • Siber güvenlik yatırımları, özellikle yapay zeka ve otomasyon teknolojilerine yapılan yatırımlar veri ihlallerini tespit etme ve müdahale sürelerini önemli ölçüde kısaltarak, maliyetleri düşürmüştür. Bu teknolojiler, 2023 yılında veri ihlallerini yönetme sürecini ortalama 108 gün kısaltmış ve ihlal başına maliyeti de 1.76 milyon USD azaltmıştır.
  • Veri ihlallerinin %82’si bulutta depolanan verileri içermektedir. Çoklu ortamları kapsayan ihlaller, ortalama 4.75 milyon USD ile daha yüksek maliyetli olmuştur.
  • Maliyet azaltıcı faktörler arasında, yazılım geliştirme sürecine entegre güvenlik testleri (DevSecOps) 1.68 milyon USD tasarruf sağlamıştır. Yüksek seviyede olay müdahale planlaması ve testine sahip kuruluşlar ise düşük seviyedeki kuruluşlara kıyasla 1.49 milyon USD tasarruf etmiştir. 

Bölge ve Ülkelere göre trend

Rapor verilerine göre ABD’nin 9.48 milyon USD ile en yüksek veri ihlali maliyetine sahip ülke olarak öne çıktığı belirtilmektedir. Bunu 8.07 milyon USD ile Orta Doğu, 5.13 milyon USD ile Kanada, 4.67 milyon USD ile Almanya ve 4.52 milyon USD ile Japonya takip etmektedir. Bu veriler, ülkeler arasındaki maliyet farklılıklarını net bir şekilde ortaya koymakta ve bölgesel farkların maliyet üzerindeki etkilerini vurgulamaktadır.

Endüstri bazında Trend

Rapor verileri sağlık sektörünün 10.93 milyon USD ile en yüksek veri ihlali maliyetine sahip sektör olduğunu göstermektedir. Ayrıca finans sektörü 5.90 milyon USD, eczacılık sektörü 4.82 milyon USD ve enerji sektörü 4.78 milyon USD ile yüksek maliyetler yaşayan diğer sektörlerdir. Bu sektörel karşılaştırma, farklı endüstrilerin veri ihlallerinden nasıl etkilendiğine dikkat çekmektedir. 

Olay Müdahale Zaman Trendi

Siber saldırıların kaçınılmaz olduğu günümüz dijital dünyasında siber güvenliğin en önemli konularından biri de siber saldırıların tespit edilmesi ve müdahale süresidir. Raporda veri ihlallerini tespit etme süresinin ortalama 204 gün, kontrol altına alma süresinin ise 73 gün olduğunu belirtmektedir. İhlalleri tespit etme ve kontrol altına alma süresi, ihlalin boyutuna ve etkilerine göre değişiklik gösterebilmektedir.

Ransomware Ödemelerinin Etkisi

Türkiye’de gerçekleşen siber saldırılarında fidye ödenmesi konusu önemli başlıklardan biri olmaktadır. Raporda bu konudaki verilere baktığımızda fidye ödenen saldırıların ortalama maliyetinin 5.06 milyon USD, fidye ödenmeyen saldırıların ise 5.17 milyon USD olduğu belirtilmektedir. Fidye ödenen saldırılarda maliyet farkı sadece 110.000 USD olup, fidye ödenmesi genellikle beklenenden daha az tasarruf sağlamaktadır. Bu, fidye ödemenin maliyet açısından avantajının azaldığını göstermektedir. Fidye ödenmesi durumunun saldırganlar tarafından kısa süre sonra tekrar hedef alınmasının önünü açtığı ve farklı raporlardaki verilere bakıldığında da gerçek maliyetin daha fazla olduğunu düşünülmektedir.

Veri Sızıntısı Maliyetine Etki Eden Faktörler

Siber saldırıların şirketlere olan maliyetleri alınan tüm yeni önlemlere rağmen her sene artış göstermektedir. Rapordaki verilerde siber güvenlik alanında yapılan yatırımların saldırıların oluşturduğu maliyete olan etkisi de ortaya çıkarılmıştır. Verilere baktığımızda siber güvenlik yatırımlarına ek olarak CISO atanması ve CISO’ların üst yönetimle olan ilişkisinin etkileri ortaya konmuştur. Bu durumda aslında güvenlik ekiplerinin öneminin de ortaya çıkmasını sağlamaktadır. Tüm güvenlik ekiplerinin liderliğini yapan CISO’ların işlerinin ne kadar zor olduğunu ortaya koymaktadır. 

Bu ekonomik verilerin ışığında, CISO’ların karşılaştıkları finansal baskılar göz önüne alındığında, bu rollerdeki kişilerin iş memnuniyeti ve kariyer beklentileri nasıl etkilenir? İşte bu sorunun cevabı, CISO’ların kendilerini nasıl hissettiklerine dair bize önemli ipuçları veriyor. Bu sorulara yanıt arayan raporlara beraber göz atalım.

2023 Global Chief Information Security Officer (CISO) Survey

2023 Global Chief Information Security Officer (CISO)” raporu, artan riskler, fırsatlar ve tazminatların temalarını vurgulamaktadır. CISO’nun rolü, organizasyonların teknolojik ihtiyaçları ve riskleri arttıkça daha da olgunlaşmakta ve siber güvenliğe verilen önem artmaktadır.

CISO’ların karşılaştığı zorluklar arasında, artan siber tehditler ve yüksek beklentiler öne çıkarken, rolünün evrimi de bu zorluklara yanıt olarak sürekli gelişmektedir. Yönetim kurulları ile olan etkileşimlerinin artması ve stratejik karar alma süreçlerine daha fazla dahil olmaları, bu evrimin temel unsurlarıdır.

Raporun öne çıkan başlıkları;

  • Anket yapılan CISO’ların %40’ının şirketlerinde bu rol için ardışık bir planın olmadığını, %13’ünün ise şirketlerinin böyle bir plan geliştirme sürecinde olmadığını belirtmesi endişe vericidir. Bu durum, rolün önemi düşünüldüğünde özellikle dikkat çekicidir. Yapılan son ankete göre liderlerin %76’sı önümüzdeki üç yıl içinde şirket değiştirmeye çok açık veya tamamen açık olduklarını belirtilmiştir.
  • Şaşırtıcı olmayan bir şekilde, yapay zeka önümüzdeki beş yılda en önemli tehdit olarak karşımıza çıkıyor. Bu, CISO’nun becerilerinin sürekli ve hızlı bir şekilde evrimini gerektiren birçok tehditten sadece biridir. CISO rolünün daha teknik hale gelme eğiliminin bir parçasıdır. Özellikle, CISO’ların yazılım mühendisliğini ve bulut güvenliğini anlamalarına olan ihtiyacın arttığı vurgulanmaktadır.
  • Ankete katılım sağlayanların %80’i ekip yeteneklerini oluşturmak veya geliştirmek için liderlik ve gelişime yatırım yapabildiklerini kabul ettiği belirtmektedir. Yanıt verenlerin yarısından fazlası, yönetim kurullarının sunumlarına etkili bir şekilde yanıt vermek için bilgi veya uzmanlığa yalnızca biraz sahip olduklarını veya hiç sahip olmadıklarını düşünüyor. Ancak CISO’ların yalnızca %30’u şu anda kurumsal bir kurulda yer aldıklarını belirtmiştir.

CISO Kime raporlar?

Siber güvenliğin öneminin her geçen gün arttığını farklı bakış açıları ile her zaman belirtilmektedir.  Fakat hala kurumlarda CISO’ların nereye rapor sunacağı konusunda karmaşanın devam ettiği rapor verilerinde de görülmektedir. 

Board & CISO

CISO’ların büyük çoğunluğu yönetim kurulu ile önemli ölçüde temas halindedir: %91’i yönetim kurulu veya bir komiteye sunum yaptıklarını belirmiştir. Bu oran geçen yıl %88 olarak açıklanmıştı. 

Yönetim kuruluna sunum yapanlar sıklıkla yıllık olarak rapor verirken denetim, risk veya teknoloji gibi özel bir komiteye sunum yapanlar genellikle bunu üç ayda bir yapmaktadır. Ülkemizde de bu yaklaşımın her geçen gün arttığı gözlenmektedir. CISO’lar artık yönetim kurullarına kurumlarının siber risklerini anlatmaktadır. 

CISO Kişisel Riskleri

Her kurum için büyük öneme sahip olan CISO’ların kendi yaşadıkları durumlar da bu raporda öne çıkarılmıştır. CISO’lar tarafından tanımlanan kişisel riskler arasında, stres ve tükenmişlik yıl boyunca en büyük endişeler olmaya devam etmiştir. Hızla gelişen tehditlere ayak uydurma yeteneği ve bir siber saldırı sonucu iş kaybı endişesi ise 2022 yılında %25 iken 2023 yılında %29’a çıkarak küçük bir artış göstermiştir.

2023-2024 State Of The CISO Benchmark Report

IANS Research tarafından yayımlanan “State of The CISO” raporu CISO’ların 2024 yılı içinde karşılaşabilecekleri risklere ve fırsatlara değinmektedir. Rapor içeriği ABD ve Kanada’daki 100 kadar önde gelen CISO ile yapılan görüşmelerde oluşturulmuştur.

Raporun ana temalarına baktığımızda öne çıkan maddeler aşağıdaki gibi olmaktadır; 

  • Finansal piyasalardaki dalgalanmalar ve enflasyonun yükselmesi, birçok şirketin siber güvenlik programları da dahil olmak üzere harcamalarını azaltmalarına neden olmuştur.
  • Siber ihlaller, fidye yazılımı saldırıları ve genel tehdit seviyeleri, jeopolitik istikrarsızlık ve gelişen tehdit ortamı nedeniyle artmıştır. 
  • Yeni nesil yapay zeka araçlarının yükselişi, CISO’lara gelişmiş tehdit tespiti, otomasyon ve uyarlanabilir savunmalar için yeni fırsatlar sunarken, aynı zamanda yeni tehditler ve genişlemiş saldırı yüzeyi de oluşturmuştur.

CISO Memnuniyeti

Teknoloji ve siber saldırıların değişmesi ile beraber siber güvenliğe regüle eden kurallarda değişmektedir. Regülasyon değişimleri ve siber güvenliğin öneminin de artması ile CISO görevinden beklentiler de doğal olarak değişmektedir.

Bu tablo, CISO rolüne yönelik yeni beklentiler ile mevcut durumu karşılaştırmaktadır. SEC kuralları ve CISO hesap verebilirliği ile birlikte, CISO’ların iş risk fonksiyonu olarak hizmet etmeleri ve iş zekasını teknik becerilerden önde tutmaları beklenmektedir. Ancak, CISO’ların %76’sı ağırlıklı olarak teknik bir geçmişe sahip olup, risk yönetimi genellikle ikincil öneme sahiptir. Ayrıca, CISO’ların sadece %20’si C-seviyesinde olup, %63’ü VP veya direktör seviyesindedir. Bu durum, CISO’ların çoğunlukla teknik odaklı bir geçmişe sahip olduğunu ve yönetim kurullarında yeterince temsil edilmediğini göstermektedir.

CISO görevinden beklentiler değişirken bu görevi yerine getirenler ise bu durumun getirdiği riskler ve stresten dolayı farklı bir bakış açısı sunmaktadırlar. CISO’ların iş memnuniyetindeki değişim ile iş değişikliği düşüncelerindeki artışı gösteren bu grafik, 2022 yılına kıyasla, 2023 yılında CISO iş memnuniyetinin %74’ten %64’e düştüğünü ve iş değişikliği düşünenlerin oranının %67’den %75’e yükseldiğini ortaya koymaktadır. Bu veriler, CISO’ların mevcut iş koşullarından duydukları memnuniyetsizliğin arttığını ve daha iyi iş koşulları arayışında olduklarını göstermektedir. CISO’ların iş tatminindeki düşüş, iş değişikliği düşüncelerinin artmasıyla ters orantılıdır.

CISO’ların iş memnuniyetindeki düşüşler, genellikle yönetim kurullarıyla olan etkileşimlerinin kalitesi ve sıklığıyla doğrudan ilişkilidir. Peki, bu profesyoneller kurul üyeleriyle ne sıklıkta ve nasıl bir etkileşim içindeler? Bu etkileşimlerin güvenlik stratejileri üzerindeki etkisine daha yakından bakalım.

CISO’ların Yönetim Kurulları İle İlişkisi

Ankete katılan CISO’ların %50’si yönetim kurulları ile en az çeyrek dönemlik olarak düzenli etkileşimde bulunmaktadır. Ancak, %25’i yılda sadece bir veya iki kez veya ihtiyaç duyulduğunda kurul ile etkileşimde bulunmaktadır. Kurul ile düzenli etkileşimi olan CISO’lar, güvenlik bütçesi ve risk uyumu konusunda daha fazla memnuniyet bildirmekte ve bu etkileşimlerin güvenlik yönetiminin etkinliğini artırdığı görülmektedir.

CISO’ların yönetim kurullarıyla ne sıklıkta etkileşimde bulunduklarını gösteren bu grafik, CISO’ların yarısının (%50) kurullarıyla en az çeyrek dönemlik olarak düzenli etkileşimde bulunduğunu belirtmektedir. Ancak, %25’i yılda sadece bir veya iki kez veya ihtiyaç duyulduğunda kurul ile etkileşimde bulunmaktadır. Kurul ile düzenli etkileşimi olan CISO’lar, güvenlik bütçesi ve risk uyumu konusunda daha fazla memnuniyet bildirmekte ve bu etkileşimlerin güvenlik yönetiminin etkinliğini artırdığı görülmektedir.

Bu dijital masalın sonuna gelirken, modern zamanların CISO kahramanlarının siber tehditlerle nasıl başa çıkabileceği konusunda bazı kilit öneriler sunalım. Öncelikle, bilgi güvenliği stratejilerinin sürekli güncellenmesi, teknolojik yeniliklere ayak uydurması gerekmektedir. Yapay zeka ve otomasyon gibi yeni nesil araçlar, tehditleri hızla tespit edip müdahale etme sürecini önemli ölçüde iyileştirebilir. İkinci olarak, CISO’ların ekiplerini sürekli eğitmeleri ve onlara liderlik etmeleri, kurum içinde bir güvenlik kültürünün benimsenmesini sağlar. Son olarak, siber güvenlik risklerini yönetim kurullarına etkili bir şekilde aktarabilmek, bu alandaki yatırımların artırılmasına ve stratejik karar alma süreçlerine dahil edilmesine katkıda bulunacaktır.