Çalışanlar, kurumsal güvenliklerinden daha fazla endişe duyuyor

BT profesyonellerinin yaşadığı korku ve endişeyi gösteren çalışmada, BT profesyonellerinin şirketlerinin verilerinin güvenliği konusunda kendi evlerinin güvenliğinden daha fazla endişe duydukları dikkat çekiyor.

● BT profesyonelleri, şirketlerinin finansal bilgileri ve fikri mülkiyetlerinin güvenliği konusunda evlerinin güvenliğine kıyasla 3 kat daha fazla endişe duyuyor.

● BT profesyonellerinin bulut hizmeti sağlayıcıları ile ilgili endişeleri var: yüzde 80’i birlikte iş yaptıkları bulut hizmeti sağlayıcılarının ileride kendi faaliyet alanlarındaki rakipleri olacağından endişeleniyor.

● BT profesyonellerinin yüzde 75’i, genel bulutu kendi veri merkezlerinden daha güvenli görürken yüzde 92’si ise kendi kuruluşlarının genele açık bulut hizmetlerini güvenli kılacak hazırlığa sahip olduğuna inanmıyor.

● BT profesyonellerinin yaklaşık yüzde 80’i, başka işletmelerin yakın zaman önce yaşadıkları veri ihlallerinin, kendi kuruluşlarının verilerinin güvenliğini sağlama çalışmalarını daha da hızlandırdığını söylüyor.  

BT profesyonelleri, veri güvenliğiyle ilgili endişeleri gidermek için farklı siber güvenlik ürünlerinden oluşan yamalar kullanıyor, ancak bu sistemler nadiren doğru bir şekilde yapılandırılabildiklerinden sanki yokuş yukarı maç yapıyorlar.

● Kuruluşların yüzde 78’i, güvenlik konularıyla ilgili olarak 50’den fazla farklı siber güvenlik ürünü kullanırken yüzde 37’si ise 100’den fazla siber güvenlik ürünü kullanıyor.

● Bulut hizmetlerinin yanlış yapılandırıldığını fark eden kuruluşlar geçen sene 10 veya daha fazla sayıda veri kaybı olayı yaşadılar.

● Kuruluşların yüzde 59’u, ayrıcalıklı bulut hesaplarını kullanan çalışanlarının giriş bilgilerinin saldırılara maruz kaldığı bilgisini paylaşıyor.

● En sık karşılaşılan yanlış yapılandırma türleri şunlar:

o Fazla ayrıcalıklı haklara sahip hesaplar (yüzde 37)

o Saldırıya maruz kalan web sunucuları ve diğer sunucu iş yükü türleri (yüzde 35)

o Temel hizmetlere erişmek için birden çok faktörlü kimlik doğrulama olmaması (yüzde 33) 

Kuruluşlar, buluta işleri açısından kritik konumda olan birçok iş yükünü taşıyorlar ancak bulut kullanımındaki artış yeni kör noktaların ortaya çıkmasına neden olurken BT ekipleri ve bulut hizmet sağlayıcıları da verileri güveni kılma konusunda kendilerinin üzerine düşen sorumlulukları anlamak için daha yoğun bir mesai harcıyor ve bu karışıklık nedeniyle de BT güvenliği ekipleri de artan güvenlik tehlikelerini nasıl ele alacakları konusunda karmaşa yaşayabiliyor.

● Şirketlerin yaklaşık yüzde 90’ı yazılım hizmetlerini (SaaS) ve yüzde 76’sı da altyapı hizmetlerini (IaaS) kullanıyor; yüzde 50’si ise önümüzdeki iki yıl içinde verilerini buluta taşımayı planlıyor.

● Paylaşımlı sorumluluğa dayalı güvenlik modelleri karmaşıklığa neden oluyor: BT güvenliği yöneticilerinin yalnızca yüzde 8’i, buluttaki paylaşımlı sorumluluğa dayalı güvenlik modelini tam olarak anladıklarını belirtiyor.

● BT profesyonellerinin yüzde 70’i, genele açık bulut ayak izlerini güvence altına almak için çok fazla özelleştirilmiş araç gerektiğini düşünüyor.

● BT profesyonellerinin yüzde 75’i ise bir bulut hizmeti nedeniyle birden çok veri kaybı olayı yaşadıklarını belirtiyor. 

Veri güvenliğiyle ilgili artan sorunları ve güvenlik endişelerini ele almak için bulut hizmeti sağlayıcılarının ve BT ekiplerinin, güvenliğe öncelik veren bir kültür inşa etmek amacıyla birlikte çalışmaları gerekiyor. Buna, yetenekli BT güvenliği profesyonellerinin işe alınması, eğitilmesi ve elde tutulmasının yanı sıra gittikçe daha da genişleyen dijital dünyadaki tehlikeleri en aza indirmek amacıyla süreçlerin ve teknolojilerin sürekli olarak iyileştirilmesi de dahil.

● Kuruluşların yüzde 69’u, CISO’larının reaktif bir şekilde tepki verdiğini ve genele açık bulut projelerine ise ancak siber güvenlikle ilgili bir olayın meydana gelmesinden sonra dahil olduğunu bildirmektedir.

● Kuruluşların yüzde 73’ü, bulut güvenliği konusunda beceriye sahip bir CISO’ya sahip olduklarını veya sahip olmayı planladıklarını belirtirken yarısından fazlası (yüzde 53) ise CISO ile işbirliği içinde olması ve güvenlik kültürünü işletmeye entegre etmeye yardımcı olması için İş Bilgileri Güvenlik Sorumlusu (BISO) adıyla yeni bir role sahip olduklarını belirtmektedir.

● BT profesyonellerinin yüzde 88’i, önümüzdeki üç yıl içinde bulutlarının büyük bir çoğunluğunda güvenliği geliştirmek amacıyla akıllı ve otomatik yama uygulaması kullanılacağını düşünmektedirler.

● Yüzde 87’si ise Yapay Zeka/Makine Öğrenimi özelliklerini, dolandırıcılık, zararlı yazılımlar ve yanlış yapılandırmalar gibi şeylere karşı daha iyi koruma elde edebilmek için yapılacak yeni güvenlik amaçlı satın almalarda “olması gereken” bir özellik olarak görmektedir. 

“Geçtiğimiz birkaç yıl içinde kritik bilgilerin buluta aktarılmasında görünen artış oldukça umut verici görülüyor, ancak Frankenstein tarzında güvenlik araçları ve süreçlerinden oluşan yamalamalar nedeniyle ise maliyetli yanlış yapılandırmalar ve veri sızıntıları da sürekli bir artış göstermiştir. Yine de olumlu yönde bir ilerleme görülmektedir,” diyor Oracle Buluttan Sorumlu Kıdemli Başkan Yardımcısı Steve Daheb ve ekliyor: “Beceri eksikliğini kapatmaya yardımcı olmak amacıyla akıllı otomasyonlardan faydalanabilecek araçların benimsenmesi, yakın gelecekteki BT harcama planları arasında önemli bir yer tutuyor ve üst düzey yöneticiler de farklı bölümleri güvenliğe öncelik veren bir çalışma kültürü etrafında birleştiriyor.”