"Herkesin İşi, Hiç Kimsenin İşi" Paradoksu
Bir güvenlik açığı fark edildiğinde veya bir güncelleme yapılması gerektiğinde, sorumluluk net değilse çalışanlar genellikle "BT departmanı bunu halleder" veya "Güvenlik ekibi zaten izliyordur" diye düşünür.
- Sonuç: Kritik güvenlik yamaları aylar boyunca yüklenmez, açık bırakılan portlar fark edilmez ve sistemler savunmasız kalır. Sorumluluğun dağılması, aslında sorumluluğun ortadan kalkmasına neden olur.
BT ve Siber Güvenlik Ekipleri Arasındaki Çatışma
Genellikle Bilgi Teknolojileri (BT) operasyonel sürekliliğe, Siber Güvenlik ise sistemin korunmasına odaklanır.
- Uygulama Zorluğu: Siber güvenlik ekibi bir kısıtlama getirmek istediğinde, BT ekibi bunun iş akışını yavaşlatacağını savunabilir. "Kullanıcı erişim yetkilerini kim denetleyecek?" sorusu bu iki grup arasında gidip gelirken, saldırganlar bu yönetimsel boşluktan sızar.
Gölge BT ve Kontrolsüz Alanlar
Pazarlama, satış veya İK gibi departmanlar, işlerini hızlandırmak için BT'den habersiz bulut tabanlı yazılımlar kullanmaya başladığında "kontrol kimde?" sorusu daha da karmaşıklaşır.
- Görünmez Risk: Şirketin resmi olarak izlemediği bir yazılımın güvenliğini kim kontrol edebilir? Bu denetimsiz alanlar, siber saldırganlar için en kolay giriş noktalarıdır.
Üçüncü Taraf ve Tedarik Zinciri Riskleri
Şirketler artık birçok hizmeti dışarıdan (SaaS, bulut sağlayıcılar vb.) alıyor. Peki, dışarıdaki bir hizmetin güvenliğini kim kontrol edecek?
- Güven Yanılsaması: Çoğu şirket, hizmeti satın aldığı firmanın tüm güvenlik önlemlerini aldığını varsayar. Ancak veri sızıntısı yaşandığında yasal sorumluluk yine asıl şirketin üzerindedir.
Sorumluluk Karmaşasını Çözmek İçin 3 Adım
|
Adım |
Eylem Planı |
Faydası |
|
Sorumluluk Matrisi (RACI) |
Kimin sorumlu, kimin hesap verebilir olduğu netleştirilmelidir. |
Karar alma süreçlerini hızlandırır. |
|
Merkezi Denetim |
Tüm departmanların kullandığı yazılımlar tek bir merkezden kayıt altına alınmalıdır. |
Kör noktaları ortadan kaldırır. |
|
Düzenli Raporlama |
Kontrollerin yapıldığına dair kanıtlar (loglar, raporlar) periyodik olarak incelenmelidir. |
İhmali önler, disiplin sağlar. |
Sonuç
Siber güvenlikte "Bunu kim kontrol edecek?" sorusunun cevabı "herkes ve belirli bir sorumlu" olmalıdır. Güvenlik, herkesin günlük rutininin bir parçası olmalı; ancak her bir kontrol noktasının (şifreler, güncellemeler, erişim yetkileri) mutlaka hesap verebilir bir sahibi bulunmalıdır.
Belirsizlik, siber saldırganların en sevdiği müttefiktir. Eğer bir kontrolün kimin sorumluluğunda olduğu konusunda 3 saniyeden fazla düşünüyorsanız, orada büyük bir güvenlik açığı var demektir. Kurumsal güvenliği sağlamanın yolu, sadece duvarları yükseltmekten değil, o duvarların her bir taşından kimin sorumlu olduğunu netleştirmekten geçer.
Siber Güvenlikte “Bunu Kim Kontrol Edecek?” Sorunu