Bilim-Kurgu Aşığı Bir CISO: Liz Joyce

Dün sabah Google’da bir konuda arama yaparken tesadüfen HPE’nin CISO’su Liz Joyce ile yapılmış bir röportaj denk geldi. Hızlıca bir göz gezdirince gözüme bir detay takıldı ve ilgimi çekti, asıl aradığım şeyi unutup bu yazıyı okumaya başladım. Neydi bu detay? Yazının bir yerinde “gençliğimde kocam sayesinde bilim-kurgu okumaya başladım, bu benim içinde bulunduğum andan bağlantımı koparmama ama aynı zamanda olaylara farklı bir olasılıkla bakmama yardımcı oldu” gibi birşey gözüme çarptı, ben de sıkı bir bilim-kurgu fanatiği olduğum için yakınlık hissettim sanırım ve yazının tamamını okudum. Aklımda kalanları paylaşmaya çalışacağım..

60

Kariyer Seçiminde Siber-Güvenlik

Liz siber-güvenliği severek yapan bir insan, bunu bir çeşit dünyayı kötü adamlara karşı korumak korumak gibi gördüğünü söylüyor, bu kanıya ilk kez gençliğinde bir firmada güvenlik operasyonu ekibinde çalışırken “Code Red” isimli solucanın saldırdığı gün vardığını söylüyor. “Başımın üzerindeki ekranda dünya haritası vardı, solucanın vurduğu yerler kırmızı olarak işaretleniyordu, Asya-Pasifik’ten başlayarak tüm dünyanın kırmızıya dönüşüne şahit oldum, işte o zaman yaptığım için ne kadar önemli olduğunu anladım. Yapabileceklerimizin ölçeği ve etkisi o zaman beni çok etkiledi. Gerçekten küresel ölçekte bir problemi çözmede ne kadar fark yaratabileceğinizi fark ettim..

“..bu sadece büyüleyici değil, aynı zamanda insanları korumaya yardım ettiğini bilmenin de bir tatmini ve klişe gibi gelse de, kötü adamlarla savaşmakla ilgili

Siber-Saldırılarda Geçmişten Bugüne Değişim

Çok şey, çok hızlı değişti diyor Liz ve değişimleri dört ana başlık altında topluyor:

  • Saldırının ölçeği,
  • Saldırının hızı,
  • Saldırının karmaşıklığı ve
  • Uğraşılan rakiplerin organizasyonu

Kariyerine başladığı zamanlarda yılda belki bir kez veri ihlali veya bir olay olduğunu ve olanların da bugün sıradan olarak gördüklerimizin bile yanına yaklaşamayacak büyüklükte olduklarını söylüyor Liz. “10.000 kayıt veya 100.000 kayıt ihlali o zamanlar insanları şok etmeye yeterdi, günümüze ise tek bir olayda 75 milyon hatta 145 milyon kayıttan bahsediyoruz. Ölçek yaptığımız her şeyi değiştirdi

Hızla gelişen teknoloji hayatımızı çok daha iyi hale getirdi ancak aynı zamanda düşmanlarımız da aynı şekilde sofistike teknolojiye erişebiliyor artık. Yani kötü adamlar bize şu anda farklı kanallardan ve farklı vektörlerden yoğun bir şekilde gelebiliyor. Güvenlik açıkları eskiden aylar mertebesinde sürelerde kapatılırdı, şimdi haftalar, günler ve hatta bazen saatler içinde kapatılmasını gerektiren durumlar oluyor. Bir sorunu çözdüğünüzü düşünüyorsunuz ama o sorun sürekli olarak değişiyor, evriliyor ve çok kısa zamanda çok daha tehlikeli olarak karşınıza çıkıyor yine.

Eskiden saldırganları gürültücü çocuklar olarak görürdük, “kapıyı çaldıklarını”, kapımızın önünde olduklarını görebiliyorduk. Bugün profesyonel bilgisayar korsanları, büyük örgütlü siber-suç grupları ve hatta devletler ile uğraşıyoruz. Çok daha zekiler, bizlerin nasıl savunmaya yapacağını daha yapmadan biliyorlar, izlerini örtüyorlar, artık orada olduklarını bile bilmiyorsunuz.

Saldırılara Karşı En Güçlü Silah Doğru İnsan Kaynağına Sahip Olmak

Akıllı, adanmış ve yetkin insanlara, kısaca doğru insanlara sahip olmayı, bu saldırılarla baş edebilmek için en önemli ve en büyük adım olarak görüyor Liz. Siber güvenlikte muazzam bir iş gücü açığı olmasına rağmen doğru kişilerin işe alınmasında da ciddi bir zorluk var. Zorluk sadece sadece doğru insanları bulmak değil, bu insanları elde tutabilmek de çok zor, çünkü bu pazarda çok fazla rekabet var. Bu noktada ekipteki insan gücünü eksikliğini gidermek ve ekibi güçlendirmek için otomasyon ve orkestrasyon gibi konularda teknolojiden yararlanmayı düşünmenin önemine de dikkat çekiyor.

Siber-Güvenlikte Çalışmak İsteyen Adaylarda Aranılan Özellikler

Eskiden bir adayda aranılan belli teknik beceri ve kriterler vardı, bunlar hala çok kıymetli ama artık yeterli değil. Liz bugün adaylarda örüntü tanıma ve analitikte iyi olma koşullarına da baktıklarını söylüyor.

Şirket Kültürü ve Siber-Güvenlik

Yapılan her şeyde şirketin güvenliğini düşünmeyi herkesin işinin bir parçası olarak gördüğü bir şirket kültüründe siber-güvenlik çok daha rahat sağlanır. Üst yönetimden, muhasebeden, yazılım geliştirmeden ya da Ar-Ge departmanından olsun, fark etmez,  tek bir kişinin şüpheli bir bağlantıya tıklaması bile büyük bir yangını başlatacak bir kıvılcım olabilir, birçok siber güvenlik kontrolünü baltalayabilir. Ancak, siber güvenlik duyarlı bir kültürü içine alan bütün bir kuruluşunuz varsa, bu gerçekten önemli bir fark yaratır.

Güvenliğin Üç Sacayağı

Üç temel güvenlik önceliği:

  • Merkezdeki koruma,
  • Tespit,
  • Kurtarma

Sektörün koruma ve tespite daha çok odaklandığını, kurtarmaya ise hak ettiği önemi vermediğini görmek üzücü. Oysa kurtarma aynı derecede önemlidir. Kurtarma için “sorun olmazsa sorun olmaz” yaklaşımı var, pekii ya o sorunla yüzleştiğinizde ne yapacaksınız? İşte o zaman kurtarmanın önemi anlaşılıyor ama iş işten geçmiş oluyor. Nasıl iyileşeceğinizi hastanmadan önce planlamak önemli.

WannaCry ve NotPetya gibi son saldırılarda dünya genelinde pek çok şirketler ve kurumlar için verdikleri hizmetler günlerce hatta haftalarca olumsuz etkilendi. Bu tür saldırılardan nasıl kurtulacağınız, çalışmaya devam edebilmeniz için çok önemli.

Gelecekte Siber-Güvenlik

İşler teknik anlamda çok daha zor olacak. Yapay zekadan çok daha kapsamlı bir şekilde yararlanmak düşünülmeli. Yapay zeka yanıt sürelerini hızlandırma, karmaşık durumlar hakkında daha fazla bilgi edinme ve sıradan süreçleri otomatikleştirme gibi büyük bir potansiyele sahip.

Ancak yapay zeka gibi yeni teknolojiler kullanmaya başladığınızda artık korumanız gereken yeni şeyleriniz de olur: Yapay zeka algoritmasının kendisi ve verileri mesela. Öngörülemeyen sonuçlarla karşılaşmamak için bunların manipüle edilmediğinden emin olmak lazım. Yapay zeka günlük hayatımızda giderek daha fazla entegre hale geldikçe, bu varlıklar kötü niyetli oyuncular için de çok değerli altın madenleri haline gelecektir. Bu durum sadece yapay zeka değil, her yeni ortaya çıkan teknoloji için geçerli: Daha iyi savunma için kullanılan teknolojiler aynı zamanda bilgisayar korsanlarının ellerinde aynı derecede güçlü silahlar olarak size doğrultulmuş olma riskini de içerir.

Sonuç

Asıl mesele siber güvenliği nasıl gördüğünüz. Siber-güvenliği sadece güvenlik ekiplerinin teknik bir sorunu görmek yerine, yapılan her şeyde siber güvenliğin o şeyin ayrılmaz bir parçası olarak görülmesi gerekiyor.

Sadece teknik bir risk değil, kurumsal risk yönetimi sürecinin bir parçası olmalı lazım. Yani yapılan işlere sonradan bir güvenlik özelliği eklemek gibi değil, o işi taa en başından tasarlarken güvenliğini de düşünmek, siber-güvenliğin yapılan her şeye dahil edilmesi gerekiyor; bir eklenti gibi değil, yapılan herşeye entegre olmalı güvenlik.

Yorum yaz

Email adresiniz yayınlanmayacaktır.