Gartner'ın 2023-2025 için 8 Siber Güvenlik Tahmini
Kişisel verilerin gizliliği yasalarına, fidye yazılımı saldırılarına, siber-fiziksel sistemlere ve yönetim kurulu düzeyinde yapılan denetlemelere verilen önem, güvenlik ve risk liderlerinin önceliklerini yönlendiriyor.
"Tüketicilerimizin sahtekârlar tarafından fiziksel olarak zarar görmemesini nasıl sağlarız?" Güvenlik ve risk liderlerinin gelecek için tahminde bulunmaları ve buna göre plan yapmaları gereken soru budur.
Otonom arabalar veya dijital ikizler gibi teknolojiler için siber ve fiziksel dünyaları birleştiren sistemleri içeren siber-fiziksel sistemlerin yaygınlaşması, kuruluşlar için başka bir güvenlik riski oluşturuyor ve siber saldırganların bu sistemleri ne şekillerde hedef alabileceği önümüzdeki yıllara dair en önemli tahmin unsurlarımızdan birisi.
Bu konuda Gartner BT Sempozyumu/XPO™ 2021'deki sunumunda Gartner'ın Analisti Sam Olyaei, "Her şeye geçmişte yaklaştığımız gibi yaklaşma hatasına düşüyoruz" diyor ve şöyle ekliyor “Bu şekilde devam edemez. Düşüncemizi, felsefemizi, programımızı ve mimarimizi geliştirdiğimizden emin olmamız gerekiyor.”
Güvenlik ve risk yönetimi, kuruluşlar için yönetim kurulu düzeyinde bir konu haline geldi. Güvenlik ihlalleri gittikçe yaygınlaşırken daha karmaşık hale geliyor, bu ise tüketicileri korumak için yeni yasaların çıkarılmasına ve şirketlerin güvenlik unsurunu aldığı kararların merkezine koymasına neden oluyor.
Gartner analistleri, önümüzdeki birkaç yıl için daha fazla merkezsizleşme (decentralization), artan yasal düzenleme ve güvenlik konususun etkilerinin daha ciddi bir şekilde görülebileceği bir ortam öngörüyor. Bu stratejik planlama varsayımlarını dilerseniz siz de önümüzdeki yıllar için yol haritanıza ekleyebilirsiniz.
1. 2023'ün sonuna gelindiğinde, modern kişisel verilerin gizliliği yasaları dünya nüfusunun %75'inin kişisel bilgilerini kapsayacak.
GDPR, tüketici mahremiyetine ilişkin ilk büyük mevzuattı, ancak bunu, Türkiye’nin Kişisel Verilerin Korunması Kanunu (KVKK), Brezilya'nın Genel Kişisel Verileri Koruma Yasası (LGPD) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) dahil olmak üzere hızla başkaları izledi. Bu yasaların kapsamı, çeşitli yetki alanlarında birden fazla veri koruma yasasını yöneteceğinizi ve müşterilerin onlardan ne tür veriler topladığınızı ve bunların nasıl kullanıldığını bilmek isteyeceklerini gösteriyor. Bu durum, veri gizliliği yönetim sisteminizin otomasyonuna odaklanmanız gerektiği anlamına da geliyor. Bunu nasıl yapacağınıza gelirsek; temel olarak GDPR'yi kullanarak güvenlik operasyonlarını standartlaştırabilir ve ardından bireysel yetki alanlarına göre uyarlayabilirsiniz.
2. 2024 yılına kadar, siber güvenlik ağı mimarisini benimseyen kuruluşlar, güvenlik olaylarının finansal maliyetlerini ortalama %90 oranında azaltabilecekler.
Kuruluşlar artık farklı yerlerde çeşitli teknolojileri desteklemektedir, bu nedenle esnek bir güvenlik çözümüne ihtiyaçları vardır. Siber güvenlik ağı, geleneksel güvenlik çevresinin dışındaki kimlikleri kapsayacak şekilde genişler ve kuruluşa dair bütünsel bir görünüm oluşturur. Ayrıca, uzaktan çalışma için güvenliği artırmaya yardımcı olur. Bu talepler, önümüzdeki iki yıl içinde bu yaklaşıma geçişi hızlandıracak.
3. 2024'e kadar kuruluşların %30'u, aynı satıcının sunduğu bulut tabanlı Güvenli Web Ağ Geçidi (SWG), Bulut Erişimi Güvenlik Aracıları (CASB), Sıfır Güven Ağ Erişimi (ZTNA) ve Hizmet Olarak Güvenlik Duvarı (FWaaS) uygulamalarını devreye alacak.
Kuruluşlar optimizasyon ve konsolidasyona yöneliyor. Güvenlik liderleri genellikle düzinelerce aracı yönetir, ancak bu sayıyı 10 adetten daha da azına çekmeyi planlıyorlar. Bu çerçeveden bakıldığında SaaS, tercih edilen bir dağıtım yöntemi haline gelecek ve konsolidasyon, donanımın benimsenme sürelerini etkileyecek.
4. 2025'e kadar kuruluşların %60'ı, üçüncü taraf işlemlerini ve iş ilişkilerini yürütmede siber güvenlik riskini birincil belirleyici olarak kullanacak.
Yatırımcılar, özellikle risk sermayedarları, fırsatları değerlendirmede siber güvenlik riskini önemli bir faktör olarak kullanıyor. Kuruluşlar, birleşmeler ve satın almalar ve satıcı sözleşmeleri de dahil olmak üzere iş anlaşmaları sırasında giderek artan bir şekilde siber güvenlik riskine bakıyor. Bunun sonucu olarak, anketler veya güvenlik derecelendirmeleri aracılığıyla bir ortağın siber güvenlik programı hakkında daha fazla veri talebi ortaya çıkabiliyor.
5. Fidye yazılımı ödemelerini, para cezalarını ve görüşmeleri düzenleyen yasaları çıkaran devletlerin yüzdesi, 2021'de %1'den azken, 2025'in sonunda %30'a yükselecek.
Şu anda fidye yazılımı ödemeleri için daha geniş düzenlemeler geçerli olsa da, güvenlik uzmanları ödemeler konusunda daha sıkı önlemlerle karşı karşıya kalabilir. Henüz yasal düzenlemelere maruz kalmamış bir kripto para piyasası göz önüne alındığında, fidye ödemenin etik, yasal ve ahlaki sonuçları vardır ve bunun etkilerini düşünmek hayati önem taşır. Ödeme yapma (ya da yapmama) kararı, tüm bu endişeleri giderebilecek çapraz işlevli bir ekibe bırakılmalıdır.
6. 2025 yılına kadar, yönetim kurullarının %40'ında, nitelikli bir yönetim kurulu üyesi tarafından denetlenen özel bir siber güvenlik komitesi bulunacak.
Siber güvenlik yönetim kurulları için en önemli konu haline geldiğinden (ve öyle kalmaya devam ettiğinden), yönetim kurulu düzeyinde bir siber güvenlik komitesi ve daha sıkı bir gözetim ve denetleme bekleyebilirsiniz. Bu, kurum genelinde siber güvenlik riskinin görünürlüğünü artırır ve ayrıntıları belirli kurul üyelerinin geçmişine ve deneyimine bağlı olabilen kurul raporlamasına yeni bir yaklaşım gerektirir. Bu açıdan risk ve maliyet değerlerine odaklanan bir iletişim yürütmelisiniz.
7. 2025 yılına kadar, CEO'ların %70'i siber suçlardan, şiddetli hava olaylarından, toplumsal olaylardan ve siyasi istikrarsızlıklardan kaynaklanan tehditlerden korunmak için bir kurumsal dayanıklılık kültürü inşa edecekler.
Daha geniş güvenlik ortamlarını hesaba katmak için siber güvenliğin ötesine ve kurumsal esnekliğe geçin. Dijital dönüşüm, ürün ve hizmetleri nasıl ürettiğinizi etkileyecek olan tehdit ortamına ekstra karmaşıklık katar. Kurumsal dayanıklılık ve hedefleri tanımlamaya çalışın ve bunları etkileyen siber risklerin bir envanterini oluşturun.
8. 2025 yılına kadar, siber saldırganlar, insan kayıplarına neden olacak kadar başarılı bir şekilde operasyonel teknoloji ortamlarını silah olarak kullanabilecekler.
Kötü amaçlı yazılım, IT'den OT'ye yayıldıkça, odağı son sorumluluk CEO'da olacak şekilde iş kesintilerinden fiziksel zarara kaydırıyor. Varlık merkezli siber-fiziksel sistemlere odaklanın ve uygun yönetimi ele alacak ekiplerin bulunduğundan emin olun.
Gartner’ın global çapta yaptığı araştırmalar sonucu gördüğü gibi, siz de veri gizliliği sağlamak veya fidye yazılımı saldırılarına karşı kurumunuzun veri ve erişim güvenliği altyapısını merkezi bir şekilde yönetmek istiyorsanız, Ayrıcalıklı Erişim Yönetimi (PAM) alanında dünyanın önde gelen çözümleriyle tanışmak için bizimle iletişime geçebilirsiniz.
Kaynak: https://www.gartner.com/en/articles/the-top-8-cybersecurity-predictions-for-2021-2022
