Finansal bilgilerin güvenliğini sağlamak konusunda şifreleme, kullanılabilecek en önemli araçlardan biridir. Finans kurumları, aktarımlar sırasında hassas verileri korumak amacıyla AES-256 gibi sektör standartı şifreleme protokollerine büyük ölçüde dayanmaktadır. Rakamlar ayrıca inandırıcı bir hikaye anlatmaktadır. Verizon'ın en son Veri Sızıntısı raporuna göre, tüm sızıntıların neredeyse %60'ı uygun şifreleme uygulansaydı tamamen engellenebilirdi. Finansal sistemlerle çalışan herkes için farklı şifreleme yöntemlerinin nasıl çalıştığını öğrenmek mantıklıdır. Simetrik şifreleme, büyük veri miktarını hızlı bir şekilde işleyebildiği için bankaların günlük işlemlerinde sıklıkla kullandığı yöntemdir. Bunun tersine, asimetrik şifreleme daha güçlü koruma sunar ancak buna karşılık bir maliyeti vardır. Bu yöntem kullanıldığında işlemler daha uzun sürer ve bu da maksimum güvenlik isteğiyle müşterilerin canı sıkılmadan yeterince hızlı işlem yapma ihtiyacı arasında klasik bir ikilem yaratır.
Çok katmanlı erişim kontrollerinin uygulanması, yetkisiz kişilerin giriş yapmasını engellemek ve finansal verilerin güvenliğini sağlamak açısından gerçekten önemlidir. Burada temel fikir, farklı kimlik doğrulama yöntemleri ve onay süreçleri bir araya getirerek hassas bilgilere erişim öncesinde kimin gerçekten kim olduğuna emin olmaktır. Örneğin rol tabanlı erişim kontrolünü ele alalım. RBAC ile çalışanlar sadece iş pozisyonlarına göre ihtiyaç duydukları bilgilere erişebilirler. Bu durum, çalışanların gereksiz erişimlerle dolaşmalarını engellediği için bilgi yanlış kullanımının hem kasıtlı hem de yanlışlıkla oluşmasını azaltır. Zaten bahsettiğimiz gibi, şirketlerin kimlerin hangi erişim haklarına sahip olduğu düzenli olarak gözden geçirilmelidir. Bu tür denetimler, bir kişinin aniden çok daha fazla erişim yetkisine sahip olmasına neden olan ayrıcalık yükseltme (privilege escalation) gibi sorunları tespit etmede oldukça faydalıdır. Uzman olmayan çalışanların, yetkilerin düzgün bir şekilde gözden geçirilmemesi nedeniyle yönetici seviyesinde erişim yetkilerine sahip olmaları çok sık görülmektedir. Düzenli denetimler sadece kâğıt üzerinde kalmaz; aynı zamanda sistemlerin güvenli kalmasının ve çalışanların sadece işlerini yapmaları için gerekli olan bilgileri görmelerinin en iyi yollarından biridir.
Günümüzde birçok kişinin alışverişlerini çevrimi online olarak gerçekleştirmesiyle birlikte, işlemler sırasında para güvenliğini sağlamak amacıyla gerçek zamanlı dolandırıcılık tespiti hayati bir gereklilik haline gelmiştir. Dolandırıcılık anında tespit edildiğinde bankalar ve satıcılar, kötü niyetli kişilerin büyük kayıplara neden olmasının önüne geçebilir. Araştırmalar, makine öğreniminin dolandırıcılığı gösteren olası örüntüleri tespit etmede oldukça iyi çalıştığını, bu sayede daha az sayıda meşru işlemin yanlışlıkla işaretlendiğini ve yine de gerçek dolandırıcılık olaylarının çoğunu yakalayabildiğini göstermektedir. Ancak, yeni nesil dolandırıcılık tespit teknolojilerini, birkaç on yıl önce geliştirilmiş eski ödeme sistemleriyle entegre etmede bir problem vardır. Birçok şirket bu tür uyumluluk sorunlarıyla mücadele etmektedir. Neyse ki API'leri kullanarak sistemleri birbirine bağlamak ve yazılımı küçük, değiştirilebilir parçalardan oluşturmak suretiyle yeni yaklaşımlar bu sorunun üstesinden gelmede işe yaramaktadır. Bu yöntemler, şirketlerin mevcut altyapılarının tamamını değiştirmek zorunda kalmadan güvenliklerini yükseltmelerine olanak sağlar ve bu da uzun vadede hem zaman hem de para tasarrufu sağlar.
Masaüstlerinin ve sunucuların doğru şekilde yapılandırılması, finansal verilerin yetkisiz erişime karşı korunması açısından hayati öneme sahiptir. Finans kurumları, arka planda çalışan kullanılmayan servisleri devre dışı bırakmalı, yazılımları düzenli olarak güncellemelerle güncel tutmalı ve bankacılık ortamlarına özel olarak tasarlanmış güvenlik standartlarını uygulamalıdır. Gerçek dünya olayları, zayıf yapılandırmaların büyük güvenlik açıklarına nasıl yol açabileceğini göstermektedir. Dikkat çekici bir olayda, bir bankanın sunucu ayarlarını açık bırakması nedeniyle siber saldırganlar milyonlarca dolar değerinde hassas müşteri kayıtlarını çalmışlardır. Bu tür hatalar, sıkı güvenlik önlemlerinin vazgeçilmez olduğunu bir kez daha göstermektedir. Kuruluşlar yapılandırmaları başlangıçtan itibaren doğru yaparak sadece bireysel makineleri değil aynı zamanda tüm operasyonları boyunca siber güvenlik duruşlarını güçlendirmiş olurlar.
NIST'in Siber Güvenlik Çerçevesi, şirketlerin siber tehditleri tespit etmeye, bunlarla başa çıkmaya ve azaltmaya çalışmasında temel bir yol haritası görevini görür. Bir kuruluşun içine doğru şekilde entegre edildiğinde, saldırılar karşısındaki genel dayanıklılığı artırır; bu da risk yönetimiyle sürekli olarak ilgilenen başkan yardımcıları için büyük önem taşır. Yapılandırılmış bir güvenlik yaklaşımı, sürekli olarak ortaya çıkan yeni tehditlerden hassas finansal bilgileri korumaya yardımcı olur. Elbette bu çerçeveyi uygulamak kolay değildir. Birçok kuruluş, yeterli kaynak tahsisi ve teknik detayların anlaşılması konusunda zorlanmaktadır. Bu tür engeller, uygun personel eğitim programları ve her işin bireysel ihtiyaçlarına göre uyarlanmış akıllı uzun vadeli planlama stratejileriyle aşılabilir.
GDPR ve CCPA kurallarını anlamak ve verileri doğru yönetmek ile güvenlik altına almak açısından oldukça önemli. Bu yasalar şirketlerin kişisel bilgilerle ilgili oldukça sıkı korumalar uygulamasını gerektiriyor ve bunlara uymamak ciddi mali cezalara yol açabiliyor. Bu düzenlemelerin etkisi sadece yerel işletmelerle sınırlı değil; aynı zamanda şirketlerin sınır ötesi faaliyetlerini ve ülkeler arası veri transferlerini nasıl yönettiğini de kapsıyor ki bu durum uyum sağlamanın bazen oldukça zor olmasına neden oluyor. Şirketlerin finansal direktörleri için bu kurallara uyma öncelikli bir konu olmalı çünkü cezalara maruz kalınması şirketin kârına ciddi zarar verebilir. Ayrıca uluslararası pazarlarda itibarın korunması ve müşteriler ile iş ortaklarının güvenini kazanmak, şirketin veri gizliliğine verdiği önemi göstermesine bağlı olarak gelişiyor.
SEC, siber güvenlik ihlalleri hakkında yatırımcıları bilgilendirme zamanı konusunda katı kurallara sahiptir ve bu, şirketlerin mali durumları konusunda açık ve dürüst kalmalarının işler için ne kadar kritik olduğunu gösterir. Şirketlerin finansal durumları hakkında yatırımcıları bilgilendirme görevi, sadece bir kâğıt işi olmaktan öte, finans direktörlerinin işlerinin temel bir parçasıdır. Son yıllara bakıldığında, güvenlik sorunlarını doğru şekilde açıklamayan firmalara karşı SEC tarafından artan bir cezalandırma eğilimi görülmektedir. Sadece geçen çeyreği dikkate alındığında, veri ihlallerinin bildiriminde geciken üç büyük şirket cezaya çarptırılmıştır. Akıllı şirketler, sağlam yanıt stratejileri geliştirerek önceden hazırlanmaktadırlar. Bu, olayları hızlı bir şekilde tespit etmek, ilgili tarafları günler değil saatler içinde bilgilendirmek ve sürecin tamamında şeffaf bir şekilde iletişim kurmak için net protokollerin bulunması anlamına gelir. Durumlar doğru yönetildiğinde, bu tür olaylar şirketin itibarını ya da finansal tabanını mutlaka yok etmez.
Karmaşık tedarik zincirleri boyunca kurumsal verileri güvende tutmak için satıcı risklerini yönetmek hayati öneme sahiptir. Üçüncü taraf ihlallerinin iş dünyasına büyük sorunlar yaşattığı birçok örneği gördük; bu durum, neden dikkatli bir şekilde taranmasının bu kadar önemli olduğunu gösteriyor. Şirketler, ortaklarının ne kadar güvenli olduğunu değerlendirmek amacıyla Güvenlik İstihbaratı Toplama çerçeveleri ve düzenli üçüncü taraf denetimleri gibi araçlar kullanmaktadır. Bu değerlendirmeler, dış iş birlikçilerinin hassas bilgileri açıklayabilecek durumları önmemeye yardımcı olur. Finans liderleri açısından maliyet odaklı düşünüldüğünde, satıcıların dikkatli şekilde incelenmesine zaman ayırmak yalnızca iyi bir uygulama olmakla kalmaz; aynı zamanda tedarikçi ilişkilerindeki potansiyel tehditlere karşı alınması gereken gerekli koruma önlemini oluşturur. Sonuçta hiç kimsenin, alt yüklenicilerden birinin kötü siber güvenlik uygulamaları nedeniyle şirketinin itibarının zarar görmesini isteyeceği yoktur.
Yapay zeka teknolojisinin yükselişi, ağların içinde tehditleri tespit etme biçimimizi tamamen değiştirmiş ve siber güvenlik için tamamen yeni olanaklar açmıştır. Şirketler artık makine öğrenimi ve çeşitli yapay zeka sistemlerini kullanarak sorunlar büyük boyuta ulaşmadan önce tespit edebiliyorlar. Bazı araştırmalar, bu yapay zeka yöntemlerinin geleneksel yöntemlere göre tehditleri yaklaşık %80 daha iyi tespit edebildiğini gösteriyor; bu da güvenlik ekiplerine sistemlerini korurken gerçek bir avantaj sağlıyor. Yapay zekayı mevcut güvenlik altyapısına entegre ederken iyi sonuçlar elde edebilmek, her şeyin sorunsuz bir şekilde bir araya gelmesine bağlıdır. Bu, farklı yapay zeka araçlarının mevcut sistemlerle ne kadar iyi uyum sağladığına bakmakla kalmaz, aynı zamanda belirli işletmelerin ihtiyaçlarına göre bu araçların özelleştirilmesini de gerektirir. Birçok kuruluş, kendi özel ihtiyaçlarını anlamaya zaman harcamanın, ileride çok daha iyi sonuçlar doğurduğunu fark ediyor.
Blok zinciri teknolojisi, işlemlerin dürüst ve şeffaf tutulmasında gerçekten farklı bir şey sunar. Dikkat çeken yönü, bir kez kayıt edilen bilginin daha sonra kimsenin değiştirememesiyle otomatik olarak oluşan bir denetim izi oluşturmasıdır. Hassas veri aktarımlarıyla uğraşan işletmeler için bu özellik oldukça yararlıdır. Örneğin IBM, blok zincirini denetim süreçlerinde kullanmış ve verilerde daha iyi güvenlik sonuçları ve azalan hata oranları elde etmiştir. Yine de ileride bazı engeller bulunmaktadır. Birçok kişi hâlâ blok zincirinin ölçeklenebileceğini düşünmemekte ya da çok karmaşık olduğuna inanmaktadır. Bu tür yanlış algıları aşmak, blok zincirinin denetimlerde neler yapabileceğini göstermede önemli bir adım olacaktır. Herkes için süreci daha da kolaylaştırmak adına blok zincirinin nasıl çalıştığı konusunda daha fazla bilgilendirme ve teknolojideki sürekli iyileştirmelere ihtiyaç duyulmaktadır.
Sıfır güven mimarisi, özellikle pandemi karantinasından sonra şirketlerin tekrar dönmesinden bu yana karma çalışma ortamlarını güvende tutmak için hayati bir öneme sahip olmuştur. Buradaki temel fikir basit ancak güçlüdür: iç ağların güvenli bölgeler olduğu varsayımı yerine, her erişim noktasında her şeyi doğrulamak. Bu yaklaşımı benimseyen şirketler, son çalışmalarda geleneksel yöntemleri kullananlara göre yaklaşık olarak güvenlik olaylarının yarısı kadarını bildirmiştir. Sıfır güveni uygulamaya koymak, doğru teknolojik araçları seçmek anlamına gelir. Kimlik yönetim sistemleri ve çok faktörlü kimlik doğrulama, çoğu uygulama için vazgeçilmezdir. En iyi sonuçları veren şey ise söz konusu olan iş türüne bağlı olarak değişir. Bir üretim tesisi, çevrimiçi hizmet sağlayıcılardan farklı korumalara ihtiyaç duyar. Bunu doğru bir şekilde yapmak zaman alır ve siber saldırılar karşısında gerçek korumalar oluşturulmasından önce organizasyonun içinde hassas verilerin nerede dolaştığını haritalamayı gerektirir.
Kuantum bilgisayarlar hızla ilerlemeye devam ediyor ve bu, mevcut şifreleme yöntemlerimizin artık risk altında olduğu anlamına geliyor. Gerçekten de kuantum saldırılarına karşı dayanabilecek çözümler üzerinde çalışmaya başlamamız gerekiyor. Siber güvenlik uzmanları, bu kuantum tehditlerinin yaklaşık on yıl içinde gerçekten bir sorun haline gelebileceği konusunda yıllardır bizi uyarıyordu. Geleceğe hazırlanmak, şu anda dünya çapında gerçekleşen çeşitli araştırma projelerine göz atmayı gerektiriyor. Örneğin, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum bilgisayarlar devreye girdiğinde bile önemli bilgileri koruyacak yeni şifreleme standartları geliştirmede öncü rol oynuyor. Eğrinin önünde olmak isteyen şirketlerin, ileride şifreleme sistemlerini nasıl yöneteceklerini düşünmeye kesinlikle başlamaları gerekir. Sonuçta, kimsenin bir sabah uyanıp, birinin daha iyi bir bilgisayar yapmasıyla verilerinin artık güvenli olmadığını fark etmesini istemeyiz.
Modern iş dünyasının sunduğu zorluklarla başa çıkmak zorunda olan CFO'lar için siber sigorta, sadece bir gider kalemi değil aynı zamanda risk yönetimi stratejisinin hayati bir parçasıdır. Veri sızıntıları günümüzde oldukça maliyetli olaylardır ve genellikle tüm hesaplar yapıldığında şirketlere birkaç milyon dolar mal olur. IBM'in 2021 yılında yaptığı araştırma, ortalama bir sızıntının maliyetinin yaklaşık 4.24 milyon dolar olduğunu göstermiştir. Siber sigorta, bir saldırı sonrasında ortaya çıkan beklenmedik maliyetleri karşılamada, avukatlara ödeme yapılması, zarar gören sistemlerin onarılması ve düzenleyici kurumlar tarafından uygulanan cezaların karşılanması gibi giderleri kapsar. Bu tür bir sigorta için ne kadar harcama yapılacağına karar verilirken finans liderleri, diğer güvenlik yatırımlarıyla kıyaslandığında elde edilen sigorta kapsamının değerini dikkate almalıdır. Sigorta, en kötü senaryolara karşı koruma sağlarken akıllı işletmeler aynı zamanda sorunlar başlamadan önleyici önlemler almak için kaynak ayırmalıdır; çünkü sorunlar çıktığında müdahale etmek, baştan önlem almak kadar etkili olmaz.
Güvenlik bilinçlendirme eğitimi, çalışanların davranışlarını değiştirmek ve güvenlikle ilgili sorunları azaltmak konusunda gerçekten fark yaratır. Bu tür programları uygulayan şirketler, genellikle olay sayısında ciddi düşüşler yaşarlar ki bu da harcanan paranın değerini gösterir. Örneğin KnowBe4'ün araştırmasına bakalım; eğitim programına katılan kişilerde sahteleştirme saldırılarında yaklaşık %90 oranında azalma görülmüştür. Bu tür çabaların etkili olup olmadığını değerlendiren finans müdürlerinin dikkat etmesi gereken birkaç kriter vardır. Bunlara zaman içindeki olay sayıları, bir şey yanlış gittiğinde ekiplerin ne kadar hızlı yanıt verdiği ve çalışanların eğitim seanslarında ne kadar katılım sağladığı dahildir. Başarıyı ölçmenin başka iyi bir yolu da şirket genelinde gerçekleşen güvenlik ihlallerinin azalmasından dolayı ne kadar paranın tasarruf edildiğine bakmaktır.
Yönetim kurulları için siber risk raporlaması konusunda şirketlerin akıllıca uzun vadeli kararlar alabilmesi adına bu konularda açık olmak oldukça önemlidir. İyi raporlar, tüm bu karmaşık teknik sorunları, yöneticilerin doğrudan kullanabileceği bilgilere dönüştürür. Bazı temel ipuçları: Dil sade olsun, öncelikle en çok etkileyen risklere odaklanın ve bir sonraki adımlar için önerilerde bulunmayı ihmal etmeyin. Microsoft gibi bir örneği ele alalım. Yönetim kuruluna sundukları raporlarda öncü bir yaklaşım sergileyerek, güvenlik tehditlerinin anlık olarak nasıl geliştiğini ve buna karşı nasıl yanıt verdiklerini gösteren bir pano sistemi oluşturmuşlar. Bu tür bir şeffaflık, liderlerin sorunlar kötüye gitmeden harekete geçmesini sağlarken aynı zamanda yatırımcılara ve müşterilere şirketin varlıklarini korumayı ciddiye aldığını gösterir. Sonuçta kimse, zafiyetlerini gizleyen bir şirkete yatırım yapmak istemez.
İşletmeler bilgisayar monitörü analizlerini siber güvenlik planlarına dahil ettiklerinde, tehditleri erken tespit etmede daha iyi hale gelirler. Kullanıcıların sistemlerle etkileşimini incelemek ve ekranlarda garip desenleri yakalama, sorunların büyük çaplı saldırılara dönüşmesinden önce tespit edilmesini sağlar. Güvenlik ekipleri, ekran aktiviteleriyle ilgili tüm verileri toplayarak şüpheli olan her şeyi işaretlemek için SIEM sistemleri gibi araçlara sıklıkla dayanır. Örneğin, bazı şirketler monitör analizi uygulandıktan sonra muhtemel izinsiz girişimlere yanıt süresinin %40 daha hızlı olduğunu fark ettiler. Hiçbir sistem hatasız olmasa da, birçok BT yöneticisi ağlarında gerçekleşenleri gerçek zamanlı olarak görebildiklerinde savunma sistemleri konusunda daha fazla güvende hissettiklerini belirtiyor.
Bir Sonraki Bölüm İçin Geçiş Cümlesi: Güvenliğin operasyonel hale getirilmesinde CFO liderliğinin çok yönlü yaklaşımını inceledikten sonra, yapay zeka, blok zincir ve diğer yeniliklerin bilgisayar güvenliği özelliklerini nasıl dönüştürdüğünü detaylandırarak sektördeki yeni teknolojilere odaklanalım.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
