Gartner 2021 için Güvenlik ve Risk Yönetimi Trendlerini Belirledi
19/04/2021COVID-19 nedeniyle dünyanın hızla uyum sağlamak zorunda kaldığı yeni normal ile iş dünyası alışkanlıkları da aniden değişti. Pandemi süreci, dijital iş dönüşümünü hızlandırdığı gibi geleneksel siber güvenlik çözümlerinin de bu değişen yapıya uygun olarak gelişmesine neden oldu.
Gartner, Güvenlik ve Risk Yönetimi Zirvesi 2021’de risk ve kimlik ve erişim yönetimi (IAM) alanındaki liderler ile pandemi sürecindeki bu hızlı gelişimleri paylaşmak için buluştu. Kuruluşların gelişim ve adaptasyon süreçlerinin, risk yönetimlerinin ve öncelikli yatırımlarının konuşulduğu zirvede, 2021 yılı için güvenlik ve risk yönetimi ile ilgili 8 önemli trend tartışıldı.
Açılış konuşmasını gerçekleştiren Gartner Araştırma departmanı başkan yardımcısı Peter Firstbrook, bu 8 önemli trendin, tüm kuruluşların karşılaştığı global zorluklara yanıt olacağını belirtti.
Zirvede, en kritik zorluğun kalifiye siber güvenlik uzmanı istihdamı olduğu belirtilirken; diğer temel zorluklar arasında, karmaşık jeopolitik durum ve artan küresel düzenlemeler, çalışma alanlarının ve iş yüklerinin geleneksel ağlardan taşınması gibi çeşitli konular yer alıyor.
Gartner Güvenlik ve Risk Yönetimi Trendleri - 2021
Trend 1: Siber Güvenlik Ağı
Siber güvenlik ağı, kontrollerin en çok ihtiyaç duyulan yerlerde devreye alınmasını destekleyen modern bir güvenlik yaklaşımıdır. Örneğin; bir depoda çalışan her güvenlik aracı yerine, bir siber güvenlik ağı, temel güvenlik hizmetlerini ve merkezi politika yönetimini ve düzenlemelerini sağlamak için araçların birlikte çalışmasını sağlar.
Zirvede, yöneticiler artık geleneksel kurumsal çevrelerin dışında kalan birçok BT varlığıyla, bir siber güvenlik ağı mimarisi, kuruluşların güvenlik kontrollerini dağıtılmış varlıklara genişletmesine olanak sağladığını belirtti.
Trend 2: Kimlik Öncelikli Güvenlik
Yıllar boyunca, herhangi bir kullanıcının istediği zaman ve istediği yerden erişim sağlayabilmesi (yeni güvenlik çevresi kimliği) idealistik bir vizyondu. Günümüzdeki kültürel ve teknolojik gelişmelere, bir de pandemi nedeniyle evden çalışma zorunluluğu eklenince, bu ideal vizyon bir gerçeklik haline dönüştü. Kimlik öncelikli güvenlik, kimliği güvenlik tasarımının merkezine koyduğu ve geleneksel LAN uç tasarım düşüncesine göre büyük bir değişiklik gerektirir.
Güvenlik ve Risk Yönetimi Zirvesi’nde SolarWinds saldırısı (Bakınız; SolarWinds: Raindrop Malware) da konuşularak kimlikleri yönetme ve izleme konusunda harika bir iş çıkarılamadığı örneklendi. Şirketler, çok faktörlü kimlik doğrulama, tek oturum açma ve biyometrik kimlik doğrulama için çok para ve zaman harcanırken sistemlerdeki yetkinlendirmenin etkili bir şekilde izlenmesi için gerekli yatırımlar yapılmadığı gözlemlenmiştir.
Trend 3: Uzaktan Çalışma için Güvenlik Desteği
Ocak 2021’de yayınlanan raporlara göre; pandemiden sonra şirketlerin %88’i uzaktan çalışmayı mecburi kıldı ya da teşvik etti ve çalışanların %64’ü hala tamamen evden çalışmaya devam ediyor. Pandemi sonrasında da %30-40 oranlarında evden çalışmaya devam edileceği tahmin ediliyor.
Yani COVID-19 pandemi ile bir zorunluluk haline gelen uzaktan çalışma düzeni, zamanla dünyanın çalışma alışkanlıklarını da değiştirerek kalıcı hale geldi. Durum kalıcı olunca, birçok organizasyon için modern uzak çalışma alanına uygun ilkelerin ve güvenlik araçlarının tamamen yeniden başlatılmasını gerekliliği ortaya çıktı. Örneğin, uç nokta koruma hizmetlerinin bulut üzerinden sağlanan hizmetlere taşınması gerekecektir. Siber güvenlik yöneticileri ayrıca, uzak bir ortamda çalışmayı güvenli bir hale getirmek için veri koruma, felaket kurtarma ve yedekleme teknolojilerini de yeniden gözden geçirmelidir.
Trend 4: Siber Bilinçli Yönetim Kurulu
Gartner 2021 Yönetim Kurulu anketinin sonuçlarını bu zirvede de vurguladı. Anket sonuçlarına göre; yöneticiler, siber güvenlik risklerini mevzuat uygulamalarından sonra ikinci en yüksek risk kaynağı olarak değerlendirmektedir. Bu kapsamda büyük şirketler artık kendi yönetim kurullarında, siber güvenlik uzmanı olan bir kurul üyesi veya üçüncü taraf bir danışman tarafından yönetilen bir siber güvenlik komitesi oluşturmaya başlıyor.
Gartner 2021 Güvenlik ve Risk Yönetimi Zirvesi’nde ortaya çıkan öngörülerden biri de 2025 yılına kadar yönetim kurullarının %40’ının kalifiye bir yönetim kurulu üyesi tarafından denetlenen özel bir siber güvenlik komitesine sahip olmak olarak belirtti.
Trend 5: Güvenlik Tedarikçisi Konsolidasyonu
Gartner’ın 2020 CISO anketine göre, CISO’ların %78’i siber güvenlik tedarikçisi portföylerinde 16 veya fazla siber güvenlik teknolojisine sahipken, sadece %12’sinde 46 veya daha fazla teknolojiye sahip olduğu sonucu çıkmıştır. Çok sayıda güvenlik ürünü ve tedarikçi çeşitliliği karmaşıklığı, entegrasyon maliyetini ve personel gereksinimini arttırır. Yakın tarihli bir ankette ise, BT kuruluşlarının % 80'i tedarikçilerini önümüzdeki üç yıl içinde birleştirmeyi planladıklarını belirtmiştir.
Zirvede ise bu durumla ilgili; CISO'ların, ilgilenmeleri gereken siber güvenlik teknolojileri ve tedarikçi sayılarını birleştirmeye istekli oldukları belirtilmiştir. Ayrıca zirve de çıkan görüşler arasında, daha az güvenlik çözümüne sahip olmak, bunları doğru şekilde yapılandırmayı ve uyarılara yanıt vermeyi kolaylaştırarak güvenlik riski duruşunu iyileştireceği; geniş bir platformlar satın almak, maliyet ve uygulama için gereken süre açısından olumsuzluklara yol açabileceği de bulunmaktadır.
Trend 6: Gizliliği Artıran Ölçümleme
Günümüz siber güvenlik teknolojilerinin gelişmesiyle, güvenilmeyen ortamlarda bile güvenli veri işleme, paylaşım, sınır ötesi aktarımlar ve verileri kullanılırken (beklemede veya hareket halindeyken değil) koruyan, gizliliği artıran bilgi işlem teknikleri ortaya çıkmıştır. Bunun yanında, dolandırıcılık analizi, istihbarat, veri paylaşımı, finansal hizmetler (ör. Kara para aklamayı önleme), ilaçlar ve sağlık hizmetlerinde uygulamalar ise her geçen gün artmaktadır.
Gartner, 2021 Güvenlik ve Risk Yönetimi Zirvesi’nde güvenlik konusu ele alınarak, 2025 yılına kadar büyük kuruluşların % 50'sinin, güvenilmeyen ortamlarda veya çok taraflı veri analizi kullanım örneklerinde veri işlemek için gizliliği artıran hesaplamayı benimseyeceğini belirtilmiştir.
Trend 7: İhlal ve Saldırı Simülasyonu
İhlal ve saldırı simülasyonu (Breach and attack simulation - BAS) araçları, sürekli savunma duruş değerlendirmeleri sağlamak için ortaya çıkmakta ve penetrasyon testi (sızma testi) gibi yıllık nokta değerlendirmelerinin sağladığı sınırlı görünürlüğe meydan okumaktadır.
2021 zirvesinde CISO'ların, normal güvenlik değerlendirmelerine BAS'ı dahil ettiklerinde, ekiplerinin güvenlik duruşlarındaki boşlukları daha etkili bir şekilde belirleyebilecekleri ve güvenlik girişimlerini daha verimli bir şekilde önceliklendirebilecekleri ortaya çıkmıştır.
Trend 8: Makine Kimliklerini Yönetme
Makine kimliği yönetimi; cihazlar, uygulamalar, bulut hizmetleri veya ağ geçitleri gibi diğer varlıklar ile etkileşime giren bir makinenin kimliğine güven oluşturmayı ve yönetmeyi amaçlar. Endüstri 4.0 ile birlikte otomasyonlaşan iş dünyası, şirketlerin insan iş gücü haricinde insan dışı/ makine varlıklarıın sayısını da hızla arttırmaktadır.
2021 Güvenlik ve Risk Yönetimi Zirvesi’nde makine kimliklerinin yönetilmesi de öne çıkan son trend olarak yer almaktadır. Bu bağlamda zirvede, makine kimliklerinin yönetilmesinin güvenlik stratejisinin hayati bir parçası haline geldiği belirtilmiştir.