Güvenlikte bildiklerinizi unutun...
Keri Pearlson & Keman Huang
Herkes güvenliğin dijital ürün ve hizmetler için ne kadar önemli olduğunun farkında. Müşteriler, özellikle bunları kendi ürün ve hizmetlerine dahil ederken dijital tekliflerin güvenli olmasını bekliyor. Örneğin, ürün tasarımında sensöre yer veren bir üretici, kullandığı sensörün siber güvenlikli olmasını ve güvenlik açıkları oluşturmamasını bekliyor.
Internete bağlı herhangi bir cihaz, dahili sisteme erişen, kimlik bilgilerini çalan, kötü amaçlı yazılım yerleştiren veya hassas veriler toplayan saldırılar için bir giriş noktası oluşturabilir. Ancak dikkat çeken ihlallerden sonra ortaya çıkan verilerin gösterdiği gibi siber güvenliği ürün ve hizmetlere dönüştürmeyi amaçlayan geliştirme süreçlerimiz çökmeye devam ediyor. Güvenliğin yalnızca beklenen bir şey olmakla kalmayıp aynı zamanda ürün geliştirmenin her yönüne derinden gömülü olduğu bir noktaya henüz gelmedik.
Gerçekten güvenli dijital ürünler ve hizmetler (bunlara sadelik adına 'ürünler' veya 'teklifler' diyeceğiz) oluşturmak için siber güvenliğin ilk tasarım aşamasından başlayarak sürece dahil edilmesi gerekiyor. Bu kolay olmasa da maliyetlerin kontrol altında tutulmasını sağlayabilir ve şirketlerin müşteri beklentilerini daha iyi karşılamasına yardımcı olabilir. Oysa güvenlik çoğu zaman sonradan akla gelen ve ürün tasarlandıktan sonra ele alınan bir sorun oluyor.
ZENGİN ÖZELLİKLER
Şirketlerin siber güvenlik tekliflerini nasıl oluşturduğuna ilişkin araştırmamızda, siber güvenliğin erken tasarım aşamasındaki kriterler arasında nadiren ele alındığını gördük. Çoğu tasarımcı, sunduklarının zarif, pazarlanabilir, kullanılabilir ve zengin özelliklere sahip olduğundan emin olmaya odaklanıyor. Güvenlik, genellikle ilk tasarımların tamamlanmasının ardından, ya ürün geliştirme sürecine paralel çalışan güvenlik geliştirme süreçleri ya da tasarım ekibine danışman olarak çalışan güvenlik uzmanları tarafından 'sonradan ekleniyor.' Bu yaklaşım, genellikle bir ürünü yeniden tasarlamayı veya yeni özellikleri güçlendirmeyi içerdiğinden maliyetleri artırabiliyor ve sorun çözülemezse tasarımın tamamen hurdaya çıkarılması gerekebiliyor.
Şirket liderlerinin ilk tasarımdan itibaren tasarımcıların güvenlik oluşturma konusundaki tutumlarını değiştirmenin yollarını bulması gerekiyor ve bu ancak, liderler güvenliğe bizzat kafa yorduğunda, ekipleriyle konuştuğunda ve bunu ürünün tasarımında önemli bir faktör haline getirdiğinde yapılabilir. Bu tür yönetim mekanizmaları, tasarımcıların değer, tutum ve inançlarını değiştirir ve daha güvenli ilk tasarımlarla sonuçlanan davranışları teşvik eder.
Telekomünikasyon, sınai kontrol ve dijital otomasyon ve enerji alanında faaliyet gösteren üç büyük, tanınmış küresel şirketle yakın bir şekilde çalışarak, siber güvenliğin neden nadiren yeni dijital tekliflere dahil edildiğine dair fikirler edindik ve yöneticilerin bunu değiştirmek için atabilecekleri eylemleri belirledik. İncelediğimiz şirketler, dijital dönüşümlerinin bir parçası olarak, ağları yöneten cihazlar gibi yeni cihazlara dijital yetenekler kazandırıyor; ısıtma, havalandırma ve iklimlendirmeyi kontrol ediyor veya enerji tüketi- mini takip ediyor.
TASARIMIN AYRILMAZ PARÇASI OLMALI
Şirketlerin siber güvenliği ürün tasarımlarına üç farklı yaklaşımla eklemlediğini görüyoruz. Bazıları daha az maliyet gerektirse de asıl sorunu çözmediği ortada. Kökten çözümü olarak, tasarımcıların kendilerinin baştan siber güvenliği sürece dahil etmek için yeterli güvenlik bilgisine sahip olması olarak çıkıyor karşımıza. Hem güvenli tasarım ilkeleri hakkında genel bir anlayışa hem de oluşturdukları tekliflere ilişkin güvenlik hususları hakkında özel bilgiye ihtiyacı olacak. Ayrıca güvenliği fikrin ortaya atıldığı andan başlayarak sürece dahil etmenin önemli olduğuna ve bunun yapılmasının kendi işleri olduğuna inanmaları gerekiyor. Bu koşullar karşılandığında siber güvenlik de üretilebilirlik, kullanılabilirlik, kalite, maliyet ve herhangi bir tasarım sürecinin parçası olan diğer birçok unsur gibi temel tasarım kriterlerinden biri haline gelebilir.
İŞ LİDERLERE DÜŞÜYOR
Yöneticiler siber güvenliğin en başından itibaren ürün tasarımına dahil edilmesini giderek daha fazla istiyor. Bunu başarmak için atmaları gereken ilk adım, siber güvenliğe temel tasarım kriteri olarak haki- katen öncelik vermek. Liderler siber güvenliğe değer verdiklerini bunun hakkında konuşarak ve kaynak tahsis kararlarında öncelik vererek göstermezse, bunun aslında çok da önemli olmadığını üstü örtülü bir şekilde ima etmiş olur. Liderlerin ayrıca siber güvenliğin şirketlerinin tekliflerine nasıl dahil edildiği konusunda kendini eğitmesi gerekiyor. Şirket araştırmamızda gördüğümüz üç yakla- şımdan birini kullanıyorsa liderlerin süreci değiştirmek için kaynak tahsis etmesi ve tasarımcılara kendilerinden hangi davranışların beklendiğini göstermesi şart. Bu yapılmadığında ekipler, yönetim tarafından aksi söylense bile, siber güvenliğin gerçekten bir öncelik olup olmadığını sorgulamaya başlayacaktır.
DEĞİŞMESİ GEREKEN 3 YAKLAŞIM
1- DÜZELTMELERİ ZAMANINDA EKLEMEK
Bazı geliştirme ekipleri, tasarım tamamlandıktan sonra testlerde bir güvenlik açığı ortaya çıkana kadar siber güvenliği dikkate almıyor. Siber güvenliği daha sonra, gerektiği takdirde ekliyor. Siber güvenlik sorunlarının ortaya çıkarıldığı en yaygın test türleri, güvenlik açığı, sızma ve kalite kontrol testleriydi.
Bu senaryoda, bir güvenlik açığı ortaya çıktığında, ürün düzeltilmesi için tasarım ekibine geri gönderiliyor. Bazı durumlarda bu, maliyetli yeniden tasarımlara girişmeyi veya farklı ancak daha güvenli bileşenler bulmayı gerektirebiliyor. Araştırmamızda, şirketleri bu yaklaşımı kullanan yöneticiler, neden bu yolu tercih ettiklerine dair çok sayıda mazeret sıraladı. Çoğu durumda liderler, tasarımcıların tasarıma odaklanması gerektiğini ve siber güvenliğin herhangi bir sorun ortaya çıktığında ele alınabileceğini düşünüyor. Bir tasarımcı bize bir ürünün siber güvenlik endişeleri ortaya çıkmadan önce müşteriye teslim edilmek üzere son kontrole kadar geldiğini anlattı ve birden fazla durumda da ürünün güvenlik açığını gidermek için yeniden tasarlanması hiç kolay olmadı. Bu, ya ürün teslimatını iptal etmek ya da ilk tasarım aşamasına geri dönmek ve baştan başlamak anlamına geliyordu ki her ikisi de çok maliyetli seçeneklerdi.
2- GÜVENLI GELIŞTIRME YAŞAM DÖNGÜSÜ SÜREÇLERINI BIRLEŞTIRMEK
Gözlemlediğimiz diğer bir yaklaşım, tasarımın gözden geçirilmesi ile siber güvenlik konusunun aynı anda sürdürülmesi oldu. Bu yaklaşımda, güvenlik testleri ve konuları (güvenlik kontrol noktaları veya kapıları) tasarım ile sonraki geliştirme süreçlerine eklenmesi paralel olarak gerçekleştiriliyordu. Bu yaklaşımı kullanan şirketler, siber güvenliğin test edildiği bir dizi kontrol noktasına sahipti.
Ürün tasarım süreci, tasarım bu kapılardan birini geçemeyene dek devam ediyordu. Ürün testlerden birinde tıkandığında ekip güvenlik açığının nasıl düzeltileceğini tartışmaya başlıyordu. Bu yöntem de yine maliyetli olabilir ancak güvenlik özelliklerinin etkinleştirilmesi gerekip gerekmediğini görmek için sürecin sonuna kadar beklemekten çok daha az maliyetli olduğu kesin. Paralel süreçler uygulandığında, tasarım ve prototiplerin yerleşik doğru güvenliğe sahip olmasını sağlamak için tasarımcıların atabileceği belirli adımlar bulunuyor. Yine de erken aşamadaki bir tasarımı rafa kaldırma ve baştan başlama riski mevcut. Ancak güvenlik açığını tasarım sürecinin daha erken bir aşamasında yakalamak, tasarım tamamlandıktan sonra bulmaktan daha az maliyetli.
3- DANIŞMANLARI DAHİL ETMEK
Üçüncü bir yaklaşım olaraksa şirketlerin tasarımcılarla çalışırken güvenlik uzmanlarını doğrudan tasarım ekibinin içine yerleştirdiğini görüyoruz. İncelediğimiz ekiplerin bazılarında, bir üyenin görevi siber güvenliğe odaklanmaktı. Bu kişinin rolü, tasarımcıların işlerinde güvenliği hesaba katmasını sağlamak için önemli sorular sormaktı. Bu yaklaşımın da güvenlik tasarımını diğer iki yaklaşımdan daha önce sürece dahil etmekle birlikte kusurları bulunuyor. İncelediğimiz ekiplerde bu uzman, birden fazla tasarım ekibi arasında paylaşılan bir kaynaktı. Böyle bir roldeki biri, mevcut tasarımı tam olarak hızlandıramayabilir ve eksik parçaları doldurmak ekstra çalışma gerektirebilir. Uzman birden fazla ekibe atandığından ihtiyaç duyulduğu anlarda müsait olmayabilir ve bu da süreçte gecikmelere yol açabilir. Bir tasarımcı bize ekibindeki -güvenlik uzmanı olan ama ürün tasarımcısı olmayan-danışmanın ürünü faydalı tasarım tavsiyeleri sunabilecek düzeyde anlamadığını söyledi.
SİBER GÜVENLİĞİ ÖNCELENDİRMEK İÇİN ATILMASI GEREKEN 4 ADIM
Şirket liderleri, tasarım ekiplerine siber güvenliği baştan sürece dahil etmelerini söyleyebilir. Ancak bu söylem tasarımcıların değer, tutum ve inançlarını değiştirmek için ek yönetim mekanizmaları devreye sokulmadıkça gerçekleşmeyecektir. Siber güvenlik kültürü oluşturma modelimizde, liderlerin geliştirme ekiplerinin davranışlarını değiştirmek ve onları siber güvenliği hesaba katan bir tasarım zihniyetine yönlendirmek için atabilecekleri dört adım bulunuyor. >
1- PERFORMANS DEĞERLENDİRMELERİNİ SİBER GÜVENLİĞE BAĞLAYIN
Geliştirme ekipleri tipik olarak, güvenli tasarımlardan ziyade zarif ürün tasarımları ve pazara sunma hızları için ödüllendirilir ve bu tutum güvenliğin öncelikli olmadığı mesajını verir. Güvenlik tasarımı bileşenlerini ve güvenlik kontrollerini sürece dahil etmek, test kapılarını geçen tasarımlar oluşturmak ve tekliflerin mümkün olduğunca güvenli olması için erken tasarım aşamasından itibaren güvenlik uzmanlarıyla işbirliği yapmak gibi kriterler, bireylerin performans değerlendirmelerinin bir parçası olmalı. Daha da önemlisi liderler, siber güvenliği yetersiz dijital tekliflerin piyasaya sürülmesini geciktirmeye veya reddetmeye hazır olmalı ve bu durumdan geliştirme ekibini sorumlu tutmalı.
2- TASARIMCILARDAN KAHRAMAN YARATIN
Olumlu siber güvenlik davranışları sergileyen tasarımcılardan kahramanlar yaratın. Tanınma, çalışanlar için büyük bir motivasyon kaynağı olabilir ve liderler genellikle siber güvenlik sorunlarını bulan ve düzeltenlerin başarılarını dile getirmede yetersiz kalır. Bunu yaptığınızda, organizasyonda neyin değerli olduğu konusunda çok net bir mesaj göndermiş olursunuz. Siber güvenlik kahramanlarını öne çıkarmanın, siber güvenliği ciddiye alan çalışanları ödüllendirmenin ve takdir etmenin sayısız yolu bulunuyor. Karmaşık bir güvenlik sorununu çözen veya siber güvenliği şirketin tekliflerine dahil eden tasarımcılara ikramiye vermek, tekliflerin güvenliğine katkıda bulunan ekip üyelerini ödüllendirmek, hatta çalışanlara e-posta imzalarına ekleyebilecekleri 'siber güvenlik şampiyonu' rozetleri dağıtmak gibi.
3- TASARIMCILARI GÜVENLİK KONUSUNDA EĞİTİN
Uzmanlar ve güvenlik ağlarından faydalanmanın yanı sıra tasarımcıları güvenlik konusunda eğitin. Tasarımcıların siber güvenliği içine alan bir tasarımı nasıl hazırlayacakları konusunda temel eğitime ihtiyacı var ve bunun kendi sorumlulukları olduğu onlara hatırlatılmalı.
Çevik geliştirme süreçleri, siber güvenlik gerek- sinimlerine dayalı hikayeler de içermeli. Bu hem güvenli tekliflere olan ihtiyacı vurgular hem de siber güvenliğin en baştan yerleşik olup olmadığını değerlendirmek için bir platform sağlar.
4- FARKINDALIK İÇİN GÜÇLÜ MESAJ VERİN
Siber güvenlik ihtiyaçları konusunda farkındalığı artırmak için güçlü ve sık mesajlar verin. Liderlerin siber güvenlikli teklifler oluşturmanın önemini sürekli olarak pekiştirmek için bir iletişim planı oluşturması gerekiyor.
Bu, ekip veya şirket toplantılarında kısa tartışmaları veya sunumları kolaylaştırmayı, mesajı unutulmaz kılmak için eğlenceli ve ilgi çekici kampanyalar başlatmayı veya hatta kalpleri ve zihinleri değiştirmek için geleneksel pazarlama tekniklerini kullanmayı içerebilir. Buradaki kilit eylem, ürün geliştirme sürecine dahil olan herkese siber güvenliğin ne kadar önemli olduğunu, bu inancı içselleştirmeleri ve kişisel tutumlarını güvenli teklifler geliştirme ihtiyacıyla uyumlu hale getirmeleri için sürekli hatırlatmak.
SİBER GÜVENLİĞİN İHMAL EDİLMESİNİN 3 NEDENİ
Çok az lider, dijital teklifler için siber güvenliğin önemini in- kar ediyor. Ancak uygulamada, ürün ekipleri siber güvenliğe öncelik vermeme eğiliminde. Çalışmamız bunun üç nedeni bulunduğunu ortaya çıkardı.
1- KAZANCA DOĞRUDAN KATKISI YOK
Siber güvenlik kazanca doğrudan katkıda bulunmuyor. Çoğu müşteri değer katan, maliyetleri düşüren veya aradıkları diğer avantajları sağlayan özelliklere dayanarak satın alma kararı veriyor. Siber güvenliği arabanın lastiği gibi görüyor: Orada olmasını bekliyor, ancak ürünü diğer özellikleri için satın alıyor. Ürün yöneticileri de bunun farkında. Bir şirkette, ürünün sunduğu güvenliğin diğer özelliklerden çok daha az önemli olduğu söylendi, çünkü müşterinin ihtiyaçlarını karşılamıyorsa ürünün ne kadar güvenli olduğunun gerçekten önemi yok.
2- ÜRÜNÜN PİYASAYA ÇIKIŞINDA GECİKME
Bugünkü uygulamayla siber güvenlik, ürünün piyasaya sürülmesini geciktirebilir. Siber güvenlik, genellikle -uzmanlar veya özel eğitim gibi- ek kaynaklar gerektiriyor. Ek testler yapılması ve güvenlik açıkları tespit edildiğinde ürünün elden geçirilmesi zaman alabiliyor. Ürün yöneticileri, ürünlerinin pazar fırsatı penceresini kaçırması halinde müşterilerin alternatifler veya ikameler bulacağına inanıyor. Böyle bir durumda, ürünün siber güvenlik özellikleri hızla alakasız bir konu haline geliyor.
3- SONUÇLAR HAFİFE ALINIYOR
Tasarımcılar ve yöneticiler, siber güvenlik açıklarının sonuçlarının ne kadar ciddi olabileceğini genellikle hafife alıyor... En azından bir güvenlik olayı onları etkileyene kadar. Araştırmamızda bir üst düzey yönetici, şirketin ürününün müşterilerin sistemlerinde önemli bir şeyle bağlantılı olmadığını ve bu nedenle bir ihlalin fazla zarar vermeyeceğini söyleyerek güvenlik endişelerine daha düşük öncelik veril- mesini gerekçelendirdi.
Yöneticiler patlak veren bir siber güvenlik olayını haber aldığında kendi ürünlerinin aynı güvenlik açığına sahip olup olmadığını merak etmeye başlar. Ancak o anda iş işten çoktan geçmiş, ürün müşteriler tarafından kullanılmaya başlamış olabilir.
Yöneticiler siber güvenliğe kaynak ve zaman harcamanın yararlarını tartışırken müşterilerin dijital tekliflerin siber güvenliğine ilişkin tutumları hızla değişiyor. Siber güvenlik giderek fiili bir gereklilik ve dolayısıyla önemli bir satış noktası haline geliyor. Bir siber güvenlik açığı, bir şirketin operasyonlarını durdurabilir, ekosistemin tamamında maliyetleri yükseltebilir, markalara zarar verebilir, hisse senedi fiyatını olumsuz etkileyebilir veya teklifi tasarlayan üretici için yasal risk oluşturabilir.
.......................
Keri Pearlson, araştırma konsorsiyumu Cyber- security at MIT Sloan'un (CAMS) İdari Direktörü. Keman Huang, Çin Renmin Üniversitesi'nde doçent ve MIT Sloan İşletme Okulu'nda Araştırma Görevlisi.