Güvenlik stratejilerinde geleceğe dönüşü motto edinen Citrix Türkiye Ülke Müdürü Serdar Yokuş’a göre, 2024’te, esnek uzaktan çalışmanın mevcut “yeni normali” artık “yeni” olmayacak; bunun yerine, iş gücü, görevlerine ve çalışma tarzlarına uygun donanım, yazılım ve bulut hizmetlerini kullanarak, önemli verilere veya uygulamalara erişim için belirli konumlara bağlı kalmadan, nerede olurlarsa olsunlar esnek, uzaktan ve güvenli bir şekilde çalışabilme beklentisinde olacak. Geleceğin çalışanlarının gereksinimleri ve beklentilerinden geriye dönük tahminde bulunan üst düzey bilgi güvenliği yöneticileri, güvenlik yol haritaları açısından iyi bir başlangıç noktasına sahip. Yokuş’a göre, artık, kurumsal güvenliğin merkezinde, tek bir teknoloji veya belirli bir teknoloji grubu değil, çalışanların gereksinim duydukları şirket kaynaklarını yüksek düzeyde performans, güven ve koruma ile kullanmalarını sağlamak yer alıyor. Bu nedenle, “en iyi güvenlik stratejisi, dikkatli değerlendirme sonrasında, sizi şu anda hayal ettiğiniz gelecekteki iş gücüne geri götüren strateji” olacak.
Yokuş’a göre, geleceğin dijital çalışanları, ister evde, ister ofiste, müşterinin bulunduğu yerde veya yolda, nerede olurlarsa olsunlar, verimli, rahat ve güvenli bir şekilde çalışabilme konusunda büyük olasılıkla ısrarcı olacaklar. Bazıları kurumsal ekipmanları tercih edecek, bazıları kendi cihazlarını kullanmak isteyecek, bir kısmı ise her ikisinin bileşimini tercih edecek. Sektörün sağlayabileceği en son ve iyi teknolojinin kullanımı, yetenekli çalışanları çekmeye ve elde tutmaya yönelik araçlardan biri haline gelecek. Yazılım ve hizmetler tarafında, buluta geçiş muhtemelen devam edecektir; bu geçişle birlikte, BT ekiplerinin uzak durmasının gerekli olacağı bazı istenmeyen teknoloji ve hizmetler de dahil olmak üzere, kurum içi eski teknolojilerden ve dinamik bir bulut hizmeti grubundan oluşan, giderek daha karmaşık bir hibrit ortamı oluşacak.
Gelecekteki çalışanları bir referans noktası olarak kullanan üst düzey bilgi güvenliği yöneticileri, o noktadan kademeli olarak ilerleyerek, şu hususları değerlendirmeli:
- 2024 yılının iş gücü için en olası ve en kritik güvenlik riskleri neler olacak? Örneğin, yüksek düzeyde yetenekli profesyoneller, er ya da geç hedefli saldırılara maruz kalırken, çağrı merkezi temsilcisinden şirket başkanına kadar her çalışan da hedef alınacak; fidye yazılımı için kötü amaçlı bir bağlantıya tıklayacak yalnızca tek bir kişi gerekli.
- Geleceğin iş gücü için risk ortamını belirledikten sonra, pek çok husus aşağıdakileri takip eder: ister yönetilen bir kurumsal cihaz isterse çalışanın sahip olduğu kendi cihazı olsun, kendi seçtikleri herhangi bir cihazla, herhangi bir yerden, herhangi bir zamanda, güvenli bir şekilde çalışmak söz konusu olduğunda, çalışanların en acil gereksinimleri neler olacak?
- Sürekli değişen bir bulut hizmeti ortamının iniş çıkışlarının etkisini azaltmak için güvenlik mimarisinin ne kadar esnek olması gerekecek?
- Karmaşıklık veya düşük hızın yalnızca çalışanların geçici çözümler arayarak şirketin güvenliğini zayıflatmasına yol açacağı göz önünde bulundurulduğunda, güvenliği kullanılabilirlikle birleştirmek nasıl mümkün olacak? Güvenlik durumu, çalışan üretkenliğini engellemeden sürekli olarak nasıl izlenebilir?
Serdar Yokuş’a göre, teknolojiyle ilgili hususlarda, bu gibi sorulara verilecek yanıtların esas alınması gerekecek. Örneğin, bu senaryoda eski, güvenilir VPN’in bir geleceği olmaya devam edecek mi; yoksa VPN’in yerini, sıfır güven yaklaşımını içeren daha esnek, ölçeklenebilir ve uygulama odaklı bir uzaktan güvenlik teknolojisi mi almalı?
Güvenlik stratejilerinde geleceğe dönüşün temel nedenleri nelerdir?
İşletmeler, dağıtılmış hizmetin engellenmesi saldırılarıyla (DDoS) mücadele ve kötü amaçlı İnternet robotlarından fidye yazılımlarına ve fikri mülkiyet hırsızlığına kadar hiç bitmeyen bir siber saldırı akışıyla karşı karşıya. Güvenlik liderleri, savunma ve risk azaltmaya ilişkin altyapılarını sıfırdan yeniden kurmanın acilen gerekli olduğunu biliyorlar; ancak işe nereden başlamalı? Geçen yıl, BT güvenlik pazarında, bulut tabanlı dağıtılmış çalışma dönemi için sahip olunması gereken yeni teknoloji olarak SASE’nin (Güvenli Erişim Hizmeti Edge) ortaya çıktığı görüldü. Bununla birlikte, pek çok BT kuruluşu, bu yeni güvenlik paradigmasını uygulamaya koyma konusunda zorluk yaşıyor. Yokuş, bu zorluklara dair de şunları söyledi:
“Bunun iki temel nedeni bulunuyor. İlk olarak, SASE, dikkate alınması gereken çok geniş bir dizi teknolojiyi kapsıyor: ağ tarafında özellikler; diğerlerinin yanı sıra, Uzaktan Erişim çözümleri, WAN bağlanırlığı ve optimizasyonu, içerik sağlama ağları ve yazılım tanımlı WAN’ları içeriyor; güvenlik tarafında ise ilgili teknolojiler; geleneksel ağ güvenlik duvarlarından bulut tabanlı güvenli web ağ geçidine, bulut erişim güvenliği aracısına, sıfır güven ağ erişimine, hizmet olarak sunulan güvenlik duvarına, DNS güvenliğine ve daha fazlasına kadar uzanıyor. SASE konsepti, karar alıcıları, birkaç ağ konusunu ve daha da önemlisi, birden fazla güvenlik teknolojisini aynı anda ele almaya zorluyor; bu da hangi yönlere öncelik verileceği ve ilk olarak hangi teknoloji güncellemesinin ele alınacağı sorusuna yol açıyor. İkinci zorluk, SASE’nin yaygın olarak, kurumsal güvenlik ortamını birleştirecek bir mekanizma olarak görülmesinden kaynaklanıyor: amaç, geniş özellik kapsamına sahip bir SASE sağlayıcısına geçerek çok noktalı çözümleri değiştirmek. Bununla birlikte, çok sayıda satıcı firma, kendilerini SASE sağlayıcıları olarak konumlandırırken, portföylerinin kapsamı ve kalitesi önemli ölçüde farklılık gösteriyor. Bu, güvenlik ekiplerinin bir SASE sağlayıcısına geçerek mevcut türünün en iyisi yaklaşımı değiştirmesini daha da zorlaştırıyor: “her soruna uygun tek” SASE çözümü yok.
Bu durumda, rakip SASE olanaklarıyla ilgili söylentilerden ve en son güvenlik açıkları, gelişmiş kalıcı tehditler, hizmet olarak sunulan fidye yazılımları, dağıtılmış hizmetin engellenmesi saldırılarıyla (DDoS) mücadele, API düzeyinde saldırılar, sıfır gün saldırıları vb. hakkında çok yüksek miktarda güvenlik istihbaratından zihinsel olarak uzaklaşmak mantıklı. Bunun yerine, bir an için şirketinizin iş gücünün üç yıl içinde nasıl görüneceğini hayal edin.”
