Siber saldırılar artmaya devam ederken sağlam siber güvenlik hiç bu kadar önemli olmamıştı. Aslında, kötü aktörler uzaktan çalışmanın ortaya çıkardığı güvenlik açıklarından yararlandıkça, veri ihlalleri 2023 yılında %72 oranında artarak tüm zamanların en yüksek seviyesine ulaştı. Finansal kazanç ya da geniş çaplı yıkım potansiyeli ile hareket eden siber suçlular, yüksek motivasyona sahip düşmanlar olabilirler.
Neyse ki, işletmeler rehberlik olmadan tamamen kendi başlarının çaresine bakmak zorunda değiller. Hükümetler, saldırılara karşı savunmaları standartlaştırmaya yardımcı olan düzenlemeleri hayata geçirerek işletmelere ve müşteri verilerine yönelik riskleri azaltmaya isteklidir. Uyum sağlanmaması, bir veri ihlali durumunda işletme için önemli para cezalarına neden olabilir.
Bu durum, ürün üreticilerini biraz zor bir duruma sokmaktadır, çünkü müşterilerin tabi olacağı düzenlemeleri anlamak ve ürünlerinin bu düzenlemelere uyumlu olmasını sağlamak zorundadırlar. Düzenlemelerin değişebileceği, ortaya çıkabileceği ya da farklı bölgeler tarafından farklı düzenlemelerin benimsenebileceği göz önüne alındığında, bu durum sürekli izleme ve dikkat gerektirir. Küresel üreticilerin, uyumluluğu sürdürebilmek için gerekli yükseltmelerle ilgili gelecekteki sorunlardan kaçınmak adına mevzuat değişimlerini yakından takip etmeleri gerekir.
Yönetim ve Uyum
Müşteri açısından bakıldığında, düzenlemelere uyum sağlamak kritik verilerin korunması için yalnızca bir başlangıç noktasıdır; kuruluşlar hem yönetim hem de uyumluluğa odaklanmalıdır. Bu terimler bazen karıştırılabilir, çünkü birbirleriyle yakından bağlantılıdırlar. Yönetim, kuruluşların kendilerinin uygulamaya koyduğu iç politikaları ifade eder. Bunlar, hükümet düzenlemelerinin üzerinde ve ötesinde olma eğilimindedir ve bireysel risk profillerine ve sektör tehdit ortamına göre uyarlanmıştır.
Öte yandan uyum, bu iç politika ve düzenlemelere uyulmasını sağlamak için uygulamaya konulan tedbirleri temsil eder. Bu önlemlerin, süreçlere gereksiz sürtünmeler getirmeden güvenlik ile kullanıcı deneyimi arasında doğru dengeyi kurması kritik öneme sahiptir. Bu önlemler, üçüncü bir tarafça denetlenebilir ve detaylı incelemelere dayanıklı olmalıdır.
Yeni tehditler ortaya çıktıkça ve güvenlik açıkları keşfedildikçe hem yönetim hem de uyumluluk sürekli olarak değerlendirilir. Bu nedenle, üreticiler yalnızca mevzuata uygun ürün ve hizmetlere sahip olmakla değil, aynı zamanda tüm müşterilerin yönetim gereksinimlerini de karşılamakla görevlidir.
Düzenleme hakkında küresel düşünme
Ne yazık ki, yönetmelikler coğrafyalar arasında standartlaştırılmamıştır. Küresel video gözetim teknolojisi üreticileri, bölgeler arasındaki düzenlemelerdeki farklılıklar nedeniyle zorlanmaktadır.
Örneğin, Avrupa Komisyonu bir önceki NIS Direktifini genişleten Ağ ve Bilgi Güvenliği Direktifini (NIS2) yürürlüğe koymuştur. Bu direktif, kritik altyapı ve temel hizmet sağlayıcılarının yeterli güvenlik ve olay önlemlerini uygulama gerekliliklerini güçlendirmeyi amaçlamaktadır. Uyum sağlanmamasının hem önemli mali hem de yasal sonuçları olabilir.
Bu durumu, 2021 yılında çıkarılan 14028 sayılı Ulusal Siber Güvenliğin Geliştirilmesine İlişkin İcra Emri ile ABD ile karşılaştırın. Bu, federal kurumların yanı sıra ürün ve hizmet sağlayan özel işletmeleri de geliştirilmiş düzenlemelere uymakla görevlendirmektedir.
Dünyanın dört bir yanındaki diğer ülke ve bölgelerin kendilerine özgü yaklaşımları vardır ve bu da karmaşık bir düzenleyici ortam yaratır. Bu durum özellikle ABD gibi tek bir ülkede yerleşik olup küresel çapta faaliyet gösteren işletmeler için geçerlidir. İş yaptıkları ülkelerin yerel standartlarına uymak zorundadırlar, aksi takdirde uyumsuzluk riskiyle karşı karşıya kalırlar.
Farklı coğrafyalardaki veri koruma ve siber güvenlik düzenlemelerinde başarılı bir şekilde gezinmek, bu düzenlemeler hakkında derin bilgi ve anlayışa sahip olmayı ve hassas verileri siber saldırılara karşı korumaya yönelik en iyi uygulamaların kullanılmasını gerektirir. Bu, müşterilerin kendi uyum önlemlerini desteklemek için ürünlere ne tür bir siber güvenlik korumasının dahil edilmesi gerektiğini belirleyecektir.
Güçlü ürün yaşam döngüsü yönetiminin sürdürülmesi
Düzenlemeler hakkında geniş bilgiye sahip olsalar bile, üreticiler sürekli değişen tehdit ortamını gözden kaçıramazlar. Ürünlerdeki donanım yazılımları periyodik olarak ve yeni güvenlik açıkları doğrultusunda güncellenmelidir. Eski ürünlerin hala kullanımda olduğu ve bazen artık güncellenemediği durumlarda sorunlarla karşılaşılabilir.
Bu nedenle siber güvenlik, ürün yaşam döngüsü yönetiminin bir parçası olarak ele alınmalıdır. Ürünler belirli bir yaşın üzerindeyse artık siber açıdan güvenli olmayabilir. Bu durum, cihazın artık uyumlu olmadığı anlamına da gelebilen değişen yönetmelikler nedeniyle karmaşıklaşmaktadır. Bu durumun düzeltilmesi için üreticinin beş yıldan daha eski olan yazılım ve donanım yazılımlarını gözden geçirmesi gerekebilir ki bu da çok zor olabilir.
Üreticinin dört duvarının ötesinde, dikkat edilmesi gereken bir diğer alan da tedarik zinciridir. Siber güvenlik yüksek bir öncelik olduğundan, üreticinin tedarik zincirindeki kuruluşlar siber güvenlik ve veri korumasına nasıl yaklaştıklarını gösterebilmelidir. Bu, yönetmeliklere nasıl uyduklarını ve iş yapmak için neden "güvenli" olduklarını içerir. Bu bilgiyle donanmış olan üreticiler, ürünlerine istemeden de olsa risk katmadıklarından emin olabilirler.
Müşterilerin satın aldıkları ürünlerin bileşen tedariki, üretimi, kuruluşun sürdürülebilirliği ve siber güvenlik gibi alanlarda daha uyumlu olmasını sağlamak için daha fazla önlem almasıyla birlikte, kuruluşların şeffaf olması her zamankinden daha önemli hale gelmiştir.
Güvenlik açıkları konusunda açık olmak, ürün yazılımında gerekli olan bileşenlerin bir listesini Yazılım Malzeme Listesi (SBOM) şeklinde sunmak ve yazılım güncellemeleri, günümüzün küresel ortamında önemli bir meta olan güveni tesis eder.
Müşterinin çıkarlarını göz önünde bulundurmak
Siber güvenlik söz konusu olduğunda, müşterilerinin uyması gereken düzenlemelere ek olarak, kuruluşların karşılaştıkları tehditleri, kendi risklerini ve güvenlik açıklarını anlamaları kritik önem taşımaktadır.
Müşterilerin güvenlik operasyonlarında kullandıkları cihazların üreticileri olarak, siber güvenlik önlemlerine küresel bir bakış açısıyla yaklaşmak fayda sağlayacaktır. Ürünlerin farklı pazarlardaki en katı düzenlemelere uygun olmasını sağlayarak müşterinin ihtiyaçlarını ön planda tutar. Ayrıca, mevcut düzenlemelerin yeni pazarlarda benimsenmesi halinde, ürünler zaten uyumludur ve bu da donanım yazılımını güncelleme ihtiyacını ortadan kaldırır. Bu şekilde üreticiler, müşterilerinin çıkarlarını en iyi şekilde gözeterek hareket eder ve verilerini güvende tutma hedeflerinde onları destekler.
