Kurumlar sürekli gelişen siber tehdit ortamıyla mücadele ederken yetenek eksikliği ve teknoloji nedeniyle bazı zorluklarla karşılaşıyor. Bu sebeple pek çok şirket güvenlik operasyonları, güvenlik açığı yönetimi, eğitim ve farkındalık programları, tehdit algılama ve uygulama güvenliği gibi belirli siber güvenlik fonksiyonlarını dış kaynak yoluyla karşılamayı değerlendiriyor.
Söz konusu kriterlere geçmeden önce, şirket içindeki ekiplerin diğer önceliklere odaklanmasını sağlamak amacıyla temel işleri dışındaki herhangi bir işlevi dış kaynak yoluyla edinebilmesine zemin hazırlamış olmanız ayrıca dış kaynak kullanımının şirketinizin hedefleri ve stratejisiyle tutarlı olması gerekiyor.
- Kurum içi performansın verimsiz olması
Genellikle büyük şirketler iç güvenlik hizmetlerinin etkinliğini denetime tabi tutar. Hizmetlerin verimliliği ve etkinliği yeterli değilse, zor görevlerden bazıları dışarıdan temin edilebilir. Böyle durumlarda harici uzmanlardan oluşan bir ekip, çalışanların uzmanlığını genişletecek ve performansın artmasına yardımcı olacaktır. Ayrıca dış kaynak uzmanları genellikle gelişmiş teknolojilerin yönetiminde daha etkili.
Ancak burada yaygın bir yanılgıya dikkat çekmekte fayda var: Genellikle bir şirketin belirli bir işi nasıl yapacağını bilmediği durumlarda bu iş dışarıdan temin etmesi gerektiğine inanılır. Bu mantığa aldanmayın, zira harici hizmetleri değerlendirmek ve ölçmek için en azından temel bilgi güvenliği yetkinliklerine sahip olmanız gerekiyor.
- Dış kaynak kullanımının daha ucuz olması
Eğer bir işi kurum içinde yerine getirmek söz konusu işi dışarıdan hizmet yoluyla almaktan daha pahalıya mal oluyorsa, görevi dış kaynak uzmanlarına devretmek uygun olacaktır. Burada dikkat edilmesi gereken en önemli nokta sorumluluğun dış kaynağa devredilemeyeceğidir.
Kontrol işlevleri her zaman kurum içinde tutulmalıdır, ancak kontrol maliyetleri işin kendi maliyetlerinden daha düşük olmalıdır. Bu durumda dış kaynak kullanımı işletme açısından verimli olacaktır.
- Söz konusu hizmeti yerine getiren şirketler arasında rekabetçi ortam olması
Rekabet, hizmet kalitesinin sağlanmasında geçerli olan ana mekanizmalardan biridir. Eğer yerel pazarda bu görevi yerine getirebilecek tek bir sağlayıcı varsa, bu durum günün sonunda hizmet kalitesini etkileyebilir.
İdeal çözüm, küresel uzmanlığa sahip tanınmış bir uluslararası hizmet sağlayıcı bulmaktır. Bu tür şirketler genellikle uzun süredir piyasada yer alırlar ve çeşitli alanlarda geniş bir deneyime sahiptirler. Bu da onlara spesifik görevlerde dahi uzmanlık sağlar.
- Şirketin dış kaynak çalışmalarını değerlendirebilecek uzmanlığa sahip olması
Yüksek teknolojili bir hizmet için dış kaynak kullanılırken, şirketin ilgili konudaki yeterliliği sağlayıcının yeterliliğinden daha düşük olmamalıdır. Her şirket, sağlanan hizmetlerin kalitesini anlamak ve değerlendirmek için siber güvenlik uzmanlığına ihtiyaç duyar. Elbette Hizmet Seviyesi Anlaşmaları (SLA) ve metrikler bu konuda yardımcı olacaktır. Ancak yine de şirketin bunları doğru bir şekilde yorumlayabilmesi ve iyileştirme adına daha fazla eylem planlayabilmesi için yetkinliğe ve deneyime ihtiyacı vardır.
Bu uzmanlığı elde edebilmek için bilgi güvenliği uzmanları gerçek olaylara müdahale ederek becerilerini güncel tutmalıdır. BT dünyası her şey dinamik olarak sürekli değiştiği bir dünyadır. Bu da hizmet sağlayıcının etkinliğini ve verimliliğini kontrol edebilmek için, söz konusu görevler dış kaynakla sağlansa bile kurum içi ekiplerin olaylara müdahale, tehdit avcılığı ve diğer faaliyetlere katılma şansına sahip olması gerektiği anlamına gelir.
- Şirketin halihazırda kuralları belli olan, formal süreçlere sahip olması
Formalizasyon, çalışanlara dair eylemlerin aşamalar ve zaman dilimleri ile tanımlandığı ve tüm bunların iç politikalara yansıtıldığı yaygın bir prosedürdür. Bu sayede kurulan düzen hem şirket genelinde hem de her bir çalışan açısından yaşanacak kaos ihtimalini ortadan kaldırmaya yardımcı olur.
Diğer yandan gayri resmi süreçler için dış kaynak kullanımı geri tepebilecek bir durumdur. İlk olarak böyle bir durumda hizmet sağlayıcı üzerindeki kontrol eksikliği nedeniyle hata yapma riski artar. Ayrıca tüm çıktılar hizmet sözleşmesi aşamasında ortaya koyulmuş olsa bile, sonuç beklenenden büyük ölçüde farklı olabilir. Herhangi bir sürecin girdisinde karmaşa olması, çıktısında da karmaşa yaşanması sonucunu doğurur. Bu da hizmet sağlayıcının değil, sizin düzeltmeniz gereken bir duruma dönüşür.
Kaspersky Türkiye Genel Müdürü
İlkem Özar Kimdir?
İlkem Özar, BT ve siber güvenlik alanlarında sektörde global ölçekte köklü bir deneyime sahiptir. Unilever, Microsoft, CA Technologies ve Intel Security (McAfee) gibi birçok küresel endüstri lideri şirkette çalışmış olan Özar, kamu ve özel sektörde üst düzey ve stratejik pozisyonlarda görev alarak kayda değer başarılar sergiledi.
İlkem Özar’ın Kaspersky’deki hedefleri arasında müşteri memnuniyetine odaklanmak, kurumsal sektörde büyümeyi teşvik etmek, şirketin sektördeki etkisini daha da artırmak, daha fazla iş ortağı edinmek ve B2B portföyü genelinde daha fazla müşteriye ulaşmak yer alıyor.
