Yalnızca 2022’de, küresel siber saldırılar %38 oranında artarak mali ve itibar kaybı da dahil olmak üzere önemli iş kayıplarına neden oldu. Bu arada, saldırıların artan karmaşıklığı ve piyasaya sunulan siber güvenlik çözümlerinin sayısı nedeniyle kurumsal güvenlik bütçeleri önemli ölçüde arttı. Tehditlerin, bütçelerin ve çözümlerin artmasıyla birlikte, sektörler ve ülkeler günümüzün siber risklerini etkili bir şekilde ele almaya ne kadar hazır?
CYE’nin yeni Siber Güvenlik Olgunluk Raporu 2023, farklı sektörlerde, şirket boyutlarında ve ülkelerde siber güvenliğin gücüne ışık tutarak bu soruyu ele alıyor. Günümüzün siber tehdit ortamında en yaygın güvenlik açıklarının yanı sıra hangi sektörlerin ve ülkelerin en sağlam siber duruşlara sahip olduğunu ve hangilerinin geride kaldığını vurguluyor.
Analiz, 15 ülkedeki 500’den fazla kuruluştan toplanan ve 11 sektöre ve çeşitli büyüklükteki şirketlere yayılan iki yıllık verilere dayanmaktadır. Uygulama düzeyinde güvenlik, ağ düzeyinde güvenlik, kimlik yönetimi ve uzaktan erişim ve daha fazlasını içeren yedi farklı güvenlik alanında siber güvenlik olgunluğunu ölçer.
İşte en önemli bulgular:
1 Numaralı Bulgu: Daha Büyük Bütçeler Mutlaka Daha İyi Siber Güvenlik Anlamına Gelmez
Ülkeler arasında genel siber güvenlik olgunluk seviyesinde en yüksek puanı Norveç alırken, onu Hırvatistan ve Japonya izledi. Bu ülkeler ABD, İngiltere ve Almanya gibi ülkelerin siber güvenlik bütçelerine sahip olmasa da gelişmiş düzenleyici sistemlere sahiptir. Norveç, Hırvatistan ve Japonya’nın başı çekmesinin diğer olası nedenleri arasında siber güvenliğin bu ülkelerde erken benimsenmesi ve hükümetler ile kuruluşlar tarafından birleşik planlama yer alıyor. Bu bulgu, büyük finansal yatırımların nasıl mutlaka yüksek vade seviyelerine dönüşmediğini göstermektedir.
Bulgu #2: Teknoloji Şirketleri Puan Ortalaması
Sektörler arasında, enerji ve finans sektörleri genel siber güvenlik olgunluk seviyesi açısından en üst sıralarda yer alırken, sağlık, perakende ve devlet kurumları en düşük seviyeler arasında yer aldı. Şaşırtıcı bir şekilde, teknoloji endüstrisi ortalama bir puan aldı; bunun nedeni, muhtemelen bu tür şirketlerin diğer sektörlere kıyasla tipik olarak savunması gereken daha büyük saldırı yüzeyidir.
Ortalama puan, teknoloji şirketlerinin saldırılara ve açıklardan yararlanmaya karşı özellikle savunmasız olabilecek yeni teknolojileri benimseme eğiliminden de kaynaklanıyor olabilir. Ek olarak, teknoloji şirketleri diğer sektörlerden çok daha hızlı büyüme eğilimindedir ve bu, güçlü bir siber duruş sağlamaya çalışırken ek bir zorluk olabilir.
Bulgu #3: Küçük ve Orta Ölçekli Kuruluşlar Büyük Kuruluşlardan Daha Yüksek Puan Alıyor
Şaşırtıcı bir şekilde, küçük ve orta ölçekli kuruluşlar, 10.000’den fazla çalışanı olan kuruluşlardan daha iyi siber güvenlik olgunluk puanlarına sahipti. Bunun nedeni, küçük kuruluşların küçük saldırı yüzeylerini daha kolay koruyabilmeleri olabilir. Orta ölçekli kuruluşlar için siber güvenlik çözümlerine yatırım yapmak kesinlikle bir önceliktir. Bununla birlikte, büyük kuruluşlar söz konusu olduğunda, bu kadar geniş bir saldırı yüzeyini savunmak zorunda olmanın siber güvenlik olgunluk düzeyi üzerinde açıkça bir etkisi vardır.
Bulgu #4: Şirketlerin Neredeyse Üçte Birinde Etkili Parola Politikaları Yok
Araştırma, kuruluşların %32’sinin zayıf parola politikalarına sahip olduğunu ortaya çıkardı; bu, şirketlerin yeterince çözemediği, oldukça çözülebilir bir sorun. Ayrıca kuruluşların %23’ünün kimlik doğrulama mekanizmalarının zayıf olduğu tespit edildi. Bu endişe verici çünkü iki sorunun birleşimi bilgisayar korsanlarına güç veriyor ve onlar da minimum çabayla kolayca oturum açabiliyor.
Raporun tamamını indirmek için buraya tıklayın.
Daha İyi Siber Güvenlik Olgunluğu İçin Öneriler
Rapordan çıkarılacak genel sonuç, çoğu kuruluşun siber saldırı tehdidine yeterince hazırlıklı olmadığıdır. Ancak kuruluşlar, doğru planlayıp harcadıkları takdirde büyük bir bütçe ayırmadan da yüksek bir siber güvenlik olgunluğu duruşu elde edebilirler.
Kuruluşlar kendilerini korumak için araçlardan çok yeteneklere yatırım yapmalıdır; bilgisayar korsanlarının güvenlik açıklarından yararlanmasını önlemek için kapsamlı değerlendirmeler gerçekleştirin; ve yönetim kurulu düzeyinde hesap verebilirlik ile siber güvenliğe entegre bir yaklaşım geliştirin. CYE gibi siber güvenlik optimizasyon çözümleri, kurumsal siber riski yönetmek ve tehditleri anlamak ve hafifletmeye öncelik vermek için siber risk ölçümünü gerçekleştirmek için teknolojiyi, insanları ve süreçleri birleştirerek yardımcı olabilir.
Siber güvenlik olgunluğunuzu nasıl geliştirebileceğinizi görmek için bir demo planlayın.