Siber güvenlik uyumluluğu ezici hissedebilir, ancak birkaç açık adım onu yönetebilir hale getirebilir ve işletmenizin düzenleyici gereksinimlerin sağ tarafında kalmasını sağlayabilir
03 Aralık 2024
•
–
6 dk. Okumak
Hepimiz oradaydık- belirli kişisel hedeflere ulaşmak için kısa veya uzun vadeli planlar oluşturmak. Bununla birlikte, iş planlaması genellikle daha yüksek risklerle birlikte gelir ve kötü düşünülmüş bir planın sonuçları geniş kapsamlı olabilir ve parasal kayıp, itibar hasarı ve hatta iflasa yayılabilir. İşletmeler, tedarik zincirlerini ve operasyonel esnekliği güçlendirmek için giderek daha kapsamlı bir düzenleyici gereklilik çağına doğru ilerledikçe, zorluklar piyasa dinamiklerinin ötesine geçer.
Güvenlik cephesinde, ABD’deki AB ve CCPA ve CPRA’daki GDPR veya NIST’in siber güvenlik çerçevesi gibi düzenlemelerle, kullanıcı verilerinin korunması risk yönetiminde daha merkezi olmamıştır. Gerçekten de, yapay zeka odaklı inovasyon ve kamu veri çoğalması çağına daha da ilerledikçe, tüketicileri korumak ve kuruluşları hassas bilgileri korumaktan sorumlu tutmak için tasarlanmış daha fazla düzenleme beklemektedir. Uygun olmak ve uyumlu kalmak için, işletmelerin gelişmiş izleme ve raporlama ile eşleştirilmiş daha güçlü veri koruma önlemleri uygulamaları gerekecektir.
Uyumluluk – makul bir istek
Her siber düzenleyici çerçevenin kendine özgü gereksinimleri vardır, ancak hepsi ortak bir hedefi paylaşır-verileri yetkisiz erişime karşı koruyarak korumak, ayrıca pessfiltrasyon ve kötüye kullanılır. İnsanların bankacılığı ve sağlık bilgileri ve şirketlerin fikri mülkiyeti gibi veriler söz konusu olduğunda, özellikle yüksektir.
Düzenlemelerin oldukça karmaşık doğası nedeniyle, her bir işletme yükümlülüklerini nasıl yerine getireceklerini ve bildiklerinden emin olmalıdır. Bununla birlikte, bu yükümlülükler, iş dikeyine ve kuruluşun müşterileri ve ortaklarına, faaliyetlerinin ve coğrafi konumun kapsamına bağlı olarak çılgınca farklılık gösterebilir.
Kuruluşunuzun belirli düzenlemelerle nasıl uyumlu olabileceği hakkında daha fazla bilgi edinmek için ESET’lere gidin İşletme için Siber Güvenlik Uyum sayfa.
Bu nedenle, uyumluluk elde etmek göz korkutucu bir görev olabilir. Kesinlikle sadece yasal bir onay kutusu değil, bir işletmenin uzun vadeli sağlığı için çok önemli bir yatırım. Bununla birlikte, birçok kuruluş, özellikle küçük ve orta ölçekli kuruluşlar, siber güvenlik risklerini ele almak ve düzenleyici gereksinimleri karşılamak için yeterince hazır değildir.
Basitçe söylemek gerekirse, siber tehditler büyük göründüğünde, düşük hazırlığın objektif sonuçları veya güvenlik yanılsaması yıkıcı sonuçlara sahip olabilir. Bu rakamlarla karşılanmaktadır: Bir veri ihlali raporunun IBM maliyetine göre 2024, bir ihlalin ortalama maliyeti küresel olarak 4.88 milyon ABD dolarıdır.
Noktayı kaçırıyorum
Uyumluluğun neden gerekli olduğunun altını çizmek için, etkilenen taraflar temel çerçevelere göre hareket etmiş olsaydı, önemli ölçüde azaltılabilecek bazı büyük olayları tartışalım.
Kıtalararası değişim
2024 yılında, New York Menkul Kıymetler Borsası (NYSE) gibi iştirakleri ile daha fazla tanınan bir finansal kurum olan Intercontinental Borsası (ICE), ABD Menkul Kıymetlerini ve Borsa Komisyonu’nu (SEC) zamanında bilgilendirmek için 10 milyon dolar para cezasına çarptırıldı ve böylece düzenleme SCI’sını ihlal etti.
Olay, kötü niyetli aktörlerin dahili kurumsal ağlara erişmesini sağlayan ICE’nin Sanal Özel Ağı (VPN) cihazında bilinmeyen bir güvenlik açığı içeriyordu. SEC, saldırı hakkında bilgi sahibi olmasına rağmen, buz yetkililerinin bağlı ortaklıklarının yasal ve uyum görevlilerini birkaç gün boyunca bilgilendiremediğini tespit etti. Bu nedenle ICE, kendi iç siber-sonuç raporlama prosedürlerini ihlal etti ve iştirakleri müdahaleyi uygunsuz bir şekilde değerlendirmeye bıraktı, bu da kuruluşun bağımsız düzenleyici açıklama yükümlülüklerini yerine getirememesine yol açtı.
Solarwinds
SolarWinds, iş BT altyapısını yönetmek için yazılım geliştiren bir ABD şirketidir. 2020’de, bazı devlet kurumlarının ve büyük şirketlerin Solarwinds’in Orion yazılımı aracılığıyla ihlal edildiği bildirildi. “Sunburst” olayı, küresel bir etki ile en kötü şöhretli tedarik zinciri saldırılarından biri haline geldi-kurbanların litani, ABD Sağlık, Hazine ve eyalet de dahil olmak üzere büyük şirketleri ve hükümetleri içeriyordu. ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından yapılan şikayet, yazılım şirketinin siber güvenlik uygulamaları ve bilinen riskleri hakkında yatırımcıları yanlış yönlendirdiğini iddia ediyor.
Açık olmak gerekirse, SEC 2023’te “maddi” olaylar için siber güvenlik risk yönetimi kurallarını sunmadan önce, zamanında ve doğru raporlama ABD’deki birçok kuruluş için önemli bir stratejik değerlendirme olmamıştır. Bu, güçlü bir siber güvenlik stratejisinin (veya belirli standartlara sahip uyum amaçlı) bir parçası olarak gerçekleşmesi gereken düzenli risk değerlendirme raporlarını tartışmadıkça. Güvenlik raporlama hiyerarşilerini farklı derecelerde yetkinlik ve sorumlulukla (SEC’e göre ihlal edilen Solarwinds) nasıl tasarladıkları büyük ölçüde işletmelere bağlıdır.
İhlalin finansal ve itibar serpilmesi şaşırtıcıydı. 18.000’den fazla kurban ve maliyet maliyeti etkilenen işletme başına milyonlarca dolara yükselirken, bu dava güvenliği ve uyumluluğu ihmal etmenin maliyet tasarrufu sağlayan bir strateji olmadığını vurgulamaktadır-bu bir sorumluluktur.
Yahoo
Başka bir uyarıcı masalda Yahoo, 2014’ten itibaren bir ihlali ifşa edemediği için ateş altına girdi ve şirketin bir saniye para cezasında 35 milyon ABD dolarına mal oldu. Ancak, sonraki sınıf davası davası Yahoo’nun sekmesine 117,5 milyon dolar ekleyerek kurbanlara ödenen yerleşim maliyetlerini karşılayan hikaye burada bitmiyor. Bu, 500 milyon Yahoo kullanıcısına ait sızan kimlik bilgilerinin keşfinden sonra geldi. Daha da kötüsü, şirket ihlali gizledi, yatırımcıları yanıltı ve iki yıl boyunca açıklamayı geciktirdi.
İşleri daha da birleştiren Yahoo, bir yıl önce 3 milyar daha fazla kullanıcı hesabını etkileyen ikinci bir ihlal yaşadı. Yine, şirket 2017’deki açıklamayı, olayın tam ölçeğini yansıtacak şekilde gözden geçirmeden önce 2016 yılına kadar ikinci olayı açıklamadı.
Şeffaf ve zamanında ihlal açıklamaları, hasarı azaltmaya ve gelecekte benzer olayları önlemeye yardımcı olabilir. Mağdurlar, örneğin, herhangi bir potansiyel Miscreant’ın hesaplarına girmesini durdurmak için oturum açma kimlik bilgilerini zamanında değiştirebilirler.
Uyum için 5 Adım
Uyumlu kalmayı amaçlayan herhangi bir işletmenin üstlenebileceği birkaç basit önlemi tartışalım. Spesifik ASK’lara göre oluşturulması gereken özel düzenlemelere ve gereksinimlere dayanan daha fazla iyileştirme ile bir eylem temelini düşünün.
- İşletmenizi anlayın: Daha önce de belirtildiği gibi, işletmeler, endüstri dikeylerine, birlikte çalıştıkları müşterilere/ortaklara, işledikleri yerlere göre değişen uyumluluk gereksinimleriyle karşılaşırlar. Tüm bunların farklı gereksinimleri olabilir, bu nedenle özelliklere dikkat ederler.
- Araştırın ve öncelik verin: İşletmenizin hangi standartlara uyması gerektiğini belirleyin, doldurulması gereken boşlukları öğrenin ve ihlalleri veya para cezalarını önlemek için işletmenin yerine getirmesi gereken en önemli düzenlemelere ve standartlara dayanarak bu boşlukları kapatmak için önlemleri tanımlayın.
- Bir raporlama sistemi oluşturun: Üst düzey yöneticilerden iletişimdeki çalışanlara ve koruyucu önlemlerinizi yöneten ve denetleyen güvenlik personeline, ilgili herkesin rollerini ve sorumluluklarını tanımlayan sağlam bir raporlama sistemi geliştirin. Ayrıca, güvenlik olaylarını bildirmek için açık bir süreç olduğundan ve bu bilgilerin, gerekirse düzenleyiciler veya sigorta şirketleri de dahil olmak üzere ilgili paydaşlara sorunsuz bir şekilde akabileceğinden emin olun.
- Monitör: Uyum tek seferlik bir çaba değildir-bu devam eden bir süreçtir. Sürekli raporlamanın bir parçası olarak, uyumluluk önlemlerini düzenli olarak izleyin ve dikkat gerektiren alanları adresleyin. Bu, güvenlik açıkları için sistemlerin kontrol edilmesini, düzenli risk değerlendirmelerinin gerçekleştirilmesini ve işletmenizin gelişen düzenleyici standartlara uyması için güvenlik protokollerinin gözden geçirilmesini içerir.
- Şeffaf Kalın: Bir ihlal keşfedilirse, hasarı hemen değerlendirin ve uygun otoriteye rapor edin – sigorta sağlayıcısı, düzenleyici ve elbette kurbanlar. Yukarıda kanıtlandığı gibi, zamanında açıklama hasarı azaltmaya, daha fazla ihlal riskini azaltmaya ve uyumluluk bağlılığınızı göstermeye yardımcı olabilir ve sonuçta müşteriler, ortaklar ve paydaşlarla güveni korumanıza yardımcı olabilir.
Bu beş adım, siber güvenlik uyumluluğuna ulaşmak için bir temel sağlar. Bu tür yönergeler geniş ölçüde uygulanabilir olsa da, her işletmenin bazı benzersiz zorluklarla karşılaşabileceğini unutmayın. En son gereksinimler hakkında bilgi edinmek için ilgili yetkililere ulaşın, uyumluluk çabalarınızın hükümetlerden, ortaklardan ve düzenleyici organlardan gelişen beklentilerle uyumlu olmasını sağlayın. Kuruluşunuz ve endüstriniz için özel gereksinimleri anlayarak, bu karmaşıklıkları daha etkili bir şekilde gezmek ve işletmenizin siber tehditler karşısında güvenli, uyumlu ve esnek kalmasını sağlamak için ilk adımı atabilirsiniz.