Silolardaki risk ve uyumluluk verileriyle işinizi yürütmenin sonuçları nelerdir? Görünüşe göre, düşündüğünüzden daha etkili olabilir.
1.000’den fazla BT risk, uyumluluk ve güvenlik uzmanıyla yapılan yakın tarihli bir 2023 anketi, veri siloları ile ihlaller arasında bir ilişki buldu: yani silolardaki risk yönetimi ve uyumluluk operasyonları verileriyle çalışan şirketler daha yüksek ihlal sıklığı yaşadı.
Verilere girelim.
Risk Yönetimi Güveni Yüksek Kalıyor, Ancak Veri Siloları Devam Ediyor
Öncelikle riskten başlayalım. Ankete yanıt verenler, risk yönetimini ciddiye alıyor ve yanıtlayanların %93’lük şaşırtıcı bir oranı, riskleri belirleme ve değerlendirme konusunda başarılı olduklarını düşünüyor. Ek olarak, infosec uzmanlarının %56’sı yıllık güvenlik riski değerlendirmeleri yapıyor ve %27’si yılda iki kez yapılan değerlendirmeler yapıyor, bu da risk yönetiminin katılımcılar için en yüksek önceliğe sahip olduğu anlamına geliyor. Kısacası, riski ele alma güveni yüksektir.
_(1).png?width=480&quality=80&format=webply&disable=upscale)
Ancak, katılımcılar risk yönetiminin önemini kavramalarına rağmen, verilere göre BT risklerini yönetme süreçleri niyetlerinin gerisinde kalıyor. Katılımcıların riskleri belirleme ve değerlendirme konusunda sahip oldukları bu ezici güvene rağmen, %51’i hangi iyileştirmelerin önceliklendirileceğini değerlendirmek için kritik risklerin nerede olduğunu belirlemekte zorlandıklarını söyledi. Ankete katılanların yüzde otuzu, riskleri azaltabilecek kontrolleri belirleme süreçlerinin şirketlerinin hedeflerini karşılamadığını söyledi ve tüm katılımcıların yüzde 39’u ihtiyaç duyduklarında riskle ilgili bilgileri bulmakta zorlandıklarını söyledi.
.png?width=480&quality=80&format=webply&disable=upscale)
Ankete katılanlar riskleri ele alma becerilerine bu kadar güveniyorken riskle ilgili kritik görevleri belirlemede neden hala mücadele ediyor? Cevap basit: Ankete katılan kuruluşların %90’ı risk yönetimi ve uyum operasyonları faaliyetlerini silolar halinde yönetiyor ve bu da onları güvenlik açıklarına açık hale getiriyor. Yanıt verenlerin yüzde otuz sekizi, risk yönetimi süreci boyunca birden çok sistem arasında geçiş yaptıklarını ve risk değerlendirmeleri ile risk değerlendirme sonuçlarını içeren birden çok elektronik tablo veya riski izleyen birden çok platform gibi iyileştirme çabalarını izlemek için ayrı yerlere sahip olduklarını kabul etti.
Veri Siloları ile Güvenlik Açıkları Arasındaki Bağlantı
Anket, yanıt verenlerin yalnızca %10’unun kendilerine özgü risk gruplarını nasıl yöneteceklerine dair bütünleşik bir görüşe sahip olduğunu ve risk ile uygunluk faaliyetlerini uyumlu hale getirdiğini ve riski geçici bir şekilde veya yalnızca olumsuz bir olay meydana geldiğinde yöneten kuruluşların daha başarılı olduğunu ortaya çıkardı. bir ihlal yaşaması muhtemeldir.
.png?width=480&quality=80&format=webply&disable=upscale)
Bu ölçütleri biraz daha açalım:
Riski geçici veya silo departmanlarda yönetmenin, ankete katılanlar üzerinde olumsuz etkileri oldu: Riski geçici veya silo departmanlarda yöneten iki şirketten biri 2022’de bir ihlal yaşadı. Bu sayıyı daha da incelediğimizde, risk yönetimini karakterize eden şirketlerin %61’inin bunu yaptığını gördük. “ad hoc” yaklaşımı bir ihlal yaşadı ve silo departmanlarında risk yönetenlerin %46’sı bir ihlal yaşadı.
Buna karşılık, entegre bir yaklaşıma ve manuel araçlara sahip şirketlerin yalnızca %36’sı bir ihlal yaşadı. Ek olarak, entegre bir yaklaşıma ve otomatik araçlara sahip şirketlerin yalnızca %30’u ihlallerle karşılaştı.
Götürmek? Risk ve uyumluluk operasyonlarını birleştiren şirketler aynı sıklıkta ihlallere maruz kalmadı, bu da silolarda çalışmanın şirketleri güvenlik açıklarına açık hale getirdiğini gösteriyor.
Risk ve Uyumluluk Verilerini Birleştirmenin Gücü
Risk ve uyumluluk silolar halinde işlemeye devam etse de, yanıt verenler bu gerçeği değiştirmenin faydalarının farkındadır. Yanıt verenlerin yüzde elli yedisi, risk yönetimi ve uyumluluk faaliyetleri tipik olarak ayrı olaylara yanıt olarak yürütülse de, sağlam bir uyum programına sahip olmanın riskleri azaltmalarına yardımcı olduğunu söyledi.
Risk ve uyumluluk operasyonlarına entegre bir yaklaşım benimsemek, kuruluşların risk ve uyumluluk yönetimi süreçlerinde mükerrer faaliyetlerden kaçınırken kendi benzersiz risk setlerine odaklanmalarına olanak tanır. Bu yaklaşımı benimseyen kuruluşlar, genellikle risk yönetimi sürecine bir risk değerlendirmesi yaparak başlar. Oradan, güvenlik politikaları oluştururlar ve risk değerlendirmelerinin sonuçlarına göre uyarlanmış iç kontroller uygularlar. Bu, yalnızca seçilmiş birkaç kişiden değil, tüm paydaşlardan girdi alınmasına izin vererek kuruluş genelinde daha fazla uyum sağlanmasına olanak tanır. Ayrıca, doğrudan risk operasyonlarıyla bütünleşen bir uyum programı oluşturmaya yardımcı olur.
Anket sonuçları, entegre bir yaklaşım benimseyen kuruluşların, uyumluluğu yalnızca kuralları ve düzenlemeleri uygulayan bir işlev olarak gören muadillerine göre daha iyi bir güvenlik duruşuna sahip olduğuna dair kanıt sağladı: Ortalama olarak, risk yönetimine entegre bir yaklaşım benimseyen kuruluşlar, güvenlik ihlallerini bu kuruluşlara göre daha az yaşadı. uyumluluk işlevlerini kuralların uygulayıcısı olarak görenler. Ek olarak, bir grup olarak entegre bir yaklaşım benimseyen kuruluşlar, uyum işlevinin amacının kuralları uygulamak olduğuna inananlara kıyasla tekrarlayan ve idari görevlere daha az zaman harcar.
Daha fazla bilgi edinmek için anket raporunun tamamını buradan okuyun.
yazar hakkında
.jpg?width=480&quality=80&format=webply&disable=upscale)
CISSP’den Kayne McGladrey, Hyperproof için alan CISO’sudur ve IEEE’nin kıdemli bir üyesidir. Siber güvenlik alanında yirmi yılı aşkın bir deneyime sahiptir ve CISO ve danışma kurulu üyesi olarak hizmet vermiştir ve siber güvenlik açıklarının bireyler, şirketler ve ulus üzerindeki politika, sosyal ve ekonomik etkilerine odaklanmaktadır.