Küçük işletmeler temel güvenlik uygulamalarında geride kalıyor ve diğer kuruluşları riske atıyor, anket [pdf] Avustralya Menkul Kıymetler ve Yatırım Komisyonu (ASIC) tarafından bulundu.
ASIC’in araştırması, küçük kuruluşların yüzde 33’ünün çok faktörlü kimlik doğrulama yeteneğinin “yok ya da sınırlı” olduğunu, yüzde 41’inin uygulamalara yama yapmadığını ve yüzde 30’unun yedeklerinin olmadığını gösterdi.
Bu kasvetli tablo aynı zamanda yüzde 44’ünün satıcılar ve üçüncü şahıslar için risk değerlendirmesi yapmadığını da içeriyordu; Yüzde 45’i güvenlik açığı taraması yapmıyor ve yüzde 34’ü “herhangi bir siber güvenlik standardını takip etmiyor veya kıyaslamıyor”.
ASIC şunları kaydetti: “Sürekli olarak daha düşük düzeyde bir raporlama yapmaları şaşırtıcı değil.
Orta ve büyük kuruluşlara göre siber olgunluk kapasitesinin daha yüksek olması,” küçük işletmelerin birlikte çalıştıkları daha büyük operasyonlar için bir risk teşkil edebileceği tartışılabilir.
Rapora göre üçüncü taraf riski genel olarak kötü yönetiliyor: ASIC, kuruluşların yüzde 44’ünün “üçüncü taraf veya tedarik zinciri riskini yönetmediğini” ve bunun değişmesi gerektiğini söyledi.
Raporda, “Bu taraflar, bir kuruluşun dahili veya gizli bilgilerine erişimi olan satıcılar, tedarikçiler, ortaklar, yükleniciler veya hizmet sağlayıcılar olabilir” ifadesine yer verildi.
Anket sonuçlarını açıklayan ASIC başkanı Joe Longo, üçüncü taraf riskine dikkat edilmemesini “endişe verici” olarak nitelendirdi.
“Üçüncü taraf ilişkileri, tehdit aktörlerine bir kuruluşun sistemlerine ve ağlarına kolay erişim sağlıyor” dedi.
Longo, çalışmanın aynı zamanda dayanıklılığın önemini de vurguladığını ekledi.
“Yalnızca güvenliğin ötesine geçip dayanıklılığı, yani bir olaya müdahale etme ve olaydan sonra iyileşme yeteneğini geliştirmeye ihtiyaç var.
“Planların yürürlükte olması yeterli değil. Siber güvenlik risklerinin sürekli olarak yeniden değerlendirilmesinin yanı sıra bunların düzenli olarak test edilmesi gerekiyor” dedi.