ABD Menkul Kıymetler ve Borsa Komisyonu’nun CISO’lardan ve yönetim kurullarından kuruluşlarının siber güvenlik yetenekleri etrafındaki şeffaflık düzeyini artırmalarını ve ihlallerin yatırımcılara açıklanmasını hızlandırmalarını talep etmesiyle, siber raporlama ve ölçümler bu yıl şirketler için daha da büyük bir öncelik haline geldi.
Yönetim kurulları, temel performans göstergelerini (KPI’ler) ve temel risk göstergelerini (KRI’ler) nasıl takip edeceklerine ve yönetim kuruluna tavsiyelerde bulunmak ve rapor vermek için bu ölçümleri nasıl kullanacaklarına daha fazla titizlik kazandırmak için vidaları güvenlik ve risk yöneticilerine çeviriyor. . Hem KPI’lar hem de KRI’ler için temel, varlıkların kapsamını, bu varlıklar etrafındaki siber güvenlik faaliyetlerini ve ölçülen güvenlik sonuçlarını izleyen operasyonel güvenlik ölçümleridir.
“Güvenlik ekipleri siber güvenlik etkinliklerini ve sonuçlarını izlemek ve raporlamak için operasyonel ölçümleri kullanıyor” diye açıklıyor Siber Bilgili Toplantı Odası, uzun süredir siber risk lideri olan bir çift tarafından, direktörlerin ve yönetici liderlerin siber sorunlara kucak açmasına yardımcı olmak amacıyla yakın zamanda yayınlanan bir kılavuz. “Yönetim kurulunun risk veya denetim komiteleriyle paylaşıldığında bu temel performans göstergeleri, kuruluşun siber güvenlik yeteneklerini ve siber kontrollerin verimliliğini aydınlatırken, aynı zamanda yönetim kurulunun teknoloji ve yetenek yatırımlarının yeterliliğini değerlendirmesine de yardımcı oluyor.”
Küresel danışmanlık şirketi AKnowledge Partners’ın CEO’su Homaira Akbari ve Netscope’un bulut stratejisi başkanı Shamla Naidoo’nun ortak yazdığı kitap, pek çok konuyu kapsıyor ancak ilk bölümün en hayati kısımlarından bazıları ölçümlere odaklanıyor. Karanlık Okuma Akbari ve Naidoo’nun CISO’ların risk seviyeleri ve güvenlik performansı hakkında rapor vermek amacıyla takip etmeleri ve yönetim kuruluyla paylaşmaları açısından çok önemli olduğuna inandıkları en yaygın ölçümleri sunmak üzere burada özetleniyor ve kitaptan alıntılar yapılıyor.
Buradaki uyarı, elbette, güvenlik liderlerinin bu ölçümleri sindirimi kolay değerlendirmelere ve gösterge tablolarına dönüştürebilmeleri gerektiğidir. Önsözlerinde açıkladıkları gibi, her kategoride ayrıntılı olarak açıklanan ölçümler, bir kuruluşun programının etkinliğini belirlemek ve korumadaki boşlukları belirlemek için veri destekli bir model oluşturur.
“Bu değerlendirmelerin sonuçları, çeşitli genel derecelendirmelerle özetlenmeli ve şirketin siber güvenlik kontrol paneline dahil edilmelidir” diye açıklıyorlar.
Veri
Bu ölçümler, veri varlıkları etrafındaki riski kapsamalı ve veri güvenliği, dayanıklılık ve sürekliliğe yönelik temel koruma önlemlerindeki performansı izlemelidir. Akbari ve Naidoo’nun CISO’lara bu kategoride takip etmelerini önerdiği metriklerden bazıları şunlardır:
-
Dark web’deki çalışan/müşteri/kullanıcı bilgisi yüzdesi
-
Veri gölü segmentasyonunun derinliği
Finansal varlıklar
Finansal varlık riskleri ve kayıpları bu kategoriye dahildir; bu ölçüm grubu, son ihlallerden kaynaklanan mali sonuçlara ilişkin ölçülü bir fikir vermelidir. Yazarların izlemeyi önerdiği bazı ölçümler (geçmiş çeyreklere veya geçen yıla göre) şunları içerir:
-
Gerçek paranın/kripto paranın değeri doğrudan kaybedilir
-
Fidye yazılımı biçiminde paranın değeri veya üretkenlik kayıpları
-
Sızan finansal verilerin hacmi (hesaplar, kredi kartları, sadakat puanları, çevrimiçi bankacılık kimlik bilgileri)
Özel olarak listelenmemiş olsa da, iş e-postasının ele geçirilmesinden kaynaklanan mali kayıplara ve dolaylı ihlal müdahale maliyetlerine ilişkin verilerin de izlenmesi değerli olacaktır.
İnsanlar
Kimlik avı veya iş e-postası güvenliği (BEC) saldırılarının kurbanı olmak, politikalara uymayarak verileri ifşa etmek veya sistemleri başka yollarla ifşa etmek olsun, insanlar genellikle bir kurumun en büyük güvenlik açığıdır. Güvenlik farkındalığı eğitiminin etkinliğini ölçmek zor olsa da, bir kuruluşun çalışanlarının güvenlikle ilgili en iyi uygulamalara ve politikalara ne kadar iyi uyduğuna dair genel bir fikir edinmek için bazı iyi örnekler vardır. Yazarlar bu kategoride aşağıdaki ölçümleri önermektedir:
-
Kimlik avı e-postası tıklama yüzdesi
-
Bildirilen şüpheli e-posta yüzdesi
-
ayrıcalıklı hesapların toplam hesaplara oranı
-
Verileri/dosyaları kuruluş dışına taşıyan çalışanların yüzdesi
Doğrudan belirtilmeyen ancak yine de alakalı olan diğer ölçümler arasında kimlik avı simülasyonlarından elde edilen sonuçlar, bilgi değerlendirme puanları ve yüksek riskli bireylere ilişkin davranış veya hesap verileri yer alıyor.
Tedarikçiler
SolarWinds gibi olayların ardından birçok yöneticinin zihninde üçüncü taraf risk yönetimi ve dijital tedarik zinciri güvenliği ön sıralarda yer aldığından, yönetim kurulları tedarikçilerle ilgili güvenlik operasyonları riskleri ve performans seviyeleri hakkında bilgi sahibi olmak isteyecektir. Akbari ve Naidoo, CISO’ların işletmeyi trend olan verilere ve ölçümlere uyum sağlamanın iyi bir şey olacağına inanıyor:
-
Üçüncü tarafların siber güvenlik duruşunun kendi kendine sertifikalandırılması
-
Akranlara ve sektöre karşı harici puanlama
-
Üçüncü ve dördüncü tarafların duruşlarının sürekli izlenmesi
-
Dış denetim uyumluluğu
-
Sızma testi puanları (tedarikçilerden)
Uygulama güvenliği ekipleri, üçüncü taraf kodu ve bileşenlerinden kaynaklanan riskli bağımlılıklar da dahil olmak üzere yazılım tedarik zinciri risklerini incelemeye başladıkça, tedarikçilerle ilgili veriler büyük olasılıkla kurumsal uygulamalarla ilgili ölçümlerle çok fazla örtüşecektir (aşağıya bakınız).
Altyapı
İster şirket içinde ister bulutta olsun, ağ ve donanım varlıklarındaki risklerin azaltılmasına yönelik BT altyapısı açıkları ve güvenlik yetenekleri uygun şekilde izlenmeli ve ölçülmelidir. Yazarların bu kategoride önerdiği bazı operasyonel veriler aşağıdakilerle ilgili ölçümleri içerir:
-
Kullanım ömrünün sonuna yaklaşan sunucu/donanım sayısı
-
Tüm varlıkların güvenli konfigürasyonları
-
Ağ/altyapı segmentasyonunun derinliği
-
Envanterin otomasyon düzeyi ve donanım varlıklarının kontrolü
-
Sıfır Güven mimarisi dağıtımının derinliği: kimlik, cihaz, erişim, hizmetler
Kullanıcı Kontrollü Cihazlar
CISO’lar, yönetim kurulu üyelerine, kuruluşlarının gölge BT ve ağ üzerinde çalışan diğer kullanıcı kontrollü cihazlar üzerinde sahip olduğu kontrol düzeyi hakkında fikir verebilmelidir. Akbari ve Naidoo, aşağıdaki ortak ölçümlerin radarda olması gerektiğini söylüyor:
-
Ağdaki tanımlanamayan cihazların sayısı
-
Yamasız yazılıma sahip cihazların sayısı
-
Uç nokta çözümü tarafından tespit edilen ve önlenen tehditlerin sayısı
Yeni Teknolojiler: IoT
Nesnelerin interneti (IoT) cihazlarının kapsamı ve ölçeği, son on yılda işletmeler için önemli risklerin oluşmasına neden oldu. Yazarlar, CISO’ların aşağıdakiler dahil olmak üzere bazı risk ölçümleri sağlamasını önermektedir:
-
Yükseltilemeyen veya yama yapılamayan IoT cihazlarının sayısı
-
Kurumsal ağlara bağlanan IoT bağlantı noktası sayısı
-
Kurumsal kaynaklardan LoT segmentasyonunun derinliği
Odak noktası şu anda Nesnelerin İnterneti üzerinde olsa da, aynı yaklaşım gelişen tüm teknolojiler için işe yarayabilir. Örneğin yapay zeka, yapay zeka kullanımına ilişkin ölçümleri ve bazı yeni ortaya çıkan yapay zeka güvenlik araçlarıyla birlikte, kuruluştaki yapay zeka kullanımından kaynaklanan riske maruz kalma düzeylerini içerebilir.
Kurumsal Uygulamalar
İster ticari yazılımlardan ister kurum içinde geliştirilen uygulamalardan olsun, uygulamalar bugün kurumdaki en büyük saldırı yüzeylerinden bazılarını sunmaktadır. Akbari ve Naidoo, kurulların bilgilendirilmesi gereken birkaç ortak ölçüm önerdi:
-
Bilinen açık yazılım güvenlik açıkları
-
Yazılım yamaları olağanüstü
-
Sıfır gün yazılım güvenlik açıklarının sayısı
Hiçbir eksiklik yok ek uygulama güvenliği verileri ve ölçümleri Bu, uygulama portföylerindeki performansı ve risk seviyelerini izlemeye yardımcı olabilir. Otomatik ve manuel kod incelemesi oranı, kritik güvenlik açıklarını düzeltme süresi, kritik güvenlik açıklarının açık oranı ve bilinen kritik kusurlara sahip varlıkların kullanılabilirliği veya iş değeri hakkında bağlam ekleyen ölçümler gibi verileri dahil etmeyi düşünün.
Güvenlik Duruşunun Test Edilmesi
Güvenlik doğrulaması ve testi, bir güvenlik programının önemli bir parçasıdır ve bu nedenle CISO’ların yalnızca güvenlik testlerinden elde edilen sonuçları değil, aynı zamanda testleri yürütme hızını da takip etmesi gerekir. Akbari ve Naidoo’ya göre bu kategoriye giren bazı metrikler:
-
Penetrasyon (kırmızı, mavi) testi
-
Rakiplere ve sektöre göre bağımsız harici güvenlik derecelendirmeleri
-
Mevzuata ve siber uyumluluğa ilişkin iç/dış denetçi raporu
-
Uygulama ve diğer test puanları ve keşifler
Olay Tespiti ve Müdahale
Yönetim kurulları, bir güvenlik ekibinin olayları tespit etme ve bunlara müdahale etme becerisiyle çok ilgilenecektir. Akbari ve Naidoo, bunu izlemek için aşağıdaki ortak operasyon ölçümlerinden bazılarını önermektedir:
• İzinsiz giriş girişimlerine karşı gerçek olayların hacimleri ve yüzdesi
• Ortalama tespit süresi
• Kontrol altına almanın ortalama süresi
• Düzeltme/çözme için ortalama süre
• Kırmızı takım skorları ve keşifleri
Ek olarak, CISO’lar, eğer katıldıkları faaliyetler ise, masa üstü tatbikatlardan ve saldırı simülasyonlarından ölçümler ve sonuçlar sunmaktan yararlanabilirler.