Güvenlik ekipleri, kontrollere ilişkin gerçek zamanlı bilgi istediklerini ancak yine de günlük operasyonları takip eden periyodik kontrollere güvendiklerini söylüyor. Yeni RegScale araştırması, bu farkın ne kadar geniş olduğunu ve kuruluşların bunu yönetmek için zamanı, personeli ve bütçeyi nereye yönlendirdiğini gösteriyor.
Kuruluşlar GRC programlarındaki yapay zeka araçlarının yatırım getirisini nasıl ölçüyor (Kaynak: RegScale)
Manuel çalışma hâlâ uyumluluk programlarını şekillendiriyor
Manuel süreçler kuruluşların uyumluluğu nasıl ele aldığını yönlendirmeye devam ediyor. Güvenlik ve risk ekipleri her yıl kanıt toplamak, belgeleri yönetmek ve denetimlere hazırlanmak için binlerce saat harcıyor. Bu iş yükü personeli kontrol testlerinden, güvenlik iyileştirmelerinden ve risk yanıtından uzaklaştırıyor.
Kuruluşlar genellikle kontrol testi, eğitim ve politika güncellemeleri gibi temel GRC faaliyetlerini geciktirir veya küçültür. Kanıt toplama en zorlu görevlerden biri olmaya devam ediyor ve çoğunlukla özel bir role eşdeğer bir görev gerektiriyor.
Bu model, insanların zamanlarının çoğunu iyi bağlanmayan sistemlerde eserleri kovalayarak harcadığı bir uyumluluk modelini yansıtıyor.
RegScale CISO’su Dale Hoak, “Manuel GRC gerçeğini örtbas etmek mümkün değil. Kuruluşlar yılda binlerce insan saatini yalnızca kanıt toplamak için harcıyor. Uyumluluk mevcut tüm kaynakları tükettiği için kritik güvenlik çalışmaları gecikiyor. Ekipler çerçevelerle manuel olarak hokkabazlık yapıyor ve denetimleri ölçeklenemeyen süreçlerle tamamlamak için çabalıyor” dedi.
Çerçevenin yayılması ekipler üzerindeki baskıyı artırıyor
Kuruluşlar aynı anda birden fazla uyumluluk çerçevesini yönetir. Birçoğu yarım düzine veya daha fazlasını, genellikle sektöre özel gereksinimlerle katmanlı olarak dengeler. Çerçeveler arasındaki örtüşme, raporlama formatlarının, kanıt beklentilerinin ve kontrol yorumlarının farklı olması nedeniyle çabayı azaltma konusunda çok az fayda sağlar.
Uyumluluk çalışmalarının giderek artan bir kısmı, son yıllarda ortaya çıkan gereksinimlere odaklanıyor. Güvenlik ekipleri, yeni kurallara uyum sağlamak için mevcut programları iyileştirmekten daha fazla zaman harcadıklarını bildiriyor. Manuel çerçeve haritalaması yaygın olmaya devam ediyor ve denetimler ve değerlendirmelerde tekrarlar artıyor.
Araştırma, çerçeveler çoğaldıkça idari işlerin arttığını ancak kontrollerin nasıl performans gösterdiğine ilişkin görünürlüğün gelişmediğini gösteriyor.
Otomasyonun benimsenmesi dengesiz kalıyor
Otomasyon çoğu kuruluşta bir biçimde mevcuttur. Ekipler politikaları yönetmek, riskleri izlemek veya kanıt toplamak için araçlar kullanır. Araçları ve manuel adımları birleştiren hibrit iş akışları aracılığıyla çalışan programlarla otomasyonun derinliği sınırlı kalıyor.
Politika yönetimi en sık otomatikleştirilen alandır ve ardından kanıt toplama gelir. Bağlam, açıklamalar ve dış incelemeciler ile koordinasyon ihtiyacı nedeniyle denetim hazırlığı ve yanıtın otomatikleştirilmesi hâlâ daha zordur.
Bulgular, kuruluşların öncelikle yapılandırılmış görevleri otomatikleştirme eğiliminde olduğunu, ancak daha karmaşık iş akışlarının daha yavaş değiştiğini gösteriyor.
Sürekli izlemenin benimsenmesi amacın gerisinde kalıyor
Güvenlik liderleri, sürekli kontrol izlemenin güvenlik ve uyumluluk sonuçlarını iyileştirdiği konusunda hemfikirdir. Benimseme sınırlı kalıyor; çoğu kuruluş hâlâ haftalar veya aylar arayla yapılan planlı değerlendirmelere güveniyor.
Kuralların benimsenmesi olarak uyumluluk da benzer bir modeli izler. Bazı kuruluşlar kontrolleri geliştirme hatlarına entegre ederken diğerleri dağıtımdan sonra uyumluluk kontrolleri uygular. Bu boşluk, bulut ve yazılım odaklı ortamlarda kontrol performansına ilişkin gerçek zamanlı öngörüleri sınırlıyor.
Sürekli izlemenin önündeki engeller bütçe, entegrasyon zorlukları ve beceriler üzerinde yoğunlaşıyor. Kültürel direncin azalmış olması, istekliliğin uygulamayı geride bıraktığını gösteriyor.
Yapay zeka, korkuluklar uygulandığında tutarlı kazanımlar gösteriyor
Uyumluluk iş akışlarında yapay zekayı benimseyen kuruluşlar olumlu sonuçlar bildiriyor. Katılımcılar daha hızlı raporlama, daha az manuel çaba ve daha iyi risk tespitinden bahsediyor. Yapay zeka kanıt analizi, raporlama ve izleme gibi görevleri destekler.
Yönetişim, evlat edinmeye eşlik eder. Katılımcılar düzenli denetimler, çalışanların eğitimi ve çıktıların insan gözetimi gibi önlemlerin alındığını bildirdi. Birçoğu aynı zamanda iç politikaları, özel ekipleri ve yüksek riskli kullanım durumlarına ilişkin kısıtlamaları da sürdürüyor.
Bu sonuçlara rağmen yapay zekanın benimsenmesi finansman, entegrasyon ve personel alımına bağlı kısıtlamalarla karşılaşmaya devam ediyor.
Otomasyon, harcanan zamanın ölçülebilir getirisini gösterir
Otomasyon, uyumluluk faaliyetleri genelinde ölçülebilir faydalar sağlar. Kuruluşlar, GRC programlarının bazı bölümlerini otomatikleştirdikten sonra zaman tasarrufu sağladıklarını bildiriyor. Ekiplerin daha hızlı yanıt vermesi ve daha tutarlı kanıtlar üretmesiyle denetim hazırlığı iyileşir.
Otomasyonu yapay zeka ile birleştiren kuruluşlar, yalnızca kural tabanlı otomasyona güvenen kuruluşlara kıyasla daha güçlü kazançlar elde ettiğini bildiriyor. Bu kazanımlar, tekrarlanan işlerdeki azalma ve uyumluluk eserleri arasında daha fazla tutarlılık ile uyumludur.
Kurullar görünürlük istiyor
Organizasyonlar sonuçları liderliğe iletmek için çabalıyor. Araçlar genellikle zaman tasarrufu, risk azaltma veya program performansı hakkında sınırlı bilgi sağlayarak değer göstermeyi ve sürekli yatırımı desteklemeyi zorlaştırır.
Bazı kuruluşlar, GRC sistemleri ile yönetim kurulu raporlaması arasında daha sıkı bir entegrasyon olduğunu ve bu sayede risk ve uyumluluk durumuna ilişkin ortak görüşlerin mümkün olduğunu bildiriyor. Diğerleri manuel toplama ve statik raporlara güvenmeye devam ediyor.