Panaseer’e göre birçok CISO, kritik iş kararlarını desteklemede güvenlik kontrol verilerinin amacı ve değeri konusundaki ikilemle boğuşuyor.
Yeni bir CISO rolü üstlenirken en büyük endişe, şirketin güvenlik duruşunun yanlış denetlenmesidir (%54). Bu, hatalı güvenlik verilerinin zayıf noktaları gizleyebileceğinin ve güvenlik kaynaklarının verimli şekilde kullanılmamasına yol açabileceğinin zımni bir kabulüdür.
Veri kalitesi konusu, katılımcılar için güvenlik bütçesinin olmaması (%44) ve bir ihlal nedeniyle günah keçisi ilan edilmekten (%44) daha fazla endişe vericiydi.
Güvenlik kontrolleri verilerine ilişkin tam görünürlük kazanma isteği, yeni bir CISO rolüne başlarken katılımcılar tarafından belirtilen en önemli zorluklarda da vurgulandı:
- Kurumsal güvenlik duruşundaki zayıflıkların gerçek resmini elde etmek (%49)
- Tehdit ortamını anlamak (%45)
- Stratejik kararları mümkün kılmak için güvenilir veriler elde etme (%43)
Güvenlik kontrollerinin nerede başarısız olduğunu anlamak, siber riski azaltmak ve doğru kararları vermek için kritik bir ilk adımdır. Maalesef güvenlik liderlerinin yalnızca %36’sı güvenlik verilerine tamamen güveniyor ve bunu tüm stratejik karar alma süreçlerinde kullanıyor. Güvenilir veriler olmadan CISO’lar üst düzey iş paydaşlarını etkilemek ve güvenlik sorunlarını çözmek için doğru kişilerin sorumlu tutulmasını sağlamak konusunda zorluk çekebileceğinden, bu endişe verici bir bulgudur.
“Dünyadaki en önemli şeylerden biri güvenilirliktir. Güvenilirliğinizi kaybederseniz, bunu insanlardan geri kazanmak en zor şeydir,” diyor World Fuel Services Kıdemli Başkan Yardımcısı ve CISO’su Shawn Bowen. “Dolayısıyla, verileriniz güvenilirlikten yoksun olduğunda bu da aynı sorundur. Verilerinizin nerede hatalı olduğunu bilmeniz ve bu konuda açık sözlü olmanız gerekir, aksi takdirde başka biri yanlışlıklar bulursa size bir daha güvenmeyecektir.”
Güvenlik kontrollerinin algısı ve gerçekliği
Rapor, katılımcıların güvenlik kontrollerine ilişkin algıları ile gerçeklik arasında endişe verici bir uçurum olduğunu tespit etti. %95’i güvenlik kontrollerinin her zaman etkili bir şekilde çalıştığından oldukça veya biraz emin olduklarını ve %88’i güvenlik verilerinin doğruluğuna güvendiklerini belirtti.
Sonuç olarak, güvenlik liderlerinin %54’ü, risk azaltmada en büyük etkiyi sağlayacak eylemleri önceliklendirmek için güvenlik verilerini kullanma becerilerine çok güvendiklerini söyledi. %96’sı bir dereceye kadar kendinden emin.
Ancak yanıt veren kuruluşların %79’u, kontrollerini aşan bir güvenlik olayı karşısında şaşırdıklarını itiraf etti; bu, kontrollerin durumuna ilişkin verilerin ya hatalı olduğunu ya da güvenlik duruşunu iyileştirecek şekilde doğru şekilde yorumlanmadığını gösteriyor.
Kontrol verilerinin yaygın olarak siber koruma ve risk azaltma açısından stratejik bir varlık olarak görülmediğini gösteren kanıtlar da vardır.
Yanıt verenlerin %38’i kontrol başarısızlıklarının iyileştirilmesine dair kanıt bulamadıklarını söyledi. %37’si kontrol başarısızlıklarını düşük öncelikli olarak sınıflandırıyor; bu oran finansal hizmet şirketlerinde %43’e yükseliyor.
Veri güveni oluşturma
Güvenlik liderlerinin %90’ı, siber güvenlik verilerinin doğruluğunun iyileştirilmesinin önümüzdeki 12 ay içinde kendileri için bir öncelik olduğunu söyledi. Ayrıca yapay zekanın etkisini değerlendirmeleri istendiğinde %76’sı, tehdit aktörlerinin kuruluşlarının güvenlik kontrollerindeki açıkları bulmak için yapay zekayı kullanmasından endişe duyuyor.
Zamanlarının ortalama %46’sını bu verileri manuel olarak toplamaya, biçimlendirmeye ve sunmaya harcadıkları göz önüne alındığında, bunu yapmanın daha otomatik bir yolunun bulunması da acil olarak ele alınmalıdır.
Sürekli Kontrol İzleme (CCM), CISO’ların ve diğer paydaşların ihtiyaç duyduğu bu verilere duyulan güvenin sağlanmasına yardımcı olabilir. Veri kalitesini ve güveni artırmanın faydaları açık; güvenlik liderlerinin %84’ü, verilerine olan güveni artırmanın, kuruluşlarını korumak için daha fazla kaynağı güvence altına almalarına yardımcı olacağına inanıyor.
Ancak öncelikle güvenlik liderlerinin ve yönetim kurulunun, kontrol verilerini raporlama için kullanmaktan ziyade iş kararlarını proaktif olarak yönlendirmek ve sorunları ortaya çıkmadan durdurmak için bu verileri benimseyerek bir zihniyet değişikliğine ihtiyacı var.
“CISO güvenlik kontrolleri bilmecesini çözeceksek sektörün değişmesi gerekiyor ve Sürekli Kontrol İzleme (CCM) katalizör olabilir. Daha iyi bir raporlama aracı değil, bundan sonra ne yapılacağını bilmenin bir yolu; günlük siber güvenlik yangınla mücadeleyi kolaylaştırıyor ve stratejik risk konusunda oyunun önüne geçiyor,” diyor Panaseer Güvenlik Evangelisti Marie Wilcox.
“Şu anda pek çok lider, güvenlik kontrol verilerinin bunu yapmalarına yardımcı olabileceğini bilmiyor. Bu, birden fazla silolanmış perspektif yerine büyük resmi görmenin ve tek bir gerçek kaynağının değerini anlamaktır.”
Bu şekilde, güvenilir kontrol verilerine erişim, CISO’ların yukarıda sıralanan zorlukları ve endişeleri ele almasına yardımcı olmakla kalmayıp, aynı zamanda katılımcılar tarafından belirtildiği gibi yeni bir rolde en önemli üç önceliklerini ele almalarına da yardımcı olabilir:
- Güvenlik duruşunu anlama (%39)
- Veri toplama ve analiz süreçlerini anlama (%38)
- Güvenlik araçlarının denetimi (%37)