BeyondId’den yeni bir rapora göre, kimlik güvenliğine en çok güvenen kuruluşlar genellikle en az hazırlıklıdır. Çalışma, kuruluşların kimlik güvenlik programları ve gerçekte nasıl davrandıkları hakkında inandıkları şey arasında rahatsız edici bir boşluk ortaya koymaktadır. Şaşırtıcı bir şekilde, en yüksek güveni ifade edenler, daha temkinli akranlarından daha az en iyi uygulamayı benimsemektir.
BT karar vericilerinin% 74’ü kimlik duruşlarını “yerleşik” veya “gelişmiş” olarak değerlendirirken, güvenlik uygulamaları farklı bir tablo çizer:
- “Gelişmiş” olarak kendini tanımlayan kuruluşlar, en iyi 12 uygulamanın sadece 4,7’sini takip ediyor-5.1’i takip eden “yerleşik” akranlarından daha az
- Tüm kullanıcılar için yalnızca% 60’ı MFA’yı zorunlu hale getirir – temel bir güvenlik önlemi
- Sadece% 40 düzenli kullanıcı erişim incelemeleri yapın, bunları gereksiz veya modası geçmiş izinlere karşı savunmasız bırakır
- Temel bir güvenlik uygulaması olmasına rağmen, en az% 27 en az ayrıcalık erişim modelini zorunlu kılıyor
- 10 kuruluştan 3’ünden azı siber güvenlik bütçelerinin% 20’sinden fazlasını kimlik güvenliğine tahsis etti
BeyondId CEO’su Arun Shrestha, “Birçok kuruluşun ifade ettiği güven, operasyonel titizlikle desteklenmiyor” dedi. “Gördüğümüz şey sistemik aşırı güven; liderler hazırlıklı olduklarına inanıyorlar, ancak onları gerçekten güvende tutacak temel kontrolleri uygulayamıyorlar.”
Bu boşlukların etkisi endişe vericidir. Son 24 ay içinde:
- Kuruluşların% 72’si en az bir saldırı yaşadı; % 46’sı birden fazla saldırı yaşadı
- Bu ihlallerin% 38’i tehlikeye atılan çalışan kimlik bilgilerinden kaynaklandı
- % 38’i yetkisiz erişime yol açan bir kimlik avı saldırısı yaşadı
- % 36’sı kimlik kimlik bilgilerini içeren bir veri ihlali yaşadı
- % 34’ü kimlikle ilgili konular nedeniyle uyum denetimi başarısız olmuştur; % 14 birçok kez başarısız oldu
% 85’i 24 saat içinde ihlalleri tespit etme yeteneklerine “aşırı” veya “çok” güvenirken, anket katılımcıları ihlallerin en büyük sonuçlarının operasyonel kesinti, itibar hasarı ve finansal kayıp olduğunu bildirmiştir.
Shrestha, “Güven hazırlığa eşitse, bu olaylar çok daha az yaygın olurdu” diye ekledi. “Algı ve gerçeklik arasındaki bu yanlış hizalama, kuruluşları eleştirel olarak maruz bırakıyor. Tahminen kimlik bilgilerine bağlı ihlaller yaygın kalırken, kimlik güvenliği genellikle yetersiz ve tutarsız bir şekilde yönetiliyor.”
Raporda, aşağıdakiler de dahil olmak üzere algılanan ve gerçek hazırlık arasındaki boşluğu kapatmak için eyleme geçirilebilir önerileri özetlemektedir:
- Temel kontrolleri uygulayın: MFA, düzenli erişim incelemeleri ve en az ayrıcalık modelleri gibi temel uygulamalar isteğe bağlı değil, evrensel olmalıdır.
- Nesnel Standartlara Karşı Karşılık: Öz değerlendirme yetersizdir. Kuruluşlar güvenlik duruşlarının üçüncü taraf doğrulanmasına ihtiyaç duyarlar.
- Riskin başladığı yere yatırım yapın: Kimlik yeni çevre ve bütçeler kritik önemini yansıtmalıdır.