Kuruluşlar Minimum Uygulanabilir Güvenli Ürün (MVSP) çerçevesinde siber güvenlik kontrollerinde nasıl performans gösteriyor? Bitsight ve Google tarafından yakın zamanda yapılan bir analiz, bazı iyi ve bazı kötü sonuçları ve iyileştirmeye açık alanları ortaya koyuyor.
MVSP nedir?
Minimum Uygulanabilir Güvenli Ürün (MVSP), B2B yazılım ve iş süreci dış kaynak tedarikçilerine yönelik, İş, Uygulama Tasarımı, Uygulama Uygulama ve Operasyonel olmak üzere dört temel alanda 25 kontrolden oluşan temel bir güvenlik kontrol listesidir.
“Siber Güvenlik Kontrol Analizleri: Organizasyonel Performansın Analizi” çalışması için Bitsight ve Google, MVSP çerçevesinde Bitsight analizlerini kullanarak kurumsal siber güvenlik performansını ölçecek bir metodoloji oluşturmak üzere iş birliği yaptı.
Çalışma, dünya çapında dokuz sektördeki yaklaşık 100.000 kuruluşun siber güvenlik performansını analiz etti. Bitsight, risk vektörlerini 16 MVSP kontrolüyle eşleştirdi ve 2023 ve zaman içindeki (en son Mart 2023) performansı bildirdi. Google, bu analizde kullanılan istatistiksel yaklaşımı doğruladı.
Kuruluşlar siber güvenlik performans standartlarını karşılıyor mu?
Çalışma, 2023 yılında her sektörün, incelenen 16 MVSP kontrolünden 10’u için yüksek Geçiş oranına sahip olmasına rağmen, birçok kuruluşun kendilerini siber olaylara karşı koruma açısından kritik olan kontrollerde hâlâ başarısız olduğunu ortaya çıkardı.
Bulgular, tüm sektörlerdeki kuruluşların, potansiyel ihlallere maruz kalmayı azaltmak için güvenlik açığı yönetimi programlarını iyileştirmeleri gereken çeşitli alanlara sahip olduğunu gösteriyor.
Özellikle, 2023 Bilgisayar Yazılımı endüstrisinin Bağımlılık Düzeltme Eki ve Güvenlik Açıklarını Düzeltme Süresi (bir ihlal olasılığıyla ilişkili Bitsight analitiğiyle eşlenen) için Başarısızlık oranları, 2020 oranlarına göre makro ortalama kadar iyileşmedi ve diğer sektörleri üçüncü saldırılara karşı savunmasız bıraktı. bilgisayar yazılımına güvenmeleri nedeniyle taraf riski.
Ancak kuruluşların aşağıdaki alanlar için %100’e yakın Geçiş oranları vardı:
- Veri işleme
- Olay yönetimi
- Kerestecilik
- Mantıksal erişim
Ayrıca Müşteri eğitimi (daha güvenli bir üçüncü taraf dijital ekosisteme katkıda bulunur) ve Eğitim (insan hatası ciddi sonuçlara yol açabileceğinden kuruluşlar eğitim çalışmalarını ciddiye alıyor) için de yüksek Geçiş oranlarına sahiptiler.
Bitsight, tüm sektörlerdeki kuruluşların, bir kuruluşun güvenlik açığı yönetimi programının sağlığı açısından kritik öneme sahip kontrollerle mücadele ettiğini tespit etti.
Güvenlik açığı yönetimi için önemli olan sekiz MVSP kontrolü (Harici Test, Öz Değerlendirme, Güvenlik Açığı Önleme, Şifreleme, Yalnızca HTTPS, Güvenlik Başlıkları, Bağımlılık Düzeltme Eki, Güvenlik Açıklarını Düzeltme Süresi) yüksek 2023 Başarısızlık oranlarına, düşük Geçiş oranlarına veya her ikisine birden sahiptir , tüm sektörlerde.
Son olarak, bilgisayar yazılımı endüstrisi de dahil olmak üzere güvenlik başlıklarının kullanımında bir düşüş yaşandı.
“CS’nin çoğu açıdan daha iyi performans göstermesini bekliyorduk ancak gözlemlediğimiz şey bu değildi. Analistler, CS’nin durgunluğunun ve bazen de düşük performansının, iş gücü zorlukları, artan varlık envanterleri, siber güvenlik araçlarının eksikliği ve daha fazlası dahil olmak üzere birçok faktöre atfedilebileceğini belirtti.
Tehditlere ayak uydurmak
Dünyanın dört bir yanındaki iş dünyası liderlerinin, giderek karmaşıklaşan siber riskleri ve paydaş taleplerini daha iyi yönetmek için şirketlerinin zayıf noktalarının nerede olduğunu ve diğer şirketlerle nasıl eşleşeceklerini anlamaları gerekiyor. MVSP kontrollerinin geçme ve başarısızlık oranlarını anlayarak kuruluşlar, güvenlik performanslarını kıyaslama ve güvenlik açığını hafifletmek ve azaltmak için siber güvenlik stratejilerini geliştirme bilgisiyle daha iyi silahlanacak.
Google Personel Güvenlik Mühendisi Chris John Riley, “İş dünyası liderlerinin, kuruluşun uygulama güvenliği riskinin ve emsallerine kıyasla nasıl performans gösterdiklerini tam olarak bilmeleri her zamankinden daha önemli” dedi.
“Kuruluşlar günümüzün çalkantılı ve hızlı hareket eden ortamında olgun bir güvenlik duruşu oluşturmak ve bunu sürdürmek istiyorsa, güvenlik yönetimine ve sürekli iyileştirme kültürüne öncelik veren liderlere ihtiyaçları var. Kuruluşlar, MVSP gibi çerçeveleri kullanarak, kuruluşlarında güçlü bir güvenlik kültürü geliştirmek için gerekli ilk adımları atabilirler.”