Kuruluşlarda Temel Risk Göstergelerinin Önemi

   Şubat 24, 2023  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

İle

Anahtar Risk Göstergeleri (KRI’lar), kuruluşu olumsuz yönde etkileyebilecek istenmeyen olayların kritik tahmin edicileri/göstergeleridir. Bunlar, ileriye dönük ve işletmenin riskleri raporlamasını, felaketi önlemesini ve derhal düzeltmesini kolaylaştıran erken uyarı işaretine katkıda bulunan türden metriklerdir.

Bir kuruluşa yönelik riskler, iş ortamına ve ilgili iş birimine göre değişebilir. Örneğin, bir BT hizmet yönetimi ekibi, onaylar olmadan üretime giren değişiklikler konusunda endişelenebilir, bir Bilgi Güvenliği Ekibi, verilerin ele geçirilmesini önlemeye odaklanabilir, bir banka, hileli banka hesaplarının açılmasıyla vb. ilgili olabilir.

KRI’lar, bir kuruluşun düşündüğü belirli bir kararla ilgili potansiyel riski ve ayrıca kuruluşun günlük operasyonlarına özgü riski ölçer. Büyüklüklerinden bağımsız olarak herhangi bir kuruluş tarafından kullanılabilir ve yönetici düzeyine güvenlik raporlaması için bir temel olabilir. Kuruluşlar sürekli iyileştirme için hedefler belirleyebilir ve bu göstergeleri izleyebilir.

KRI’lar bağımsız olarak veya kayıp olayları, değerlendirme sonuçları ve sorunlar gibi diğer risk ortamıyla ilgili verilerle birlikte, risk ve kontrol ortamlarındaki zayıflıklar hakkında önemli bilgiler sunar.

  • Kuruluşa zarar verebilecek potansiyel risklerin erken uyarısı.
  • Her bir riski ve potansiyel etkisini ölçmek.
  • Uygun risk yanıtlarının geliştirilmesi.
  • Kuruluşun izleme ve kontrol araçlarındaki olası güvenlik açıkları hakkında bilgi verin.
  • Devam eden risk izleme.
  • Üst yönetime ve hissedarlara kuruluşun güvenlik duruşu konusunda güvence.
  • Düzenleyici kurumlar açısından daha yüksek güven seviyeleri.

İşletmeler, Anahtar Performans Göstergeleri (KPI’lar) ve Anahtar Risk Göstergeleri (KRI’lar) terimlerini birbirinin yerine kullansa da, bunlar farklı amaçlara sahip iki farklı araçtır:

TPG

KRİ

Bir kuruluşun, bireylerin, iş birimlerinin, projelerin ve şirketlerin stratejik hedeflerine karşı ne kadar iyi performans gösterdiğini anlamak için kullandığı ölçüm.

Bir kuruluşun ne kadar riske maruz kaldığını veya belirli bir girişimin veya faaliyetin ne kadar riskli olduğunu belirlemek için kullandığı ölçüm.

Bunlar geriye dönük.

Bunlar ileriye dönük.

Bir kuruluş stratejik hedeflerini belirledikten sonra, KPI’lar kuruluşunuzun .

Kuruluşlar, riskleri ve bunların iş performansı üzerindeki potansiyel etkilerini önceden ölçerek, temel riskleri izlemelerine, yönetmelerine ve azaltmalarına olanak tanıyan erken uyarı sistemleri oluşturabilir.

Soruyu cevaplar:

Hedeflerimiz karşısında ne durumdayız?

Soruyu cevaplar:

Hedeflerimize ulaşmamızı engelleyen nedir?

Etkili KRI’ların Özellikleri

KRI’ları geliştirirken, kuruluşun iş bağlamı kritik bir rol oynar. Kuruluşun KRI yolculuğuna başlamadan önce sorulması gereken bazı önemli sorular:

  • Kuruluş ne tür bir sektörde faaliyet gösteriyor?
  • Hangi farklı düzenlemeler/yasalar geçerlidir?
  • Sektör ne tür risklerle karşı karşıya?
  • İşletme hangi lokasyonlarda faaliyet gösteriyor?
  • Kuruluşun hangi dış taraflarla ve onların gereksinimleriyle muhatap olduğu?

bu özellikler ile ilgili iyi KRI’lar katmak:

  • Uyumlu İş: Önemli iş özelliklerini risklerle ilişkilendirmek ve ciddi tehditleri belirlemek.
  • Bağlam Zengini: Başarı için önemli olan insanlar, süreçler, teknolojiler, kaynaklar ve diğer yönler hakkında ayrıntılar.
  • Risk Bazlı: Kuruluşun karşı karşıya olduğu riskleri ve tehditleri ve bunların günlük operasyonlarını nasıl etkileyeceğini ve
  • Ölçülebilir: Metrikler olmalıdır Veriler sayı, sayı, miktar, yüzde, miktar vb. olabilir, ancak metinler, Evet/Hayır soruları veya raporlar DEĞİLDİR.
  • Yönetim Satın Alma: KRI’ların onaylanması
  • tekrarlanabilir: Toplanması, ayrıştırılması ve raporlanması kolay olmalıdır.
  • standartlaştırılmış: Hem dahili olarak hem de endüstri için kıyaslanabilir olmalıdır

Pek çok kuruluş, KRI’ları geliştirirken zorluklarla karşılaşıyor çünkü bunlar iş hedefine bağlı değiller veya geliştirmeleriyle ilişkili riskleri ele almıyorlar.

  • Doğru bilgi eksikliği veya yetersiz gereksinim
  • geliştirmede risk temelli yaklaşım eksikliği
  • Yönetim katılımı/onay eksikliği.
  • Endüstri standartlarına/kıyaslamalarına uyum eksikliği.
  • Karmaşık ve Eski Sistem entegrasyonu, metrik geliştirmek için gerekli olan veriler için bir engelleyici görevi görür
  • KRI değerlerinin toplanmasının otomatikleştirilememesi

Risk

Metrik Tanımı

Sıklık

muhakeme

Veri kaybı

Belirli bir Dönemde Sunucular/İş İstasyonları yedekleme Başarısızlığının Yüzdesi.

Aylık

Sunucu yapılandırmasındaki değişiklik veya yazılımdaki herhangi bir yükseltme, yedeklemenin başarısız olmasına neden olabilir.

Veri kaybı

Zayıf kimlik doğrulama protokolleri kullanan Sunucuların yüzdesi.

Aylık

Zayıf kimlik doğrulama protokolleri kullanan sunucular, saldırganların sızması için bir yol olabilir ve bu da Bilgi Sızıntısına ve Yanal Harekete neden olabilir.

Ele Geçirilmiş Sistemler/Veriler

Günlük Kaydının Etkinleştirilmediği hassas/yüksek düzeyde hassas /İşle İlgili Kritik bilgileri barındıran Kritik Sunucuların yüzdesi.

Aylık

Kritik sunucularda günlük kaydı etkinleştirilmemişse, kuruluş herhangi bir kötü amaçlı etkinlikten/saldırıdan habersiz olacaktır.

Ele Geçirilmiş Sistemler/Veriler

Yamaların eksik olduğu Kritik Sunucuların yüzdesi.

Aylık

Eksik kritik yamalar, yeni tanımlanan güvenlik açıklarının saldırganlar tarafından kullanılmasına neden olabilir.

Yetkisiz Erişim

Erişim hakları son 90 gün içinde incelenmemiş Kullanıcıların yüzdesi.

Aylık, Üç Aylık

Erişim hakları, zamanında gözden geçirilmezse, bu erişime sahip olması gerekmeyen kişiler tarafından yetkisiz erişime yol açabilir.

Yetkisiz Erişim

Hassas Verilere Erişim Sağlayan Kullanıcı Hesaplarına Erişime Yönelik Başarısız Girişim Sayısı.

Aylık

Hassas bilgilere erişim kontrol edilebilir ve iş ihtiyacı olanlar ile sınırlandırılabilir. Aksi takdirde kuruluşa ciddi zararlar verebilir.

Yetkisiz Erişim

Yapılandırma standartlarını karşılamayan Ağ Cihazlarının yüzdesi.

Aylık

Yapılandırma standardını karşılamayan Ağ cihazları, tehdit aktörlerinin zayıf yapılandırmaya saldırması için bir yol görevi görebilir.

Kötü Amaçlı Yazılım/Virüs Saldırıları

Son 24 saat içinde tam bir kötü amaçlı yazılım taraması almayan Kritik Sunucuların yüzdesi.

Günlük? Haftalık

Son 24 saatte tam bir kötü amaçlı yazılım taramasından geçmeyen kritik sunucular savunmasız olabilir ve saldırganlar tarafından kullanılabilir.

Kötü Amaçlı Yazılım/Virüs Saldırıları

Güncelleştirilmiş virüsten koruma yazılımı çalıştırmayan Kritik Sunucuların yüzdesi.

Günlük? Haftalık

Güncellenmiş virüs/kötü amaçlı yazılım imzaları olmayan kritik sunucular, saldırganlar tarafından kullanılabilir.

Veri Sızdırma

Güvenlik Duvarı Kurallarının resmi incelemeleri arasında geçen Ortalama Süre.

Aylık, Üç Aylık

Güvenlik duvarı kural incelemeleri, ek kurallara duyulan ihtiyacı keşfetmeye ve kullanılmayan kuralları ortaya çıkarmaya yardımcı olabilir – her iki sonuç da genel güvenlik ve güvenlik duvarı performansını iyileştirir ve kullanılmayan kuralların harici saldırganlar tarafından veri hırsızlığı için kullanılmamasını sağlar.

Hizmet Kesintileri

SLA (Hizmet Düzeyi Sözleşmesi) ile çözümlenemeyen İsteklerin Yüzdesi.

Aylık, Üç Aylık

İstenen zaman çerçevesi içinde çözülmeyen sorunların büyük bir yüzdesi, üretkenlik/kapasite sorunları, hizmet kesintileri ve olası müşteri hizmetleri sorunları olasılığını artırabilir.

Hizmet Kesintileri

Kullanım Ömrü Sonu veya Destekten Etkilenen BT Varlıklarının (Cihazların) Yüzdesi.

Üç ayda bir

EoL tarihleri ​​yaklaşan cihazların yüksek bir yüzdesi, şirketin görece güncelliğini yitirmiş cihazlar kullandığını ve/veya yedek cihazları yakın zamanda tedarik edip uygulamaya koymanın büyük bir girişim olacağını gösteriyor olabilir.

Çözüm

Özetlemek gerekirse, temel risk göstergeleri bir kuruluşun stratejik risk yönetimi faaliyetlerinde ve günlük operasyonlarında çok önemli bir rol oynar. Etkili bir KRI kitaplığı oluşturmak, risk yönetimine proaktif bir yaklaşım getirmek için en hayati adımlardan biridir. Etkili bir şekilde tasarlanmış KRI’lar, riskleri yönetmek, finansal performansı iyileştirmek ve risklerin kontrol altında olduğuna dair doğru düzeyde yönetim kurulu güvencesi sağlamak için kararlı adımlar atmaya olanak sağlayan bir unsur olarak hareket etmelidir.

Temel risk göstergelerine ilişkin bütünsel bir vizyon elde etmek için iş adamları, risk uzmanları, Veri Uzmanları, Yazılım Mühendisleri, UX Mühendisleri ve dijital dönüşüm uzmanları işbirliği yapmalıdır. Aksi takdirde, bir kuruluşun sıfır otomasyonlu tonlarca KRI’si veya kimsenin izlemediği yüksek düzeyde otomatikleştirilmiş uyarıları olabilir.

reklam





Source link