Soru, kuruluşunuzun bir siber güvenlik tehdidiyle karşı karşıya kalıp kalmayacağı değil, ‘ne zaman’ olacağıdır. Kötü haber daha da kötüleşiyor: Bir saldırıya maruz kalmak sizi gelecekteki ihlallere karşı korumaz. Bu nedenle, kuruluşunuzun siber güvenlik direncini artırmaya yönelik yaklaşımınız yalnızca tüm saldırılardan kaçınmak olmamalıdır (ki bu gerçekçi olmayan bir hedeftir), aynı zamanda kaçınılmaz durum gerçekleştiğinde hızlı bir şekilde yanıt verme ve toparlanma yeteneğinizi geliştirmek olmalıdır.
Siber dayanıklılığın artırılması, teknoloji ve insan gücünün bir kombinasyonunu gerektirir. Ancak son araştırmalar birçok kuruluşun ikincisinde yetersiz kaldığını ortaya koyuyor. Neyse ki herhangi bir kuruluşun insanlarla ilgili güvenlik sorunlarını çözmek için atabileceği dört adım vardır.
Araştırma, dünya çapındaki kuruluşlarda yönetici ilgisizliği, personel sıkıntısı ve tutarsız güvenlik uygulamalarının rahatsız edici bir karışımını ortaya çıkardı. Ankete katılanların yalnızca %43’ü siber riski yönetme becerilerine güveniyor. Bu sayı, güvenlik hazırlıklarına yeterince güvenmediklerini ifade eden küçük ve orta ölçekli işletmelerin (100-2.500 çalışan) neredeyse yarısına (%48) ulaşıyor.
Küçük kuruluşlar arasında karşılaşılan ortak zorluklardan biri, kimlik doğrulama önlemleri ve erişim kontrolleri gibi şirket çapında güvenlik politikalarının uygulanmasıdır. Ankete katılan küçük ve orta ölçekli şirketlerin yarısı (%49), bunu en önemli iki yönetişim zorluklarından biri olarak belirtirken, büyük şirketlerin yaklaşık dörtte biri (2.501-5.000 çalışan). Bu eşitsizlik, daha küçük kuruluşların kaynak sınırlamalarıyla mücadele ettiğini ve yönetim gözetimi başarısızlıklarına karşı daha savunmasız olduklarını gösteriyor.
Küçük kuruluşların yüzde otuz beşi, yönetim ekiplerinin siber saldırıları önemli bir risk olarak göremediğini veya kuruluşlarının tehditleri konusunda bilgisiz olduğunu bildiriyor. Bu boşluk, güvenlik profesyonellerinin liderliği bir siber olayın marka itibarı ve sonuç üzerindeki potansiyel etkisi konusunda eğitmesi ihtiyacının altını çiziyor. Bunun yalnızca güvenlik ekibinin omuzlarına düşen bir BT sorunu olmadığını açıkça belirtmeleri gerekiyor. Bu, liderliğin tam dikkatini ve desteğini gerektiren bir iş önceliğidir.
Beceri Açığı ve Tedarik Zinciri Riskleri
Büyük kuruluşlar için en acil zorluklardan biri vasıflı BT güvenliği profesyonellerinin eksikliğidir. Büyük şirketlerde ankete katılanların yüzde otuz beşi bu eksikliği en önemli endişe kaynağı olarak belirtmiş, bunu bütçe kısıtlamaları (%38) takip etmiştir; her ikisi de olaylara etkili bir şekilde müdahale etme becerilerini zedelemektedir.
Tedarik zincirinin güvence altına alınması her büyüklükteki kuruluş için bir endişe kaynağıdır; yanıt verenlerimizin yaklaşık üçte biri bunun en önemli zorluk olduğunu kabul etmektedir. Riskler, hassas veya gizli verilere erişimi olan üçüncü tarafların eksik envanterlerinden ve bu geniş ağların güvenliğini sağlamanın teknik zorluklarından kaynaklanmaktadır. Tedarik zinciri, özellikle güvenlik düzenlemelerinin gevşek olduğu bölgelerdeki ortaklar ve satıcılar için şirketin acil güvenlik sınırlarının ötesine uzandıkça risk artar.
Gölgeler içinde
Bu zorlukları daha da artıran şey, yazılım ve uygulamaların yönetilmeyen kullanımı olan Gölge BT olgusudur. Çalışanlar, üçüncü taraf uygulamaları ve eklentileri için pazar yerleri barındıranlar da dahil olmak üzere, BT’nin bilgisi olmadan yazılım araçlarına eriştiğinde ve bunları dağıttığında, yanlışlıkla yetkisiz tarafların hassas verilere erişmesine izin verebilirler.
Kötü Olay Müdahale Hazırlığı
Karşılaştıkları siber güvenlik tehditlerinin kritik doğasının farkında olmasına rağmen birçok kuruluş, olaylara müdahale hazırlığının kendileri için zayıf bir nokta olmaya devam ettiğini kabul etti.
Cesaret verici bir şekilde, ankete katılan işletmelerin yaklaşık yarısı, organizasyon çapında resmi bir olay müdahale planına sahip olduklarını bildirdi ve bu grubun yarısından fazlası, planlarını yılda en az bir kez test ediyor.
Ancak büyük şirketlerin yaklaşık dörtte biri (%23) olay müdahale planlarını hiç test etmediklerini ve yaklaşık on şirketten birinin de olay müdahale planı olmadığını itiraf ediyor. Bir ihlal durumunda bu kuruluşların ne yapacakları konusunda kararsız kalmaları veya daha da kötüsü, kendi müdahale planlarının provasını yapanlara kıyasla durumu daha da kötüleştiren yanlış eylemlerde bulunma olasılıkları çok daha yüksektir.
Bir müdahale planını test etmenin etkili bir yaklaşımı ‘mor takım’ tatbikatı düzenlemektir. ‘Kırmızı takım’ sahte bir saldırı başlatır ve ‘mavi takım’ olay müdahale simülasyonlarını koordine eder. Bu, bir kuruluşun güvenlik olaylarını tespit etme, yanıt verme, azaltma ve bunlardan öğrenme yeteneklerini geliştirerek daha dirençli bir siber güvenlik duruşu sağlar.
Ancak egzersizler ve simülasyonlar yapmak savaşın sadece yarısıdır. Güvenlik profesyonelleri düzenli olarak yinelenen çalışan eğitim ve öğretim programları uygulamalıdır.
Siber Dayanıklılığın Artırılması: Dört Adımlı Bir Yaklaşım
Bu doğrultuda, ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) yakın zamanda güncellenen siber güvenlik çerçevesi yararlı bir kaynak olarak hizmet edebilir. Siber güvenlik sonuçlarını altı üst düzey işlev halinde düzenler: Yönet, Tanımla, Koru, Tespit Et, Yanıt Ver ve Kurtar ve siber dayanıklılık için net kilometre taşları ve teslimatlar belirler.
Bu sürecin gizemini açığa çıkarmak ve bunu çalışanlar, üst düzey yöneticiler ve yönetim kurulu üyeleri için daha erişilebilir hale getirmek amacıyla, herkesin siber dayanıklılığı artırmadaki rolünü anlamasına yardımcı olacak dört adımlı bir kontrol listesini burada bulabilirsiniz:
1.Tehditler: Kurumsal operasyonlara, varlıklara veya bireylere potansiyel olarak zarar verebilecek durum veya olayları belirleyin. Amaç herkesi neyin yanlış gidebileceği ve siber saldırılar, sistem arızaları veya veri ihlalleri gibi çeşitli tehdit türleri konusunda eğitmektir.
2. Güvenlik açıkları: Tehditleri belirledikten sonraki adım, organizasyon içinde bu tehditlerin yararlanabileceği zayıf yönleri değerlendirmektir. Güvenlik açıkları arasında eski yazılımlar, yetersiz (veya var olmayan) güvenlik politikaları veya çalışan eğitim programları yer alabilir.
3.Olasılık: Belirli bir tehdidin bir güvenlik açığından yararlanarak bir siber güvenlik olayına yol açma olasılığını değerlendirin. Bu, hangi risklerin anında müdahale edilmesi gerektiğini önceliklendirmenize yardımcı olacaktır.
4. Risk: Güvenlik açıklarından yararlanan tehditlerden kaynaklanan olumsuz sonuçların potansiyel etkisini değerlendirin. Bu adım, potansiyel riske kapsamlı bir genel bakış sağlamak için tehdit, güvenlik açığı ve olasılık unsurlarını birleştirir.
Bu kontrol listesini takip etmek, tüm kuruluşunuzun siber saldırılara daha hızlı ve etkili bir şekilde yanıt verme ve bu saldırılardan kurtulma konusunda daha proaktif olmasına yardımcı olacaktır. Bu birleşik yaklaşımın kuruluş genelinde desteklenmesi, siber güvenliğin kolektif bir sorumluluk haline gelmesini sağlar ve siber dayanıklılığınızı artırır.
Reklam