Cyber Essentials, Cyber Essentials Plus veya ISO 27001 standardı gibi bir standardı benimseyerek güvenliğinizin temelini oluşturmak, işletmeye etkili bir siber güvenlik politikası için başlangıç blokları sağlayabilir. Bu verildi. Yine de, bu standartların benimsenmesi üzücü bir şekilde düşük kalmaya devam ediyor.
Birleşik Krallık hükümetinin en son Siber Güvenlik Boylamsal Araştırması, üç yıllık bir çalışmanın şimdi ikinci yılında, işletmelerin yalnızca %40’ının bu standartlardan birine uyduğunu ortaya koyuyor (%25 Cyber Essentials, %17 ISO 27001 ve %11 Cyber Essentials Plus’ı karşılıyor) ). Bu, hükümetin ‘Siber Farkındalık’ kampanyası yoluyla alımı artırma çabalarına rağmen, geçen yıl sertifika aldıklarını doğrulayan %32’den yalnızca küçük bir artışa işaret ediyor.
Çalışma sırasında gerçekleştirilen nitel görüşmeler, geniş bir tutum yelpazesini ortaya koymaktadır. Olumlu olanlar, bunu kendilerini en iyi uygulamalarla uyumlu hale getirmek ve BT ekiplerine üzerinde çalışacakları bir çerçeve sağlamak olarak gördü. Diğerleri, belirli kuruluşlarla iş yapmak için yerine getirmeleri gereken gerekli bir gereklilik olarak gördüler (hükümet ihaleleri için teklif verirken zorunludur). Ama yine de bunu bir onay kutusu alıştırması olarak görenler var. Peki, bu standartların algılanması ve benimsenmesi için neler yapılması gerekiyor?
Ne var?
Sertifikasyon sürecinin kendisi oldukça basit olabilir. Cyber Essentials’ın maliyeti yalnızca 300-500 £’dir, tamamlanması üç gün sürer ve daha sonra doğrulanan bir öz-değerlendirme içerir ve başarısız olmanız durumunda iki gün içinde ücretsiz tekrar alınır. Cyber Essentials kapsamındaki gereksinimler yakın zamanda güncellenerek bulut hizmetleri, bulut hizmetlerinin tüm yöneticileri için çok faktörlü kimlik doğrulama (MFA) ve diğer kullanıcılar için daha katı parola gereksinimleri, BYOD ve sanal sunucu tabanlı ortamlar, uzaktan çalışanlar ve güvenlik duvarları. 24 Nisan 2023’ten itibaren getirilen diğer güncellemeler, diğerleri arasında Sıfır Güven Ağ Mimarisi (ZTNA) hakkında rehberlik içerir.
Cyber Essentials Plus, adından da anlaşılacağı gibi, önce Cyber Essentials sertifikası gerektirir, genellikle 1500 £ ile 3000 £ + arasında herhangi bir maliyete mal olabilir ve bağımsız bir değerlendirici tarafından yürütülen bir denetim görür. Bu değerlendirme, kimliği doğrulanmış bir güvenlik açığı taraması, internete bakan IP adreslerinin harici bağlantı noktası taraması ve bir e-posta/internet tarayıcı testi dahil olmak üzere kuruluşun bazı kullanıcı uç noktalarının denetlenmesi şeklini alır ve keşfedilen sorunları düzeltmek için 30 gün sürer.
ISO 27001, ankette sorgulananlar tarafından en pahalı ve külfetli standart olarak görüldü. Uyumlu hale gelmek genellikle yaklaşık 18 ay sürer ve maliyetler, işletmenin büyüklüğüne bağlı olarak binleri bulabilen yıllık denetimlerin yanı sıra dahili denetimler nedeniyle değişebilir. Bununla birlikte, ISO 27001 yaygın olarak altın standart olarak görülüyor, uluslararası kabul görüyor ve onu üstlenenler, onu pazarda gerçek bir farklılaştırıcı olarak görüyor.
Temeller üzerine inşa edilememek
Her üç standart da bir siber güvenlik stratejisinin temelini oluşturmak için kullanılmalıdır. Cyber Essentials’ın, örneğin büyük bir saldırı penceresi bırakan saldırıların %80’ine karşı koruma sağladığı tahmin edilmektedir. Buradaki fikir, işletmelerin temel bilgilerle başlayıp daha sonra işletmeye özgü daha fazla politika ve kontrol uygulayarak bunları geliştirmesidir. Siber Güvenlik Teşvikleri ve Yönetmelik İncelemesi 2022, Cyber Essentials’ın yalnızca “siber güvenlik için temel bir teknik standart” sağladığını açıkça belirtir ve şimdi daha olgun bir güvenlik düzeyine geçmek isteyenlere nasıl ek destek sağlayabileceğine bakıyor.
Siber Değerlendirme Çerçevesi gibi kurumsal siber dayanıklılık.
Bugün standartları benimseyenlerin çok azı bunları çalışan bir siber güvenlik stratejisi tasarlamak için kullanıyor. Ankette etkili bir siber güvenlik stratejisi için beş tür belgelemenin çok önemli olduğu belirlendi: İş Sürekliliği Planı (BCP), kritik varlıkları tanımlayan belgeler, kuruluşun BT varlıklarının ve güvenlik açıklarının belgeleri, bir risk kaydı ve kuruluşun risk iştahının belgeleri . Birçoğunun BCP’si varken, yalnızca yarısının risk kaydı vardı ve yalnızca %30’u kabul edilebilir riskleri belgeledi. Dahası, çoğunun resmi bir olay müdahale planı yoktu ve olanlar da bunları test etmedi.
Hükümet incelemesinde de belirtildiği gibi sorunun bir kısmı, kuruluşların etkiyi ölçmeyi ve bu nedenle siber güvenliğe yatırım yapmak için zaman, kaynak ve para ayırmayı gerekçelendirmeyi zor bulmasıdır. Buna yardımcı olmak için hükümet, yatırımın gerekçelendirilmesine yardımcı olmak, ancak aynı zamanda risk kaydının önemini artırmak ve bir sigorta talebi durumunda olduğu gibi harici raporlama için gereken ek kanıtları sağlamak için etki bilgilerini kullanıma sunmayı amaçlıyor.
alımı artırma
Ancak farkındalık ve eğitimin ötesine geçip teşvik etmeye mi bakmamız gerekiyor? Böyle bir teşvik siber sigortadır. Örneğin, tüm kuruluş için Cyber Essentials sertifikasına sahip olan ve cirosu 20 milyon sterlinin altında olanlar, 25.000 sterlin değerinde üçüncü taraf siber sigortadan yararlanır ve bir acil durum müdahale yardım hattına erişebilir.
Elbette bu, örneğin finansal siber suçlara karşı koruma sağlamayan sınırlı bir teminat biçimidir, ancak standart artık daha kapsamlı sigorta poliçeleri almak için iyi bir temel olarak görülmektedir. Birçok sigorta şirketi, siber güvenlik önlemlerinin yürürlükte olduğuna ve bu standartlara uyanların gerekli güvence düzeyini karşıladığına dair ek kanıt ister – daha düşük primlerden bile yararlanabilirler.
Yine de Boylamsal Anketin yürütüldüğü iki yıl boyunca ve hükümet incelemesinden bir yıl sonra, kuruluşların standartları seçim yoluyla benimsemedikleri ve bunu yaptıklarında da, standartları genişletme fırsatından yararlanmadıkları açıktır. Özellikle siber dirençli bir ekonomi inşa edeceksek, şirketlerin kaydolması ve vergi indirimi şeklinde veya hatta onları zorunlu kılarak daha yüksek seviyelere ilerlemesi için daha zorlayıcı nedenler olmalıdır.
