YORUM
Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi 2.0 (NIST CSF 2.0) daha iyi bir zamanda gelemezdi. Fidye yazılımı saldırıları Geçtiğimiz yıl tüm sektörlerdeki işletmeler ve kurumlar üzerinde halihazırda yıkıcı bir performans sergilediler: ankete katılanların %58’i güncel araştırma Son 12 ayda altı veya daha fazla fidye yazılımı saldırısı yaşadı. Bu, aşağıdakiler de dahil olmak üzere diğer endişelerin yanı sıra gelir: veri ihlalleri, üretken yapay zeka tehditleriiçeriden gelen tehditler ve daha fazlası, siber güvenliğin her zamankinden daha erişilebilir olması gerektiğini kanıtlıyor.
Geçmişte bu saldırıları önlemeye yönelik sektör rehberliği, kritik altyapılara veya yüksek riskli sektörlerdeki daha büyük işletmelere yönelikti. Ancak siber güvenlik “herkesin” sorunudur ve birçok kuruluş, siber risklerin de diğer tüm iş riskleri kadar önemli olduğu fikrini anlamaya başlıyor. Aynı anket, ortalama arıza süresinin 56 saat olduğunu buldu ve bu da dikkate alındığında ABB tarafından yürütülen bir anket 2023’te ortalama aksama süresi maliyetinin saat başına yaklaşık 125.000 ABD Doları olduğu varsayıldığında, bu aksama süresinin olay başına 7 milyon ABD Dolarına mal olacağı öngörülmektedir.
NIST’in CSF 2.0’ı bu Şubat ayında yayınlandı, her büyüklükteki kuruluşa, güvenlik girişimlerini yeniden inceleyerek, gelişen tehditleri savuşturarak ve günümüzün yeniliklerini daha rehberli bir yaklaşımla karşılamaya hazırlanarak bu geniş kapsamlı maliyetlerden kaçınmaları için önemli bir kaynak sağlar. Sadece bir çerçeve olsa da, tüm kuruluşların önümüzdeki yıl yapması gereken üç kritik değişikliği bilgilendirmek için kullanılabilir.
Gelecek Yıl Herkesin Yapması Gereken Üç Kritik Değişiklik
1. Altyapının Güvenliğini Sağlama Konusunda Yeni Bir Yaklaşım Oluşturmak
Altyapıyı güvence altına almanın yolu bariz bir yol gibi görünebilir: Güvenlik olaylarını tespit etmek, savunmak ve bunlara müdahale etmek için doğru araçları edinin. Ancak kuruluşların sıklıkla gözden kaçırdığı bir alan vardır ve NIST CSF 2.0’a yapılan en önemli eklemelerden biri yönetişimdir.
Güçlü bir yönetişim stratejisi, siber güvenlikle ilgili tüm kişilerin, süreçlerin ve organizasyonel kaygıların belirlenmesini sağlar. Bu, bir siber güvenlik stratejisi ve politikalarının geliştirilmesini, strateji ve politikaların gözetimini, tedarik zinciri kontrollerini ve daha fazlasını içerir.
Bu özellikle ölçeklenmeye devam etmeyi planlayan küçük şirketler için önemlidir. Potansiyel bir güvenlik ihlaline hızlı ve etkili bir şekilde tepki vermek için belirlenmiş bir plana sahip olmak, bölgeyle birlikte gelen sermaye kayıplarını hafifletebilir: Net gelir, üç aylık kazançlar ve hisse senedi fiyatlarının tümü, veri ihlallerinden sonra önemli ölçüde düşer. Etkili bir plan muhtemelen bu etkileri azaltabilir.
2. Belirli İş İhtiyaçlarına Uygun Yatırım Yapmak
Bir kuruluş, riski bir veya daha fazla yolla ele almayı seçebilir ve bu, kuruluşun özel iş ihtiyaçlarına bağlıdır. NIST CSF 2.0, risk alanlarının ve seviyelerinin belirlenmesine yardımcı olabilir ve kuruluşlar buradan yola çıkarak doğru çözümlere karar verebilir. Bu, özellikle çözüm sağlayıcıların sürekli olarak yenilik yaptığı ve yeni araçlar geliştirdiği göz önüne alındığında, birçok kuruluş için bunaltıcı olabilir.
Sektördeki evrensel gerçeklerden biri, güvenlik operasyon merkezi (SOC) analistlerinin bunaldığı ve kaynak sıkıntısı çektiğidir. Yapay zeka ve makine öğrenimi tabanlı çözümler, riski etkili bir şekilde yönetmek ve tehditlere karşı iş dayanıklılığı oluşturmak için sektördeki bu tükenmişlikle mücadelede yararlı bir köprü olarak ortaya çıktı. Ayrıca görünürlüğü artıran araçlar, saldırı yüzeyinin daha da güvenli hale getirilmesi açısından önemlidir. Güvenlik açığı yönetimi, uç nokta tespiti ve müdahalesi (EDR) ile güvenlik bilgileri ve olay yönetimi (SIEM) araçlarına yapılan yatırımlara rağmen ağda, bulutta ve daha birçok alanda kuruluşların ele alması gereken birçok kör nokta vardır.
3. Güvenlik Hijyenine Organizasyon Çapında Bir Yaklaşım Geliştirmek
Doğru araçlar önemli olmakla birlikte, NIST CSF 2.0’ın “Koru” özelliğinin kritik bir parçası, risk yönetimine yönelik kritik güvenlik önlemleri olarak farkındalık, eğitim ve kimlik ve erişim yönetimine odaklanır. Çerçeve çok sayıda risk faktörünü öne çıkarırken, genel siber hijyen, siber güvenliğin kritik derecede göz ardı edilen bir parçasıdır.
Bu, saldırganların defalarca işine yarayan eski bir yöntemdir ve maliyetler de artar. Şans eseri, küçük kuruluşlar genellikle siber hijyen çan eğrisinde en iyi performansı gösterirken, orta ölçekli kuruluşlar geride kalıyor. Ancak başarılı bir saldırı, küçük bir kuruluşu mali açıdan istikrarsızlaştırmak için gereken tek şey olabilir; katılımcılar 2023’te ortalama 2,5 milyon dolar fidye ödedi ve üretken yapay zeka, sosyal mühendislik saldırılarını yalnızca kolaylaştırdı.
Endüstri Kaynaklarından Yararlanmak
Temel yönergeler sunmasına rağmen, NIST’in CSF 2.0’ının diğer çerçeveler ve kılavuzlarla birlikte kullanılması gerektiğini ve her şeyi kapsayan bir çözüm olmadığını unutmayın. Ayrıca bir kuruluş büyüdükçe ve geliştikçe özelleştirilecek şekilde tasarlanmıştır.
Ancak çerçeve, artık her boyuttaki kuruluş için tasarlandığı için, daha küçük kuruluşların endüstrinin baş döndürücü inovasyon hızıyla buluşmasını sağlayan bir dengeleyici görevi görüyor. Bu, tehdit aktörlerinin nasıl ilerlediğinin anlaşılmasını ve onlara karşı savunma için yeni araçların kullanılmasını içerir; bunların her ikisi de uzun vadede iş dayanıklılığını artırmak için çok önemlidir.