[By Phil Robinson, Principal Security Consultant, Prism Infosec]
Siber olgunluk, kurumun bir siber saldırıya hazırlıklı olmasını sağlamakla ilgilidir ve bu ancak risklerin nerede olduğunun ve mevcut kontrollerin uygun ve orantılı olup olmadığının belirlenmesiyle belirlenebilir. İşletmenin siber olgunluk düzeyi, tehditleri ve güvenlik açıklarını azaltmaya yönelik stratejik hazırlığıdır. Bu, iyileştirmeye açık alanların belirlenmesine yardımcı olmak ve böylece işletmenin dayanıklılığını artırmak için hazırlık düzeyinin düzenli aralıklarla test edilmesiyle gerçekleştirilir. Ancak siber olgunluk testi yaygın olarak uygulanmamaktadır.
ISACA'nın Siber Güvenliğin Durumu 2023 raporuna göre, işletmelerin yalnızca %65'i bugün siber olgunluklarını ölçmektedir ve bunu yaptıkları aralıklar büyük ölçüde farklılık gösterebilmektedir. Çoğunluk (%39) değerlendirmeyi yıllık olarak gerçekleştiriyor ve bir sonraki en yaygın aralık her altı ayda bir veya daha az (%19), ancak yalnızca bir ila iki yılda bir (%7) veya hatta iki yılda bir veya daha fazla test yapanlar da var ( %3). Seyrek test yapılmasının nedenleri öncelikle zaman (%41), personel (%38) ve kurum içi uzmanlık (%22) eksikliğinden kaynaklanıyordu ve mevcut ekonomik ortam ve artan beceri eksikliği göz önüne alındığında, her iki durumun da görülmesi muhtemeldir. Kaynaklar daha da azalırsa bu açıkların daha da genişlediğini görebiliriz.
Devam eden bir çalışma
Rapor, siber olgunluğu 'devam eden bir çalışma' olarak tanımlıyor ve bunun nedeni, son iki yılda (2021-2023) ibrenin hareket etmemiş olması. Öneri, daha fazla kuruluşun siber güvenlik duruşlarını standart olarak temellendirmeye başlaması beklenirken benimsemenin durağanlaştığı yönünde. Bunu yapmadan, bir tehdidin işi olumsuz etkilemesini önlemek için hazırlıklı olmaları ve aldıkları önlemlerin sağlamlığı açısından bu zayıflıkların tam olarak nerede olduğunu belirleyemezler.
Ancak kuruluşların siber olgunluk düzeylerini göstermeleri konusunda sigorta sigortacılarının artan baskısı altında olduğu da bir gerçek. Sektörün ödemelerle boğuşması nedeniyle siber sigorta primleri daha pahalı hale geliyor, sağlayıcılar durum tespiti yapmaya ve başarılı bir saldırı riskini azaltmak için belirli önlemlerin alınıp alınmadığını ve gerekli seviye kontrollerinin mevcut olup olmadığını kontrol etmeye yönlendiriyor. Aslında, Kroll'un Siber Savunmanın Durumu 2023 raporuna göre öncüler (yani yüksek düzeyde siber olgunluğa ulaşmaya aktif olarak odaklanmayı seçenler) daha az güvenlik olayı yaşadılar ve bu da sigortacıların haklı olduğunu kanıtlıyor. Ancak bunun sonucunda siber güvenlik duruşlarını değerlendirmeyi tercih etmeyenlerin gelecekte daha yüksek sigorta primleriyle karşı karşıya kalmaları ve hatta kendilerini sigortalanamaz bulmaları muhtemeldir.
Aslında siber olgunluğa ulaşmak için siber güvenlik duruşunu kıyaslamak hiçbir zaman bugün olduğu kadar önemli olmamıştı. Artan tehditler, artan uyumluluk talepleri ve bu zorlu ekonomik dönemde güvenlik harcamaları ve yatırımlarını haklı çıkarma ihtiyacıyla karşı karşıya kalındığında, bir değerlendirme, yönetim kurulunun desteğini kazanmak için gereken somut kanıtların sağlanmasına yardımcı olabilir. Ancak sürücüler oradayken, şu anki sorun kaynak eksikliğidir.
Olgunluk boyuta göre garanti edilmez
Kurum içinde siber olgunluk değerlendirmesi yapmak, her ölçekteki işletme için farklı nedenlerden ötürü zordur. Bazıları risk profillerinden tamamen habersiz olabilir veya örneğin bilgi varlıklarını yalnızca kısmen uygun bir kayıt defterine kaydetmiş olabilir. Küçük işletmeler gerekli kapasiteye veya uzmanlığa sahip değildir ve büyük kuruluşların iç denetimler için özel ekipleri ve bir CIO tarafından denetlenen yerleşik risk yönetimi süreçleri olsa da, genellikle aşırı yük altındadırlar. Bu nedenlerden ötürü çoğu kişi artık süreci üçüncü bir tarafa yaptırmayı seçiyor.
Ancak ilginçtir ki siber olgunluk, kimin en derin ceplere sahip olduğu meselesi değildir. Siber Güvenlik Olgunluk Raporu 2023, en yüksek olgunluğa sahip ülkelerin aynı zamanda en katı düzenlemelere sahip olan ülkeler (Norveç, Hırvatistan ve Japonya) olduğunu ortaya çıkardı. Siber harcamaların daha yüksek olduğu ABD, İngiltere ve Almanya ise geride kaldı. Üstelik KOBİ'ler daha büyük kuruluşları geride bıraktı; ancak bu, öncelikle varlıklarının göreceli büyüklüğüne ve saldırı yüzeyine bağlıydı. Bununla birlikte, risk alanlarının doğru bir şekilde belirlenmesinin ve politikaların ve süreçlerin uygulanmasının siber olgunluk düzeylerinde büyük farklılıklar yaratabileceği sonucuna varıldı.
Süreç neleri gerektirir
Süreci ister kurum içinde ister dış kaynak yoluyla üstlenmeyi tercih edin, olgunluk değerlendirmesi risk bazlı bir uygulamadır ve bu nedenle farklı alanlardaki dayanıklılık düzeyini değerlendirmek için yerleşik bir siber güvenlik çerçevesi kullanılabilir. NIST CSF (Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi) genellikle bu açıdan altın standart olarak tanımlanır ve beş açık alana sahip olduğundan (tanımlama, koruma, tespit etme, yanıt verme ve kurtarma) bu sürece kolayca uyum sağlar. değerlendiricinin koruma seviyesini derecelendirebileceği.
Değerlendirici, genellikle paydaşlarla görüşerek, belgeleri ve politikaları inceleyerek ve operasyondaki süreçleri, prosedürleri ve güvenlik kontrollerini gözlemleyerek bulguları belgeleyecektir. Bakacakları alanlar arasında varlık yönetimi, tedarik zinciri riski, kimlik ve erişim yönetimi (IAM), çalışanların güvenlik farkındalığı, veri koruma, izleme ve tehdit tespiti ile olaylara müdahale ve kurtarma yer alıyor. Son rapor daha sonra her birinin olgunluk düzeyini özetler ve üst düzey yöneticilere iyileştirmelerin nerede ve nasıl yapılabileceği konusunda uygulanabilir tavsiyeler sağlar.
Bilgeye son söz
Ancak işletmenin sahip olduğu yeteneklerin ve kontrollerin metodik olarak değerlendirilmesi sadece başlangıçtır. ISACA raporunun da belirttiği gibi, düzenli olarak ve sıklıkla ve tercihen yılda bir kereden fazla test yapmak da aynı derecede önemlidir; çünkü bu, işletmenin savunma yeteneklerinin, bilgi varlıklarının hassasiyeti ve miktarıyla (aynı zamanda nasıl/nerede depolandıkları ve erişildikleri konusunda sürekli değişen ortam) ve tehdit spektrumu değiştikçe dalgalanacak olan riskler. Bu nedenle, olgunluğun tek yönlü bir süreç olmadığını ve gereken özen ve dikkat konusunda sürekli bir yaklaşım olmadığı, tehditlerin düzenli olarak değerlendirilmediği ve kontrollerin bunlara karşı savunma konusunda ne kadar olgun olduğu olmadığı sürece, işletmenin gerilemesinin mümkün olduğunu hatırlamakta fayda var.
Reklam