Riski anlamak bir şeydir, ancak kuruluşunuzun gerçekleşen bu risklere dayanmak için gerekenlere sahip olup olmadığını nasıl anlarsınız? Siber olgunluğun oluşturulması, dayanıklılığın, güçlü ve zayıf yönlerin nerede bulunduğunun ve bu güvenlik süreçlerini iyileştirmek için ne yapılması gerektiğinin belirlenmesine yardımcı olabilir.
son zamanlarda Siber Güvenliğin Durumu 2023 raporuISACA, siber olgunluğu devam eden bir çalışma olarak tanımlıyor. Bu referans sadece değerlendirmelerin periyodik olarak yapılması gerektiği gerçeğine değil, aynı zamanda alımın olması gerektiği kadar yüksek olmadığına da işaret ediyor. Düzenli değerlendirme yapanların sayısında (%65) son iki yılda herhangi bir değişiklik olmadı, bu da benimsemenin durduğunu ortaya koyuyor.
Kuruluş içindeki siber olgunluk düzeyinin doğrulanmasına yönelik talebin hiç bu kadar yüksek olmadığı göz önüne alındığında, bu şaşırtıcı görünüyor. Daha fazla tazminat talebine yol açan artan riskler karşısında, siber sigorta sağlayıcıları artık örneğin poliçeler için fiyat teklifi verirken maruz kaldıkları riskleri belirlemek için siber olgunluk değerlendirmeleri için baskı yapıyor. Bu sağlayıcılar artan tehditler (şu anda artan primler, alımın azalması) karşısında pazara nüfuz etmeyi artırmaya çalıştıkça, bu tür taleplerin norm haline gelmesi muhtemeldir.
Değer kattığı yer
Siber olgunluğun belirlenmesinde işletmeye başka açık faydalar da vardır. Güvenlik kontrollerindeki boşlukları (ve dolayısıyla kuruluşa yönelik potansiyel riskleri) tespit ederek, siber güvenlik duruşu hakkında yönetim kuruluna rapor verilmesine yardımcı olabilir; durgunluk ve beceri krizi ortasında C-suite'in ise lazer odaklı olması gerekir. Yatırım söz konusu olduğunda, harcamayı nereye ve nasıl ayıracağınızı tam olarak belirleyebilmek de çok değerlidir.
Ayrıca olgunluğun ölçülmesi, sürekli iyileştirmeyi amaçlayan proaktif, riske dayalı bir süreç olduğundan, bir etkinin olasılığını ve maliyetini de azaltabilir: Kroll'un Siber Savunma Durumu 2023 Raporda siber olgunluk düzeyi yüksek olanların daha az güvenlik olayı yaşadığı ortaya çıktı. Süreç odaklı olduğundan siber olgunluk, bir güvenlik kültürünün işletme içerisine yerleştirilmesine yardımcı olabilir.
Peki alımı engelleyen ne? ISACA raporuna göre başlıca engeller, değerlendirmeyi gerçekleştirmek için gereken süre, bunu gerçekleştirecek personelin yetersizliği ve kurum içi uzmanlık eksikliğidir.
Ancak işletmenin büyüklüğüne bağlı olarak belirgin farklılıklar da vardır: KOBİ'ler bazen etkili veri koruma veya risk yönetimi süreçleri gibi daha az yönetişime sahip olurken, daha büyük işletmeler insan gücüne ve hatta özel bir iç denetim ekibine sahip olsalar bile, daha az yönetişime sahip olabilirler. gergin veya bazı durumlarda deneyimsiz olmak.
Risk kaydının eksik olduğu, kişisel/finansal veriler veya fikri mülkiyet gibi bilgi varlıkları gibi maddi varlıklar içermeyen varlık listelerine sahip kuruluşlar bulmak da alışılmadık bir durum değildir; dolayısıyla bu durumun uygulamanın bir parçası olarak ele alınması gerekir.
Bir siber olgunluk değerlendirmesinin değerli olabilmesi için kapsamlı ve sistematik olması gerekir; böylece tekrarlanabilir ve kaydedilen ilerlemeyi göstermek ve ölçmek için sonuçlar zaman içinde karşılaştırılabilir.
Genellikle değerlendirme, NIST Siber Güvenlik Çerçevesi'nin (CSF) altın standart olarak kabul edildiği kanıtlanmış bir risk çerçevesine dayanır. CSF beş alanı (kimlik, koruma, tespit, müdahale ve kurtarma) kapsar ve değerlendirme, 1'den 5'e kadar değişen bir ölçek kullanarak veya başlangıç, geliştirme, tanımlı, yönetilen gibi sıralamaları kullanarak kuruluşun bu alanların her birinde yeteneğini derecelendirir. veya optimize edilmiş.
Nasıl yürütülür?
Değerlendiriciler, kilit personelle yapılan görüşmeler, belge ve politikaların gözden geçirilmesi ve risklerin ne kadar etkili bir şekilde azaltıldığını belirlemek için süreçlerin nasıl yürütüldüğünü gözlemleyerek olgunluğu değerlendirir.
Değerlendirmeye dahil edilmesi muhtemel alanlar arasında varlık yönetimi, yönetişim, risk değerlendirmesi, tedarik zinciri riski, kimlik yönetimi ve erişim kontrolü, personel farkındalığı ve eğitimi, güvenlik izleme, tehdit tespiti ve yanıt ve kurtarma planlaması yer alıyor. Sonuçlar daha sonra hangi alanların en iyi uygulamayı başardığını ve nerelerde daha fazla eyleme ihtiyaç duyulduğunu belirten kapsamlı bir rapora dönüştürülür.
Egzersizin ne sıklıkla tekrarlanması gerektiği tartışma konusu olmaya devam ediyor. ISACA raporu, değerlendirmelerin ağırlıklı olarak yıllık olarak yapıldığını ortaya çıkardı ancak fikir birliği, giderek daha fazla işletmenin bu değerlendirmeleri daha sık yaptığı yönündeydi.
Bir sonraki en popüler zaman aralığı ise 1-6 ayda birdi. Bunun açık faydaları vardır; çünkü yapılan herhangi bir değişiklik ışığında işletmenin güvenlik duruşunu yeniden değerlendirmesine olanak tanır ve bu bilgiler daha sonra uyumluluk hedeflerini karşılamak ve sigorta primlerini daha da düşürmek için kullanılabilir. Ancak aynı şekilde bazıları, değerlendirmeyi her iki yılda bir ve bazen daha da uzun aralıklarla gerçekleştirerek sadece sürece sözde bağlılık gösteriyor gibi görünüyor.
Evlat edinme büyük ölçüde düzenlemeye dayalıdır. CYESec'ten Siber Güvenlik Olgunluk Raporu 2023Finans, perakende ve sanayi gibi en sıkı düzenlemeye tabi sektörlerin olgunluk açısından en gelişmiş sektörler olduğu açıktır. DORA, PCI DSS 4.0 ve NIS2 gibi risk bazlı düzenlemelerin uygulamaya konulması muhtemelen benimsenmeyi daha da teşvik edecektir.
Benzer şekilde, siber sigorta artık diğer sektörlerde de yönlendirici bir rol üstleniyor ve işletmeleri daha proaktif olmaya ve risk temelli bir yaklaşım benimsemeye zorluyor.
Gerçekten ibreyi hareket ettirmek ve siber olgunluk testini siber güvenlik yönetiminin bir parçası haline getirmek için bunu kuruluşların kendilerini ve etkinliklerini ölçme şeklinin bir parçası haline getirmemiz gerekiyor. İster şirket içinde ister üçüncü bir taraf aracılığıyla yürütülsün, her şekil ve büyüklükteki işletmeyi ilgilendiren bir süreç olarak, siber olgunluk değerlendirmesinin standart uygulama haline gelmemesi ve bunu yaparak raporlamanın, bütçelerin, ve kaynak tahsisinin yanı sıra en iyi uygulamaları ilerletmek.