Siber güvenlik özünde bilgisayar sistemlerini, ağlarını ve verilerini hırsızlıktan, hasardan veya yetkisiz erişimden koruma uygulamasıdır. Korumaya ihtiyaç duyulan yerde risk yönetimine de ihtiyaç vardır.
BT güvenliğinde risk, teknik altyapıyla veya kuruluşunuzun teknoloji kullanımıyla ilgili kayıp veya zarar potansiyelini ifade eder. Bu risk, hem siber tehdidin gerçekleşme olasılığını hem de potansiyel etkisini kapsar.
Risk hakkında anlaşılması gereken temel fikir onun kaçınılmaz olduğudur. Ancak her bir riski azaltmak hem aşırı derecede pahalı hem de kaynak yoğundur.
Bu makale, siber risk kabulüne yönelik bir kılavuz sunmakta ve bilinçli risk kabul kararları vermede sürekli sızma testinin değerli rolünü özetlemektedir.
Siber Güvenlik Bağlamında Risk Kabulünün Tanımlanması
Risk kabulü, bir kuruluşun potansiyel etkiye dayalı olarak hangi riskleri kabul edebileceğine karar verdiği bir stratejidir. CISO’lar, diğer idari karar vericilerle işbirliği içinde, hangi risklerin kuruluş için en büyük tehditleri oluşturduğunu ve hangi risklerden kaçınılması, aktarılması, hafifletilmesi veya kabul edilmesi gerektiğini belirlemek için en iyi konumdadır.
Aslında tanımlamaya değer farklı risk kabul seviyeleri vardır:
Riski sonsuza kadar kabul edin
Bu, bilinen bir güvenlik açığını veya tehdidi kabul etmek ancak bunu düzeltmemek konusunda bilinçli bir karar vermeniz anlamına gelir. Bir riski sonsuza kadar kabul etmek, onu görmezden geldiğiniz anlamına gelmez. Bunun yerine, bu kabul düzeyi, dikkatli bir değerlendirmenin ardından şirketinizin mevcut operasyonel bağlamda riski tolere edilebilir olarak değerlendirdiği anlamına gelir.
Örneğin, kritik olmayan bir sistemi etkileyen, istismar edilme şansı çok düşük olan ve düzeltilmesinin orantısız derecede yüksek maliyet gerektirdiği küçük bir yazılım güvenlik açığını kabul edebilirsiniz.
Geçici olarak kabul et
Bu risk kabul düzeyi, bir riskin gerçekleşme etkisini veya olasılığını azaltmak için en sonunda kontrollerin, politikaların veya prosedürlerin uygulanmasına yönelik bir karar almayı içerir.
Burada, riski geçici olarak kabul ediyorsunuz, ancak belirli bir sayıda gün sonra, ister bir yazılım güncellemesi olsun, ister bir sistemin İnternet’ten engellenmesi olsun, azaltım uygulamak için bunu takip ediyorsunuz.
Riski aktarma
Risk transferi, bir riskin sorumluluğunun veya yükünün üçüncü bir tarafa aktarılmasını gerektirir. Genellikle bu, bir siber sigorta poliçesi satın alınarak gerçekleşir. Risk aktarımının başka bir yöntemi de belirli BT işlevlerini dış kaynaklardan temin etmek veya üçüncü taraf bulut sağlayıcılarını kullanmaktır.
Risk burada ortadan kalkmadı; bunun yerine riski azaltma görevini başka bir işletme üstleniyor.
Şimdi ortadan kaldır
Bu senaryo, riskin mümkün olan en kısa sürede ortadan kaldırılmasının operasyonel işlevselliği korumak veya verileri ve sistemleri yakın tehditlerden korumak açısından önemli olduğu durumlarda geçerlidir. Kritik yazılım güvenlik açıkları genellikle bu risk kapsamına girer.
Burada hiçbir şekilde risk kabulü yoktur çünkü belirli bir riskin potansiyel sonuçlarını kabul etmeyi reddedersiniz.
Risk kabulünün çeşitli türleri, her tehdidin anında eyleme geçmeyi garanti etmediği ve her güvenlik açığının anında düzeltilmesini gerektirmediği siber güvenliğin incelikli doğasına örnek teşkil etmektedir.
Siber Risk Kabulüne İlişkin En İyi Uygulamalar
- Herhangi bir riski kabul etmeden önce, onu potansiyel etkisi ve gerçekleşme olasılığı açısından uygun şekilde değerlendirin. Rehberlik için NIST’in Siber Güvenlik Çerçevesi veya ISO/IEC 27005 gibi yerleşik çerçeveleri kullanın.
- BT, operasyonlar, hukuk ve riskten etkilenen belirli iş birimleri gibi farklı departmanlardan paydaşları dahil edin. Bu alanlarda üst düzey karar vericilere danışın çünkü onlar bu stratejik güvenlik kararlarını bilgilendirmek için en iyi konumdaki paydaşlardır.
- Kabul nedenleri, beklenen etki, karara dahil olan paydaşlar ve kabul tarihi dahil olmak üzere, kabul edilen her riskin ayrıntılı bir kaydını tutun.
- Risklerin ciddiyetini tutarlı bir şekilde değerlendirmek ve BT risk ortamınız genelinde karar almada tekdüzelik sağlamak için standartlaştırılmış bir risk puanlama veya derecelendirme sistemi uygulayın. Bunu yapmak güveni artırır ve herkesin potansiyel güvenlik açıkları hakkında bilgi sahibi olmasını sağlar.
- Önceden kabul edilen risklerin tolere edilebilir kalmasını sağlamak için periyodik incelemeler planlayın. Kuruluşunuz geliştikçe, BT ortamı değiştikçe veya tehdit ortamı değiştikçe bazı risklerin yeniden değerlendirilmesi gerekebilir. Tehditlerin gelişen doğasını anlamak için tehdit istihbaratınızı düzenli olarak güncelleyin. Bugün kabul edilebilir bir risk, değişen bir tehdit ortamında olmayabilir.
- Sistemler ve teknolojiler değiştikçe kuruluşunuzun risk profili de değişebilir. Bu sorunu çözmek için, önemli değişiklikler meydana geldiğinde risklerin yeniden değerlendirilmesini sağlamak amacıyla risk kabul uygulamalarını değişiklik yönetimi süreçleriyle entegre ettiğinizden emin olun.
- Düzenleyici gereklilikler, müşteri beklentileri ve sektör standartlarının tümü hangi risklerin kabul edilebilir olduğunu etkileyebilir; bu nedenle her zaman daha geniş bağlamı göz önünde bulundurun.
- Dış denetimler, sızma testleri ve istişareler, risk kabul kararlarına ilişkin yeni bir bakış açısı sağlayabilir. Bu harici doğrulamalar kör noktaları ortaya çıkarabilir ve dahili değerlendirmeleri doğrulayabilir.
Risk Kabul Kararlarının Yeniden Gözden Geçirilmesi
Dijital ortam sürekli geliştikçe önceden kabul edilen risklere ilişkin tutumunuz da aynı şekilde gelişmelidir. Tehdit ortamlarının dinamik doğası, değişim karşısında siber dayanıklılığı en üst düzeye çıkarmak için risk kabul kararlarının düzenli olarak yeniden gözden geçirilmesini gerektirmektedir.
Risk kabul kararının yeniden değerlendirilmesi ihtiyacının acil hale geldiği durumlar olacaktır.
Bu tetikleyici olaylar arasında bir veri ihlali yaşanması, daha önce kabul edilen bir riskin düşünülenden daha ciddi bir güvenlik açığı olduğunu ortaya çıkaran bir kalem testi veya ortamınıza yeni bir sistem, yazılım veya donanım getirilmesi yer alır.
Tetiklenen bu incelemelerin yanı sıra, risk kabul kararlarını periyodik olarak planlı bir şekilde yeniden gözden geçirmek de akıllıca olacaktır.
Risk Kabulünde Sürekli İzlemenin Rolü
Bugün bir riski kabul etme kararı sizi bu duruşa bağlamaz. Siber ortamın akışı göz önüne alındığında, sürekli sızma testi uygulamak, risk kabul kararlarını yönlendirmek için bir pusula görevi görür.
Geleneksel, anlık değerlendirmelerin aksine, sürekli izleme, kuruluşunuzun güvenlik açıklarının ve bunların potansiyel sonuçlarının gerçek zamanlı olarak anlaşılmasını sağlar.
Outpost24’ün Hizmet Olarak Sızma Testi (PTaaS), web uygulamalarınızı geniş ölçekte güvence altına almaya yönelik kapsamlı bir PTaaS çözümüdür.
Outpost24’ün PTaaS çözümü, bağlama duyarlı risk puanlaması ile sürekli izleme durumunu sağlar. Outpost24, web uygulamalarını geniş ölçekte güvenli hale getirmek için manuel sızma testinin derinliğini ve hassasiyetini güvenlik açığı taramasıyla birleştirir.
Tüm bulgular, doğrulama ve düzeltme rehberliği için güvenlik uzmanlarına doğrudan erişimle birlikte hakem incelemesinden geçirilir. Bu, kuruluşunuzun bilinçli kararlar almasına ve işinize yönelik en yüksek risklere göre iyileştirme çabalarına öncelik vermesine yardımcı olmada çok önemli bir rol oynar.
Siber risk değerlendirmesinde çeviklik çok önemlidir. Her gün yeni güvenlik açıkları keşfediliyor ve tehdit aktörleri, zayıf noktalardan farklı şekillerde yararlanmak için taktiklerini sürekli olarak geliştiriyor.
Yaklaşımınızda çevik olmak, kararları yeniden değerlendirmeye açık olmak, yeni bilgilere uyum sağlamak ve potansiyel tehditlerin önünde kalma konusunda proaktif olmak anlamına gelir.
PTaaS hakkında daha fazla bilgiyi burada bulabilirsiniz.
Outpost24 sponsorluğunda ve yazılmıştır