CRQ, güvenlik iyileştirmelerini belirleyebilir, uygulamaya öncelik verebilir ve güvenlik yatırımlarını gerekçelendirebilir. Kuruluşunuz için çalışmasını nasıl sağlayacağınız aşağıda açıklanmıştır.
Bruno Farinelli, Kıdemli Operasyon ve Analitik Direktörü, ClearSale
Dijital dolandırıcılık ve güvenlik riskleri her zaman yanımızda ve işletmeler yeni kanallar açtıkça ve suçluların istismar etmeye çalıştığı yeni teknolojileri benimsedikçe sürekli değişiyorlar. Veri ihlalleri, her yıl milyonlarca müşteri kaydının ihlal edilmesi ve hatta parola yöneticilerinin savunmasız hedefler haline gelmesiyle özellikle zorlu bir sorundur. Dolandırıcılık, kimlik sahtekarlığı ve dolandırıcılıkla ilgili dolandırıcılıkların 2021’de yalnızca ABD’de 52 milyar dolarlık kayba yol açmasıyla yıldan yıla artmaya devam ediyor.
Bu arada, hibrit çalışma politikaları, otomasyon ve IoT uygulaması, sosyal ve metaverse ticaret ve diğer eğilimler, teknolojiye ve kanal saldırı yüzeyine karmaşıklık katıyor. Tüm bunlar, şirketlerin siber güvenlik konusunda sürekli bir yetenek eksikliğiyle karşı karşıya kaldığı ve yavaşlayan küresel ekonomik büyüme ışığında harcamalarını yeniden değerlendirdiği bir dönemde yaşanıyor. Güvenlik ve risk yönetimi liderlerinin, teknoloji ve yetenek yatırımlarını gerekçelendirmek için şirketlerinin karşı karşıya olduğu belirli riskleri tanımlaması ve bu riskleri diğer paydaşların anlayabileceği bir şekilde iletmesi gerekir.
Rakamlarla siber risk
Güvenlik yöneticileri, bütünsel risk profillerini anlamak için giderek artan bir şekilde siber risk ölçümünü (“CRQ”) kullanıyor. CRQ, veri ihlallerini, uyumluluk cezalarını, dolandırıcılığı ve müşteri güvenini kaybetmeyi önlemek için güvenlik iyileştirmelerinin planlanmasına yardımcı olabilir. Ayrıca, liderlerin güvenliğe yetersiz yatırım yapma risklerini yönetim kurulu üyelerine ve C-suite’e göstermek için ihtiyaç duyabilecekleri ölçütler sağlayabilir.
CRQ, Gartner tarafından “riske maruz kalmayı ölçen ve bunu finansal veya işle ilgili birimlerde ifade eden herhangi bir risk değerlendirmesi” olarak tanımlanan bir faaliyettir. CRQ, belirli risklerin olasılığını ve potansiyel maliyet etkisini derecelendiren bir ölçek kadar basit olabilir. Ayrıca yapay zeka destekli istatistiksel modelleme ve devam eden risk analizi ile oldukça karmaşık olabilir. Forrester, CRQ yaklaşımlarının çeşitliliğini “tehdit ısı haritasından 5×5 ızgaraya ve firmanın bunları nasıl ele aldığına dair bir akış şemasıyla en son tehditlerin listesine kadar her şey” olarak tanımlıyor. 2024 yılına kadar, güvenlikle ilgili karar vericilerin %68’i yapay zeka ve makine öğrenimi kullanan CRQ’yu uygulamayı planlıyor.
Kullanılan özel yöntem ne olursa olsun, CRQ, güvenlik liderlerinin karşılaştığı en yaygın sorunlardan biri olan bir kuruluşun siber riskleri ve bunların potansiyel finansal sonuçları hakkında üst düzey yöneticilerin anlayış eksikliğini gidermeye yardımcı olabilir. 2021’de BT liderlerinin sadece yarısı, kuruluşlarının yöneticilerinin “siber riskleri tamamen anladığını” düşünüyordu. Kriterlerin ve KPI’ların oluşturulmasına izin verecek şekilde riski ölçerek CRQ, BT liderlerinin güvenlik yatırımlarının değerini göstermelerine ve bu yatırımları korumanın ve hatta büyümeyi artırmanın yolları olarak sunmalarına yardımcı olabilir. Deloitte’un 2023 Küresel Siber Gelecek Araştırması’nın belirttiği gibi, siber güvenlik “iş sonuçları elde etme çerçevesinin önemli bir parçası haline geliyor.”
Mevcut siber risk çerçevelerini anlama
CRQ’yu uygulamak isteyen liderlerin seçebilecekleri çeşitli çerçeveler vardır. Bilgi Riskinin Faktör Analizi (FAIR) en iyi bilinen seçenektir ve tüm paydaşlara riski anlamaları ve risk hakkında konuşmaları için ortak bir yol sağlamak amacıyla riski “finansal terimlerle” ifade eder.
Bu yaklaşım, mevcut niteliksel risk yönetimi çerçevelerinden farklıdır. NIST Siber Güvenlik Çerçevesi (CSF), kuruluşlar genelinde riski değerlendirmek için federal olarak desteklenen bir değerlendirme listesidir. Federal kurumların siber risklerini bu araçla değerlendirmeleri gerekiyor, ancak diğer sektörlerdeki kuruluşlar, özellikle kritik altyapı ve üretim alanlarında bu aracı gönüllü olarak benimsedi. ISACA ve MITRE tarafından yayınlananlar gibi diğer çerçeveler de kapsamlı risk tanımlamasına yardımcı olabilir ancak bunu dolar olarak ifade etmez.
Tüm bu çerçeveler, yararlı sonuçlar elde etmek için çok fazla veri ve zaman gerektirir; bu, ekipleri zaten çok geniş olan BT liderleri için göz korkutucu bir ihtimal olabilir. Gerçek zamanlı veriler karar vermek için tercih edilen kaynak olduğundan, ilgili zaman da çerçeve bulgularının etkisini zayıflatabilir.
Yeni CRQ çözümlerini uygulama
Yeni CRQ satıcıları, veri toplama ve analizini otomatikleştirerek risk içgörülerini daha hızlı elde etmenin bir yolunu sunuyor. Forrester, CRQ araçları için mevcut riski ölçmek, mevcut güvenlik yatırımlarının ROI’sini tanımlamak, risk düzeltmeye öncelik vermek ve yeni yatırım için durum oluşturmak dahil olmak üzere birkaç optimum kullanım durumunu açıklamaktadır. Analist firma aynı zamanda CRQ alanını gelişmekte olan ve dinamik olarak tanımlıyor ve çoğu ürün “prototipleme aşamasında”.
Alanın nispeten yeni olması ve hızlı bir şekilde değişmesi nedeniyle Forrester, bütünsel risk ölçümünü ele almak için herkese uyan tek bir sağlayıcı bulmaya çalışmak yerine, belirli kullanım durumlarını destekleyen CRQ çözümlerinin seçilmesini önerir. Herhangi bir kavram kanıtı, verilmesi gereken bir kararla ilgili değeri kanıtlamak için tek bir kullanım durumuna odaklanmalıdır. Oradan, aynı tedarikçi firma ile kullanım durumlarını genişletmek, farklı bir tedarikçi firma ile başka bir kavram kanıtı çalıştırmak veya farklı bir kullanım durumu için başka bir tedarikçi firma seçmek mümkün olabilir.
Her bir nicel analizden elde edilen veriler, risk azaltma ve yatırım getirisi açısından ilerleme için kıyaslamalar oluşturmak üzere kullanılabilir, böylece BT ilerlemeyi izleyebilir ve raporlayabilir. CRQ çözümleri daha olgun ve kapsamlı hale geldikçe, güvenlik liderleri riskleri değerlendirmek ve tanımlamak, bu riskleri azaltmak için planlar yapmak ve kuruluşlarını koruyan yatırımları savunmak için daha fazla seçeneğe sahip olacak.
yazar hakkında
Bruno Farinelli, biyometri ve göz atma davranışı konusunda uzmandır ve ClearSale’de Kıdemli Operasyonlar ve Analitik Direktörü olarak görev yapmaktadır. Bruno, Brezilya’nın en iyi Üniversitesi UNICAMP’tan İstatistik alanında lisans derecesine ve Latin Amerika’daki en tanınmış Teknoloji Enstitülerinden birinden (FIAP) İş Zekası alanında MBA derecesine sahiptir. LinkedIn, Facebook, Instagram’da takip edin Twitter @ClearSaleUSveya https://www.clear.sale adresini ziyaret edin.