WithSecure’a göre kuruluşlar, siber güvenliğe karşı reaktif bir yaklaşım izliyor ve bu da değer gösterme ve iş sonuçlarıyla uyum sağlama konusundaki ilerlemelerini engelliyor.
Çalışmada ankete katılanların %83’ü sonuca dayalı güvenlik çözümleri ve hizmetleriyle ilgileniyor, bunları benimsemeyi planlıyor veya benimsemelerini genişletiyordu.
Çoğu kuruluşta reaktif siber güvenlik yaklaşımı hakimdir
Ancak çalışma, çoğu kuruluşun şu anda siber güvenliğe reaktif bir temelde yaklaştığını da ortaya çıkardı. Ankete katılanların %60’ı bireysel siber güvenlik sorunları ortaya çıktıkça tepki verdiklerini söyledi.
Sektöre göre bazı farklılıklar vardı: Yüksek oranda düzenlenmiş finansal hizmetler sektörünün yarısından biraz fazlasına kıyasla, üreticilerin %71’i bu tepkiselliğin altını çizdi.
Sektörden bağımsız olarak, yanıt verenler ezici bir çoğunlukla reaktif yaklaşımın kuruluşları için sorunlu olduğunu hissettiler. %90’ı siber güvenlik sorunları ortaya çıktıkça tepki gösterdiklerinde zorluklarla mücadele ettiklerini söyledi. Bu, siber güvenlik bütçelerinin büyümesine ve yanıt verenlerin %71’inin her yıl siber güvenliğe daha fazla harcama yaptıklarını kabul etmesine rağmen gerçekleşti.
Siber risklerin görünürlüğü, gerekli becerilerin ve kaynakların bulunması ve hızlı ve etkili bir şekilde yanıt verilmesi, katılımcılar tarafından vurgulanan en yaygın zorluklar oldu.
İşletmeler için sonuca dayalı siber güvenliğin önemi
“Günümüzde siber güvenlik yatırımlarının çoğu siber risklerin azaltılmasına yöneliktir. Ancak sorun, hafifletilmekte olan riskler işletmenin ulaşmak istediği sonuçlar için en önemli riskler olmadığında ortaya çıkar. Bu, ya siber güvenlik yatırımlarının işletmeyle bağlantısının tamamen kesilmesine ya da siber güvenliğin uygun finansmanı hiç alamamasına neden olabilir,” diye açıklıyor WithSecure STK’sı Christine Bejerasco.
Forrester araştırmasına göre sonuca dayalı siber güvenlik, iş liderlerinin geleneksel tehdit, faaliyet tabanlı veya yatırım getirisi tabanlı yöntemlerin aksine yalnızca istenen sonuçları ölçülebilir şekilde sağlayan yetenekleri geliştirerek siber güvenliği basitleştirmelerini sağlayan bir yaklaşımdır.
Ankete katılanların güvenliğin desteklemesini istediği en yaygın sonuçlar arasında risk yönetimi yer alıyor; ankete katılanların %44’ü en önemli siber güvenlik hedeflerine ulaşmak için riski azaltmak istiyor; müşteri deneyimini geliştirmek için güvenlik isteyen katılımcıların %40’ı ile müşteri deneyimi; ve katılımcıların %34’ü tarafından vurgulanan gelir artışı.
Yanıt verenlerin çoğu güvenliğin elde etmelerine yardımcı olmasını istedikleri net sonuçlara sahipken, yalnızca beş kuruluştan biri siber güvenlik öncelikleri ile iş sonuçları arasında tam bir uyum olduğunu iddia etti.
Siber güvenliği iş sonuçlarıyla uyumlu hale getirme
Karmaşık bir BT ortamını yönetmek, çelişen siber güvenlik ve iş hedeflerini ele almak ve algılama teknolojilerinin istenen sonuçlarını sürdürmek dahil ancak bunlarla sınırlı olmamak üzere, siber güvenliği iş sonuçlarıyla uyumlu hale getirme çabalarını sorunsallaştıran çok sayıda engel vardır.
Bununla birlikte, güvenlik önceliklerinin iş sonuçlarını desteklemeye ne kadar iyi yardımcı olduğunu değerlendirmek de aynı derecede sorunluydu. Katılımcılar tarafından vurgulanan önemli zorluklar şunları içermektedir:
- %42’si, menkul kıymet değerini değerlendirmek için mevcut ve hedef durum olgunluğu konusunda yetersiz bilgiye sahip.
- %37’si siber güvenlik değerini ölçmekte zorlanıyor.
- %36’sı tutarlı ve anlamlı verileri yakalamada zorluklarla karşılaşıyor.
- %28’i değer gösterirken güvenlik paradoksunu iletmeyi zor buluyor.
- %23’ü siber güvenlik ölçümlerini yönetim kurulu düzeyinde anlamlı içgörülere dönüştürmekte zorlanıyor.