Siber savunmanızı güçlendirmek göz korkutucu bir görev olabilir. Nereden başlıyorsun? Hangi araçları kullanıyorsunuz? Kaça mal olacak? Peki hiçbir şey yapmazsanız neyi kaybetme riskiyle karşı karşıya kalırsınız? Bu soruları cevaplamak her zaman kolay değildir ancak kesin cevapların olmadığı durumlarda siber güvenlik olgunluğunuzu geliştirmekte zorluk yaşayabilir ve kendinizi siber saldırılara açık bırakabilirsiniz.
CIS Kritik Güvenlik Kontrolleri (CIS Kontrolleri) ekibi, bu soruları yanıtlamanıza yardımcı olmak için Siber Savunmanın Maliyeti: Uygulama Grubu 1 (IG1) adlı bir kılavuz yayınladı. Kılavuzun amacı, sizinki gibi kuruluşlara, CIS Kontrollerinin Uygulama Grubu 1’inde (IG1) belirtildiği gibi, temel siber hijyeni sağlamanın ne kadar gerçekçi ve uygun maliyetli olabileceğine dair gerçek dünya görüşü sağlamaktır. Bu bilgiler, her düzeydeki uzmanlığa sahip bireylerin, siber savunmayı güçlendirmek için bilinçli ve öncelikli kararlar almasına yardımcı olacaktır. Yönetici ekibin üyeleri (örneğin, CEO, CFO, CISO, CIO) ve BT yöneticileri de dahil olmak üzere çok sayıda farklı hedef kitle de bu kılavuzdan yararlanabilir.
Hiçbir şey yapmazsan neyi riske atarsın
Bir kuruluşa yönelik siber saldırı riski her zamankinden daha fazladır. Ağlara sürekli olarak cihazlar ekleniyor, bu da dijital ayak izini artırıyor ve saldırganın bu cihazlardaki zayıf noktalardan yararlanması için daha fazla fırsat sağlıyor. Her büyüklükteki işletme siber saldırı riski altındadır; ancak küçük ve orta ölçekli işletmeler (KOBİ’ler), küçük bütçeler ve sınırlı kaynaklar nedeniyle genellikle daha fazla risk altındadır. Accenture tarafından yayınlanan 2021 raporuna göre siber saldırıların %43’ü küçük işletmeleri hedef alıyor ancak KOBİ’lerin yalnızca %14’ü bir saldırıya karşı savunmaya hazır.
Siber saldırının ciddiyetine bağlı olarak kurtarma maliyetleri binlerce ila milyonlarca dolar arasında değişebilir. Zararlar, saldırının kapsamı ve derinliğinin yanı sıra saldırganın ağda ne kadar süre kaldığı (örneğin günler, aylar, yıllar) dahil olmak üzere saldırının niteliğine bağlıdır. Bazı işletmeler için bir siber saldırıdan kurtulmanın maliyeti, yıllık gelirlerinin tamamı olmasa da bütçelerinin önemli bir kısmını oluşturabilir. Hatta bazı işletmeler siber saldırı yaşadıktan sonra iflas bile etti. Cisco tarafından yayınlanan bir rapora göre, “Küçük ve orta ölçekli işletmelerin %60’ı bir siber saldırının ardından altı ay içinde kapanıyor.”
Nereden başlayabilirsiniz: Makul bir maliyetle temel siber hijyen
Her kuruluş, siber güvenlik için makul bir maliyetle makul bir başlangıç noktası ister. CIS Kontrolleri, etkili bir siber savunma programı oluşturmak için uygulayabileceğiniz öncelikli eylemler dizisidir. Buradaki anahtar kelime öncelikli.
CIS, CIS Kontrollerinin IG1’iyle başlamanızı önerir çünkü bu alt küme, herhangi bir kuruluş için “temel siber hijyen” olarak bilinen şeyi oluşturur. Daha sonra daha karmaşık karşı önlemleri uygulamak için bir temel oluşturmak amacıyla kullanabileceğiniz ‘yapmanız gereken’ eylemlerin bir listesini içerir. Örneğin, daha karmaşık rakiplerle karşı karşıya kalan ve daha hassas verileri veya hizmetleri koruyan daha büyük kuruluşlar, Uygulama Grubu 2 (IG2) ve/veya Uygulama Grubu 3’te (IG3) Koruma Önlemlerini uygulamaya geçebilir.
Yol boyunca size yardımcı olacak araçlar
IG1, Koruma Önlemleri adı verilen 56 eylemden oluşur. Bu, IG1’i uygulamak için 56 ayrı aracı dağıtmanız gerektiği anlamına gelmez. Aslında, Koruma Önlemlerinin çoğunu bir veya birkaç araç kullanarak gerçekleştirebilirsiniz. IG1’deki Koruma Önlemlerini sindirilebilir bir formata indirgemek için 18 Kontrolü temsil edecek 10 kategori (örneğin Varlık Yönetimi, Veri Yönetimi) seçtik. Oradan, onları desteklemek için gereken politikalarla birlikte bir dizi genel araç türü oluşturduk ve bunları IG1 Korumalarıyla eşleştirdik. Bu araçlar satıcıya özel değildir; benzer araçlar gerektiren Koruma Önlemlerini bir arada gruplandırmaları açısından geneldirler. Örneğin, bir “Kurumsal ve Yazılım Varlık Envanteri Yönetim Aracı”nın edinilmesi, Koruma Önlemleri 1.1, 1.2, 2.1, 2.2, 2.3, 9.1 ve 12.1’in karşılanması için kullanılabilir. IG1 ile güvenli bir temel oluşturma hakkında daha fazla bilgi edinmek ister misiniz? Videomuza göz atın.
Kuruluşunuz, IG1’deki bazı Koruma Önlemlerini uygulamaya yönelik araçlara halihazırda sahip olabilir (veya önceden var olan platformlara kolaylıkla ekleme yapabilir). Örneğin, Microsoft ürünlerini kullanıyorsanız, bu eylemlerin çoğunu gerçekleştirecek yerleşik veya ek yeteneklere (örneğin, BitLocker, Active Directory) zaten sahip olabilirsiniz.
Size ne kadara mal olacak
Dolar ve sent söz konusu olduğunda, bir bütün olarak sektör, bir siber saldırının maliyetini hesaplamak için birçok girişimde bulundu. Siber savunma uygulama maliyetlerinin tahmin edilmesi konusunda aynı şey söylenemez. Ancak bu ölçümlerin her ikisini de bilmenin değeri var. Bir işletmenin neye harcama yapabileceğini bilmek önlemek Neye harcamaya istekli olduklarını bildiğinizde bir saldırı yararlı olur iyileşmek bir saldırıdan. Örneğin, bir siber saldırıdan kurtulmanın maliyeti 1,25 milyon dolarsa ancak bir kuruluş bir dizi güçlü siber savunmayı uygulamaya yalnızca 1 milyon dolar harcayabiliyorsa hangisini seçmelidir?
IG1 Koruma Önlemlerinin maliyetini tahmin etmek için bir işletmenin bunları uygulamak için ihtiyaç duyduğu araçlara baktık. Araçlar birçok şekilde fiyatlandırılır; en yaygın olanı şu şekildedir: çalışan sayısına, kullanıcıya, iş istasyonu/sunucu sayısına ve/veya kullanıma göre (örneğin megabayt, gigabayt, saat). BDT oluşturuldu IG1 Kurumsal Profilleri maliyetleri hesaplama sürecini kolaylaştırmaya yardımcı olmak.
Tahminimiz, araçların ticari olarak desteklenen sürümlerinin edinilmesi ve dağıtılmasının, her büyüklükteki kuruluşun Bilgi Teknolojisi (BT) bütçesinin %20’sinden az olması gerektiğini göstermektedir. Bunları desteklemek için gerekli politikaların uygulanmasının ek yükünü eklese bile, IG1 Korumaları herhangi bir kuruluş için siber güvenlik için makul, gerekli ve etkili bir başlangıç noktası sağlayabilir. Bulgularımız zaten doğru olduğunu düşündüğümüz şeyi güçlendiriyor: bir kuruluş IG1’deki Koruma Önlemlerini nispeten düşük bir maliyetle uygulayabilir ve Koruma Önlemleri en küçük işletmeler için bile temel ve ulaşılabilir bir dizi güvenlik eylemi oluşturur.
Siber Savunma kılavuzumuz nasıl kullanılır?
Bu rehber beş ana bölümden oluşmaktadır.
1. İlk bölüm, farklı büyüklükteki işletmeler için IG1’i uygulama maliyetini tahmin etmeye yönelik metodolojimizi açıklamaktadır.
2. İkinci bölümde Koruma Önlemleri kısaca tartışılmaktadır.
3. Üçüncü bölüm IG1 Kurumsal Profillerini özetlemektedir.
4. Dördüncü bölüm, Koruma Önlemlerini uygulamak için gereken araç türlerini tanımlamaktadır.
5. Son olarak, beşinci bölüm, üç farklı IG1 Kurumsal Profili için araçların dağıtılmasının maliyetini tahmin etmektedir.
Uygulayıcılar, bu kılavuzun eklerinde, her bir aletin maliyetini daha da düşürmeye yardımcı olacak ve aynı zamanda bu aletleri satın alırken dikkate alınması gereken çeşitli hususlara ilişkin bazı bilgiler sağlayacak değerli bilgiler bulabilirler. Ek olarak, bütçeleme ve/veya uygulama amacıyla kullanmak isterlerse kullanıcıların indirebileceği bir e-tablo da mevcuttur.
IG1’i uygulamanın ne kadar uygun maliyetli olduğunu görmeye hazır mısınız? Siber Savunmanın maliyetini indirin