17 Ekim’de, AB’nin Ağ ve Bilgi Güvenliği Direktifi 2, kısaca NIS2, siber dayanıklılığı artırmak için tüm üye devletlerde uygulanacaktır. Yeni kurallar, üçüncü taraf risklerinin proaktif bir şekilde yönetilmesine büyük önem veriyor. ISO 27001 veya SOC2 gibi endüstri standardı güvenlik sertifikalarına sahip olmak, uyumlu kalma açısından tartışmaya açık olmasa da, bir şirketin siber hazırlığını yansıtmayabilir.
Uzmanlar, uyumluluk ve güvenlik arasındaki uçurumun her zaman var olduğunu söylüyor. Ancak yeni düzenlemeler, güvenliğin kanıtlanması zorunluluğuna daha fazla vurgu yaparak konuyu ön plana çıkardı.
Bu, kuruluşların güvenlik uygulamalarının daha fazla incelenmesine yol açtı ve Cyber Upgrade CEO’su Aurimas Bakas’a göre, yalnızca kağıt üzerinde uyumlulukla ilgili birçok vakayı açığa çıkardı. Bu, tüm teknik kutuları kontrol eden ancak siber savunma hatlarını güçlendirmek için çalışan bir eylem planı olmayan şirketleri tanımlıyor.
Sertifika Sınırlamaları ve ‘Yalnızca Kağıt’ Sorunu
Bakas, sertifikasyon sürecinin doğası gereği hatalı olmasa da sıklıkla yanlış uygulanabileceğini açıkladı.
“Belgelere lazerle odaklanmak, kuruluşların süreçlerin fiili uygulamasını takip etmemesi ve güvenlik kontrollerinin etkinliğine öncelik vermemesi durumunda yanlış bir güvenlik duygusu yaratabilir” dedi. “Belgeleme ile gerçek uyumluluk arasında büyük bir boşluk var. Birlikte çalıştığımız müşterilerimizin %90’ının, tüm belgelere sahip olmalarına rağmen uyumlu olmadığını söyleyecek kadar ileri gideceğim.”
Karmaşık modern tedarik zincirleri ve hızla gelişen sistemler, birden fazla zayıf nokta oluşturmaya devam ederek saldırganların hassas verilere erişmesine olanak tanıyor. Pek çok müşteri, özellikle de şirket içi siber güvenlik uzmanlarından yoksun ekipler, risklerin KOBİ’ler için bile yüzlerce olduğu olası kör noktalardan habersizdir.
“Güvenlik olaylarının eksikliği, sık sık gerçekleşen ihlaller kadar tehlike işareti de olabilir; hiçbir ortam saldırılara karşı tamamen bağışık olmadığından, bu, tüm tehditleri tespit edecek tespit yeteneklerinin eksikliği anlamına gelebilir. Hazır olup olmadığınızı test etmenin iyi bir yolu bir kişiyi işe almaktır. kırmızı takım – bir grup etik hacker — Gerçek dünyadaki saldırıları simüle etmek ve güvenlik savunmalarının etkinliğini test etmek için” diye önerdi Bakas.
Yalnızca Kağıt Uyumluluğu: İşletmelerde Yaygın Bir Sorun
Yalnızca kağıt uyumluluğu sorunu, büyüklüğü ne olursa olsun çoğu işletmeyi etkilemektedir. Örneğin, küçük kuruluşlar genellikle sağlam güvenlik kontrolleri için gerekli kaynaklardan yoksundur ve bu durum onları büyük ölçüde dış yardıma bağımlı hale getirir ve bu da tesadüfi bir durum olabilir. Öte yandan, daha büyük işletmeler genellikle ISO 27001 sertifikası almak gibi halihazırda kaydettikleri ilerlemelere çok fazla güveniyorlar ve sürekli tehdit izlemeyi ihmal ediyorlar.
“Uyum yalnızca bir temeldir; güvenlik ise sürekli çaba gerektiren devam eden bir süreçtir. Sertifika almak çok önemli, ancak ileriye yönelik olarak düzenleyicileri ikna etmek yeterli olmayacak ve şirket varlıklarını da koruyamayacak. ‘Kıyamet’ hazırlığı her zaman hasar kontrolünden daha iyi olduğundan, öne geçmek en iyisidir.”
İlgili