Kurumların yalnızca üçte biri siber güvenlik süreçlerini kesintisiz bir şekilde uyguluyor
Siber güvenlik alanında dünyanın önde gelen şirketlerinden Trend Micro, dünya genelinde işletmelerin dijital saldırı yüzeylerindeki riski ölçmek ve azaltmak için yeterli kaynak ve liderlik katılımına sahip olmadığını ortaya koyan bir araştırma yayınladı.
Avrasya Bölgesi Teknik Lideri Burçin Olgaç: “Siber güvenlik konusunda net bir liderliğin olmaması, kurum üzerinde felç edici bir etki yaratarak reaktif, parçalı ve düzensiz kararların alınmasına neden olabiliyor. Şirketler, CISO’ların yönetim kurullarının ilgisini çekmek için iş riski açısından net bir şekilde iletişim kurmalarına ihtiyaç duyuyor. İdeal olarak, yönetim kuruluyla güncellemeleri paylaşabilecekleri, riski sürekli olarak izleyebilecekleri ve gelişmiş siber dayanıklılık için sorunları otomatik olarak düzeltebilecekleri saldırı yüzeyinde tek bir doğruluk kaynağına sahip olmaları gerekiyor” dedi.
Trend Micro, saldırı yüzeyi risk yönetimine (ASRM) yönelik tutumlarını daha iyi anlamak için küçük, orta ve büyük ölçekli kuruluşlarda siber güvenlikten sorumlu 2.600 küresel BT yöneticisinin katılımıyla bir anket çalışması gerçekleştirdi.
Katılımcıların siber dayanıklılık konusunda belirttikleri en önemli üç eksiklik şunlar oldu:
· 24x7x365 siber güvenlik kapsamı için yeterli personel, yalnızca yüzde 36’sı bu kapsama sahip
· Saldırı yüzeyinin riskini ölçmek için saldırı yüzeyi yönetim teknikleri (yüzde 35 oranında kullanılıyor)
· NIST Siber Güvenlik Çerçevesi gibi kanıtlanmış düzenleyici ve diğer çerçevelerin kullanımı (yalnızca yüzde34)
Küresel şirketlerin çoğunun bu siber güvenlik temellerini oluşturamaması, kuruluşun en tepesindeki liderlik ve hesap verebilirlik eksikliğinden kaynaklanabiliyor. Katılımcıların yarısı (yüzde 48) yöneticilerinin siber güvenliği kendi sorumlulukları olarak görmediklerini belirtirken yalnızca yüzde 17’si bu ifadeye kesinlikle katılmadığını ifade ediyor.
İş riskinin azaltılmasından kimin sorumlu olduğu veya olması gerektiği sorulduğunda, katılımcılar raporlama hatları konusundaki belirsizliği yansıtan bir dizi farklı yanıtlar verdiler. Neredeyse üçte biri (yüzde 31) nihai karar mercii olarak kurumun BT ekiplerini işaret etti.
Siber güvenlik stratejisine ilişkin bu net yönlendirme eksikliği, küresel katılımcıların yarısından fazlasının (yüzde 54) kurumlarının siber riske yönelik tutumunun tutarsız olduğundan ve aydan aya değiştiğinden şikayet etmesinin nedeni olarak gösterilebilir.
Bu sorunları gidermek için gereken liderlik birçok kurumda mevcut değil. Araştırmaya katılanların neredeyse tamamı (yüzde 96) saldırı yüzeyleri konusunda endişe duyuyor. Üçte birinden fazlası (yüzde 36) yüksek riskli alanları keşfetme, değerlendirme ve azaltma yöntemine sahip olma konusunda endişeli ve beşte biri (yüzde 19) tek bir doğruluk kaynağından çalışamıyor.