Veri koruma, erişim yönetimi, bulut güvenliği, olay algılama ve işleme ve iş sürekliliği: CyberVadis araştırması, üçüncü taraf riskinde artışa yol açan potansiyel boşlukları ortaya çıkarır.
Önde gelen bir üçüncü taraf siber güvenlik risk değerlendirme şirketi olan CyberVadis, şirketlerin beyan ettiği siber güvenlik önlemlerini CyberVadis'in kanıta dayalı değerlendirmelerine karşı analiz etmek için yeni bir çalışma yayınladı. Rapor, onaylanmamış değerlendirmelerden kaynaklanan artan üçüncü taraf riskine yol açabilecek potansiyel boşlukları ortaya çıkarmak için siber güvenliğin beş temel alanına (veri koruma, erişim yönetimi, bulut güvenliği, olay algılama ve müdahale ve iş sürekliliği) odaklanıyor.
Üçüncü taraf siber güvenlik risk değerlendirmesi
CyberVadis, otomasyon hızını uzmanlardan oluşan bir ekibin doğruluğu ile birleştirir ve tedarikçileri siber güvenlik değerlendirmelerine doğrudan dahil eder. CyberVadis, sonuçları güvenlik analistlerinden oluşan bir ekiple doğrular ve BT güvenliğinizi güçlendirmek için ayrıntılı bir iyileştirme planının yanı sıra diğer şirketlerle paylaşılabilecek siber güvenlik değerlendirmeleri oluşturur.
Giderek daha fazla şirket üçüncü taraf hizmetleri kullandıkça, hassas veriler için risk artar. Ancak birçoğu tedarik zincirlerinin güvenlik duruşunu gerektiği gibi anlamıyor veya izlemiyor. Kısıtlı kaynaklar veya zaman eksikliği bu eksiklik için belirleyicidir. Bu rapor için CyberVadis, 1.200'den fazla kuruluştan kendi beyan ettiği siber güvenlik kontrollerini topladı ve sonuçları, bu kontrollerin eksiksiz, sertifikalı bir gösterimine dayanarak kendi değerlendirmeleriyle karşılaştırdı.
Raporun temel bulguları şunları içerir:
Veri koruma durum tespiti her zaman tedariki kapsamaz
Çoğu kuruluş GDPR gerekliliklerinin farkında olsa da, birçoğu dahili veri işleme politikalarına odaklanır ve üçüncü tarafların oluşturduğu tehdidi göz ardı eder. CyberVadis analistleri, üç şirketten birinden daha azının (%29) veri koruma düzenlemelerine olası bir uyumsuzlukla ilişkili riskleri değerlendirdiğini tespit etti. Kuruluşların %49'u çalışanlarını uygun gizlilik uygulamaları konusunda eğitirken, yalnızca %22'si satın alma süreçlerinin uyumluluk ve gizlilik için özel kontroller içerdiğinden emin oluyor.
Kuruluşlar uzaktan erişime izin verir, ancak her zaman güvenli değildir
COVID-19 salgını uzaktan operasyonlara geçişi hızlandırırken, kuruluşların üçte ikisi (%62) sistemlerine uzaktan erişime izin verdiklerini söyledi. CyberVadis, yalnızca %44'ünün güvenli bir uzaktan erişim çözümü kullandığını tespit etti. Biraz daha endişe verici olan ise, yalnızca %37'sinin yüksek ayrıcalıklı hesaplar için gelişmiş kimlik doğrulama yöntemleri uygulamış olması ve değerlendirilen kuruluşların yalnızca %25'inin üçüncü taraf erişim yönetimi tanımlamış olmasıdır.
Bulut sağlayıcılarının tedarikinde ve yönetiminde iyileştirmeye yer var
Buluta hızlı geçişin bir başka göstergesi olarak, kuruluşların %81'i şu anda bulut modellerini kullandıklarını söyledi. Bununla birlikte, yanlış yapılandırılmış bulutlardan ciddi bir kötü amaçlı güvenlik ihlali riski vardır ve rapor, en çok iyileştirmeye ihtiyaç duyulan alanın burası olduğunu ortaya koymuştur. CyberVadis değerlendirmeleri, kuruluşların yalnızca %26'sının bulut sağlayıcılarıyla ilişkili riskleri yönettiğini, %30'unun bulut sağlayıcılarının yerinde bir olay müdahale stratejisine sahip olduğunu ve %34'ünün bulut sağlayıcılarının bir İş sürekliliği planına sahip olduğundan emin olduğunu gösterdi.
Olay yönetimi süreçleri, SIEM'leri içermez veya yinelemeyi önlemez
Günümüz kuruluşları için veri ihlalleri "eğer" değil "ne zaman" sorusudur, bu nedenle uygun şekilde hazırlanmaları gerekir. Bunun merkezinde, siber saldırıların kalıcı hasar meydana gelmeden erken kontrol altına alınmasına olanak tanıyan güçlü olay algılama ve müdahale yetenekleri yer alır. Cesaret verici bir şekilde, değerlendirilen kuruluşların %75'i bir olay yönetimi süreci tanımlamıştır, ancak yalnızca %32'si bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümü uygulamıştır ve yalnızca %32'si, olayların temel nedenini belirlemek için “öğrenilen dersler” sürecine sahiptir. nüks olasılığını belirlemek ve azaltmak.
Kriz yönetimi genel olarak eksik, ancak kuruluşlar bunun yanında
2020, beklenmedik olayları önceden tahmin etmenin ve kritik bir durumla başa çıkmak için gerekli önlemleri almanın önemini göstermiştir. Bununla birlikte, rapor, değerlendirilen kuruluşlarda kriz yönetimi konusunda çeşitli eksiklikleri ortaya koymaktadır. Şirket yöneticilerinin %95'i ilk öz değerlendirmelerinde bunu iyileştirme potansiyeli olarak belirtiyor. CyberVadis incelemeleri bunu doğruluyor çünkü değerlendirilen şirketlerin yalnızca %44'ü bir iş sürekliliği planı tanımlamış ve %22'si planlarını düzenli olarak test ediyor. CyberVadis analistleri ayrıca, değerlendirilen şirketlerin yalnızca %24'ünün tanımlanmış kriz yönetimine sahip olduğunu ve yalnızca %4'ünün düzenli kriz tatbikatları yaptığını da tespit etti. Bu endişe verici çünkü iyi bir kriz yönetimi planı, kendini işine adamış ekibin iyi eğitimli ve büyük bir olay durumunda hemen müdahale etmeye hazır olmasını gerektirir.
Raporun metodolojisi
CyberVadis, ABD, EMEA ve APAC'deki 1.289 kuruluş tarafından beyan edilen siber güvenlik kontrolleri hakkında veri topladı ve bunları CyberVadis platformu aracılığıyla standartlaştırılmış, analist tarafından onaylanmış denetimler kullanarak değerlendirdi. Raporun tamamı çevrimiçi olarak okunabilir ve ayrıca indirilebilir.
Daha fazlası CyberVadis.com'da
CyberVadis Hakkında
CyberVadis, şirketlere üçüncü taraf siber güvenlik risk değerlendirmeleri için uygun maliyetli ve ölçeklenebilir bir çözüm sunar. Yıllık sabit bir ücret karşılığında, CyberVadis platformu aracılığıyla sınırsız sayıda kanıta dayalı değerlendirme gerçekleştiriyoruz. Sezgisel ve kullanıcı dostu platformumuz, NIST, ISO 27001, GDPR ve diğer birçok gizlilik ve güvenlik yasası dahil olmak üzere tüm önemli uluslararası uyumluluk standartlarına uyan bir metodolojiye dayanmaktadır. CyberVadis çözümü, otomasyon hızını uzman ekibimizin doğruluğu ve etkinliği ile birleştirir.