2023'te güvenlik departmanları, güvenlik açığı yönetimi ve tedarik zinciri güvenliği konusunda daha amaçlı çalışmalıdır. Bu, güvenlik sağlayıcısı Ivanti tarafından yayınlanan "Güvenliğe Hazırlık Durumu 2023" araştırmasının temel bir sonucudur.
Uluslararası meslektaşlarının aksine, Alman güvenlik departmanlarının olgunluk derecesi yalnızca vasattır. Bu, özellikle zayıf noktaların ele alınması ve şirketin kendi dağıtım zincirindeki iş ortaklarına yönelik güvenlik eğitimleri gibi işle ilgili kritik konularda belirgindir.
Alman güvenlik ekiplerinin yapması gereken bazı şeyler var
Ivanti araştırmasına göre, Alman BT güvenlik departmanlarının olgunluk derecesi, komşu Avrupa ülkeleri ve dünya çapından önemli ölçüde daha düşük. Ulusal ve küresel güvenlik düzenlemeleri, politikaları ve prosedürlerine uyma konusunda yanıt verenlerin yalnızca %19'u ekiplerini gelişmiş ve kanıtlanmış olarak değerlendiriyor. İngiltere, Fransa ve uluslararası ortalamada, şirketlerin yaklaşık %30'u bu en yüksek savunma seviyesindedir. Kendi değerlendirmelerine göre, Alman güvenlik ekiplerinin çoğunluğu (%36) bu soruda sadece “orta düzeyde”.
Zayıf öz değerlendirme doğrulandı
Bu öz değerlendirme, BT ekiplerinin siber programlarını değerlendirmek için kullandıkları yöntemlerle desteklenir. Bu yöntemlerin kalitesi, programların ne kadar sağlam temellere dayandığının ve uygulandığının bir göstergesi olabilir. Siber güvenlik olgunluk modelleri, uluslararası ortalamayla karşılaştırıldığında Almanya'da yalnızca küçük bir rol oynamaktadır. Bu ülkedeki şirketlerin sadece 1/3'ü bu modellerle çalışıyor - dünya genelinde bu oran 2/3. İlgili finansal verilerin maruz kaldığı riskin değerlendirilmesi söz konusu olduğunda da durum benzerdir. Ankete katılan Almanya'daki güvenlik uzmanlarının 1/3'ü, güvenlik konumlarını bir Finans Veri Risk Değerlendirmesine (FinDRA) dayalı olarak belirliyor. Ancak, Birleşik Krallık ve ABD'de meslektaşlarının neredeyse iki katı (%61, %62) bu ölçüm üzerinde çalışıyor.
Bir kuruluşun kendi güvenlik seviyesini doğru bir şekilde belirleme yeteneği, en azından şirkette kullanılan sistemlere ve çözümlere ilişkin içgörüye bağlıdır. Bu açıdan da Alman güvenlik yöneticilerinin öz değerlendirmeleri orta düzeyde düşüyor. Çoğunluğu (%54) varlıklarına ilişkin yalnızca orta düzeyde bir genel bakışa sahip ve yalnızca %15'i sürekli olarak şirket ağına giriş yapmış kullanıcıları, cihazları, uygulamaları ve hizmetleri takip ediyor.
Güvenlik Açığı Yönetimi: Her şeyi yamalamak ister misiniz?
“Çalışmamızın sonuçları, Alman güvenlik uzmanlarının hemen hemen her güvenlik açığını öncelik veya yüksek öncelik ile kapatmak istediğini gösteriyor. Böyle bir tutum, mümkün olduğu kadar çok potansiyel geçidi kapatmaya yönelik anlaşılır arzuya karşılık gelir. Ancak bu, ekiplerin mevcut kaynaklarıyla bir BT departmanının düzenli işleyişinde pek gerçekleştirilemez," diyor Satış Öncesi Uzman Müdürü Johannes Carl - UEM & Security. “Çok sayıda açık güvenlik açığı, bir şirketin etrafına tam bir koruyucu duvar örmeyi neredeyse imkansız hale getiriyor. Bireysel şirket için gerçek bir risk teşkil eden güvenlik açıklarını kapatmaya öncelik vermek çok daha etkili.”
Ivanti araştırması, bu bilginin Almanya'daki güvenlik ekipleri arasında henüz yeterince yayılmadığını gösteriyor. Güvenlik uzmanlarının yarısı (%48) şirketleriyle doğrudan ilgili olan stratejik güvenlik açıklarına öncelik veriyor - bu, uluslararası bir karşılaştırmada iyi bir değer. Bununla birlikte, orantısız olarak çok sayıda zayıf noktanın dahil edildiği dikkat çekicidir.
NVD'de (Ulusal Güvenlik Açığı Veritabanı) listelenen, şu anda istismar edilen veya ekibin kendisi tarafından tanımlanan güvenlik açıkları söz konusu olsun, Alman güvenlik uzmanlarının çoğu onlara en yüksek aciliyeti verir. Uluslararası olarak, bu soruda çok daha fazla farklılaşma var. Bu derecelendirmenin bir nedeni, yanıt verenlerin %40'ının güvenlik açıklarını önceliklendirmek için belirli bir yöntem kullanmaması veya varsa, bunun ayrıca belgelenmemiş olması olabilir. Bu, ekiplerin risk tabanlı güvenlik açığı yönetimi için tutarlı kurallar uygulamasını zorlaştırır.
Bir bakışta tedarik zinciri saldırıları - ama kontrol altında mı?
Potansiyel saldırı vektörlerinin değerlendirilmesi de ilginç bir analize izin verir. Alman güvenlik uzmanlarının %40'ı, dağıtım zinciri üzerinden yapılan saldırılarda yalnızca orta düzeyde bir tehdit görüyor. Son bir yılda bu tür saldırıların artması göz önüne alındığında, böyle bir değerlendirme oldukça şaşırtıcı. Bununla birlikte ilginç olan, neredeyse her ikinci katılımcının (%48) bir tedarik zinciri saldırısına çok iyi hazırlandıklarını ifade etmesidir.
Bu, bir ülkedeki Alman BT departmanlarının üçüncü taraf şirketlerin erişimini kısa sürede geri çekebilme konusundaki yüksek becerisiyle örtüşüyor. %51'i bunu bir gün içinde yapabiliyor. Başka bir ifade çok daha kritik: Almanya'daki her ikinci güvenlik uzmanından yalnızca biraz daha fazlası (%57) ayrıca tedarik zinciri ortaklarını zorunlu siber güvenlik eğitiminden geçirmek zorunda bırakıyor. Tüm ülkeler için ortalama değer %67'dir.
çalışmanın arkaplanı
"Güvenlik Durumuna Hazırlık 2023" araştırması için, Ekim 2022'de dünya çapında 6.500'den fazla yönetici, siber güvenlik uzmanı ve ofis çalışanı ankete katıldı. Ravn Research tarafından yürütülen anketin amacı, kurumsal BT uzmanlarının günümüzün güvenlik tehditlerini nasıl algıladıklarını ve kuruluşların gelecekteki henüz bilinmeyen tehditlere karşı nasıl hazırlandıklarını anlamaktır.
Daha fazlası Ivanti.com'da
Ivanti Hakkında Birleşik BT'nin gücü. Ivanti, dijital işyerini daha iyi yönetmek ve güvenliğini sağlamak için BT'yi kurumsal güvenlik operasyonlarıyla birleştiriyor. Bilgisayarlarda, mobil cihazlarda, sanallaştırılmış altyapılarda veya veri merkezindeki BT varlıklarını - ister şirket içinde ister bulutta olsunlar tanımlıyoruz. Ivanti, BT hizmet sunumunu iyileştirir ve uzmanlık ve otomatikleştirilmiş süreçler yoluyla iş riskini azaltır. Ivanti, depoda ve tedarik zincirinin tamamında modern teknolojileri kullanarak, şirketlerin arka uç sistemlerini değiştirmeden teslim etme becerilerini geliştirmelerine yardımcı olur.