Siber tehdit ortamı sürekli olarak gelişmektedir, bu nedenle rutin siber güvenlik değerlendirmesi bütünsel bir risk yönetimi programının çok önemli bir bileşenidir. Kuruluşunuz, üçüncü ve dördüncü taraf satıcılar da dahil olmak üzere tüm ekosisteminin siber hijyenine her zaman dikkat etmelidir. Bir siber güvenlik risk değerlendirmesi, güvenlik duruşunuzu etkileyen siber riskleri belirleyerek bunu yapmanıza olanak tanır ve denetimleri uygulamak ve ağı korumak için fonların en iyi nasıl tahsis edileceğine dair daha bilinçli karar alınmasına yol açar.
En popüler siber güvenlik değerlendirme çerçevelerinden bazılarına ve kuruluşunuzun etkili bir değerlendirme yapmak için atabileceği adımlara bir göz atalım.
Siber güvenlik değerlendirmesi nedir?
Bir siber güvenlik değerlendirmesi, kuruluşunuzun siber güvenlik kontrollerini ve bunların güvenlik açıklarını giderme yeteneklerini analiz eder. Bu risk değerlendirmeleri, bir siber güvenlik denetiminde yaptığınız gibi bir kontrol listesi şeklinde değil, kuruluşunuzun iş hedefleri bağlamında yapılmalıdır. Bu, güvenlik ekiplerinin bunları azaltmak için güvenlik kontrollerini uygulamaya başlayabilmesi için ağınızın zayıf yönlerine ilişkin üst düzey bir analiz elde etmenize olanak tanır.
Neden bir siber güvenlik değerlendirmesi yapmalısınız?
Kapsamlı bir siber güvenlik değerlendirmesi, kuruluşunuzun bir dizi tehdide karşı savunmaya uygun şekilde hazırlanıp hazırlanmadığını belirlemek için kritik öneme sahiptir. Bir değerlendirmenin amacı, güvenlik açıklarını belirlemek ve güvenlik açıklarını en aza indirmektir. Ayrıca, kilit paydaşları ve yönetim kurulu üyelerini kuruluşun siber güvenlik durumu hakkında bilgilendirmeyi ve güvenlik stratejilerinin günlük operasyonlara nasıl uygulanabileceği konusunda daha bilinçli kararlar almayı mümkün kılmayı amaçlar.
Bu yüzden biz OZZTECH Bilgi Güvenliği ve Yazılım Limited Şirketi 2019 yılından bu yana sistem, network ve siber güvenlik danışmanlığı alanında faaliyet göstermekteyiz. Ülkemizdeki bilgi güvenliği, sunucu sanallaştırma sistemleri ve network altyapısı alanlarına profesyonel yaklaşımıyla destek olmak amacı ile kurulan OZZTECH Bilgi Güvenliği ve Yazılım Limited Şirketi, stratejik sistem altyapısı, network altyapısı, siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir.
Siber güvenlik risk değerlendirme çerçevelerinin farklı türleri nelerdir?
Sektörünüze veya bölgenize bağlı olarak çok çeşitli siber güvenlik çerçeveleri mevcuttur. Daha geniş çerçevelerden ikisi, NIST Siber Güvenlik Çerçevesini ve ISO 27000 standartlarını içerir.
NIST Siber Güvenlik Çerçevesi
NIST Siber Güvenlik Çerçevesi, devlet kurumları ve özel sektör ile işbirliği içinde geliştirildi ve en yaygın olarak ABD’deki şirketler tarafından kullanılıyor NIST çerçevesi, aşağıdakiler dahil siber güvenliğin temel bileşenlerini ele almak için tasarlanmıştır: tanımlama, tespit, koruma, müdahale ve kurtarma . Başlangıçta kritik altyapıyla uğraşan kuruluşlara yardımcı olmayı amaçlasa da, kurumsal düzeydeki birçok şirket, kapsamlı yönergeleri kendi siber güvenlik çabalarında da kullanır ve uygular.
ISO 27000
Uluslararası kuruluşlar arasında popüler olan bir çerçeve, giderek büyüyen Bilgi Güvenliği Yönetim Sistemleri standartları ailesinin bir parçası olan ISO 27000’dir. Bu çerçeve The International Organizations for Standards tarafından geliştirilmiştir ve yalnızca bir şirketin dahili bilgilerini değil, aynı zamanda üçüncü taraf satıcıların bilgilerini de kapsar. Canlı bir belge olarak, yeni bilgi gereksinimlerine ayak uydurmak için sürekli olarak gelişir ve sürekli rehberlik sağlar.
Daha özel siber güvenlik çerçevelerinin örnekleri şunları içerir:
- GDPR – Genel Veri Koruma Yönetmeliği, Avrupa Birliği’nde yaşayan kullanıcılardan hassas verilerin toplanması ve işlenmesi için yönergeler belirleyen bir AB yasasıdır.
- HIPAA – Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası, sağlık hizmeti sağlayıcıları, sağlık planları ve takas odaları arasında sağlık hizmeti bilgilerinin aktarılması için tek tip standartlar tanımlayan bir dizi kuraldır.
- PCI-DSS – Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, kredi kartı bilgilerini kabul eden, işleyen, saklayan veya ileten tüm şirketlerin güvenli bir ağ ortamı sürdürmesini sağlamak için tasarlanmıştır.
- CMMC – Siber Güvenlik Olgunluk Modeli Sertifikasyonu, ABD Savunma Bakanlığı tarafından geliştirilmiştir ve gerekli siber olgunluk düzeyini belgelemek için savunma yüklenicilerinin bir siber güvenlik değerlendirmesinden geçmesini gerektirir.
- FERPA – Aile Eğitim Hakları ve Mahremiyeti Yasası, öğrenci eğitim kayıtlarının gizliliğini koruyan bir Federal yasadır.
Siber güvenlik değerlendirmesini nasıl yapıyorsunuz?
Etkili bir siber güvenlik değerlendirmesi, sektörleri veya coğrafi konumlarına özgü düzenleyici gereksinimler göz önüne alındığında bir kuruluştan diğerine farklılık gösterebilir, ancak temel aynı kalır. Siber güvenlik değerlendirmesi yaparken bu temel yönergeleri izleyin.
1. Değerlendirmenin kapsamını değerlendirin
Siber güvenlik değerlendirmesinin tam kapsamını belirlemek için değerlendirilecek tüm varlıkları belirleyin. Kapsamınızı bir kerede tümü yerine tek bir varlık türüyle sınırlayarak başlamak faydalı olabilir. Bir varlık türü seçtikten sonra, dokunduğu diğer varlıkları, cihazları veya bilgileri belirleyin. Bu, tüm ağınıza kapsamlı bir şekilde bakmanızı sağlayacaktır.
2. Her varlığın değerini belirleyin
Hangi varlıkların değerlendirmeye dahil edileceğini belirledikten sonra, her bir varlığın değerini belirlemelisiniz. Bir varlığın gerçek değerinin maliyetinin ötesine geçebileceğini düşünmek önemlidir. Değerlendirme süreci sırasında ekibinizin maddi olmayan faktörleri ve her bir varlıkla ilişkili niteliksel riskleri dikkate alması gerekir.
3. Siber güvenlik risklerini belirleyin
Siber güvenlik değerlendirmesindeki bir sonraki adım, gelecekteki kararlar için çeşitli kayıp senaryolarının olasılığını hesaplayabilmeniz için siber güvenlik risklerini belirlemektir. Varlığın istismar edilebileceği durumları, istismar olasılığını ve bu istismarın kuruluşunuz üzerindeki toplam etkisini düşünün. Bu, kuruluşunuzun sektörünüzün gerektirdiği tüm siber güvenlik uyumluluk gereksinimlerini başarıyla karşıladığından emin olmak için kritik bir adımdır.
4. Varlığın değerini önleme maliyetiyle karşılaştırın
Bir varlığın değeri belirlendikten sonra, onu koruma maliyetiyle karşılaştırmalısınız. Bu tür olayları önlemenin maliyetinin varlığın değerinden daha fazla olup olmadığını belirlemek için çeşitli kayıp senaryoları belirleyin, o zaman daha mali açıdan daha anlamlı olan alternatif bir kontrol veya önleme yöntemini düşünmeye değer.
5. Güvenlik kontrollerini oluşturun ve sürekli olarak izleyin
Kuruluşunuz ağındaki kritik varlıkları ve güvenlik açıklarını belirleyip analiz ettikten sonraki adım, siber güvenliğini sürekli olarak izleyebilecek güvenlik önlemleri uygulamaktır. Bu, uygulanan kontrollerin kurumsal gereksinimleri karşılamasını ve önemli bilgileri sürekli olarak korumasını sağlayacaktır.