Siber risk yönetimi, saldırı yüzeyinin tamamında riskleri öngörmeye ve azaltmaya odaklanan proaktif bir siber güvenlik yaklaşımıdır.
İçindekiler
Siber risk yönetimi, bir kuruluşun siber güvenlik durumsal farkındalığını geliştirmenin bir yoludur—tehditleri belirler, önceliklendirir ve azaltır. Saldırı yüzeyi yönetimi (ASM), siber risk yönetiminin temel bir unsurudur.
Siber risk yönetimi dört temel bileşene ayrılabilir:
- Risk Tanımlaması: Organizasyonunuzun BT altyapısını anlamak, zayıf yönlerin nerede olduğunu bilmek ve tehditleri belirlemek.
- Risk Değerlendirmesi: Organizasyonunuzun güvenlik açıklarının istismar edilme olasılığını değerlendirmek ve istismarın yaratacağı etkiyi değerlendirmek.
- Risk Azaltma: Teknik, idari ve fiziksel kontroller gibi önlemlerin uygulanması, tehditlerin etkisini azaltmaya yardımcı olacaktır. Bunun ötesinde, kuruluşa siber güvenliğin en iyi uygulamaları hakkında eğitim vermek ve güvenlik operasyonları ile olay müdahalesi için yönergeler oluşturmak, daha dayanıklı bir yapı oluşmasını destekler.
- Risk İzleme: Yeni tehditleri belirlemek ve hafifletme önlemlerinin etkinliğini değerlendirmek için düzenli değerlendirmeler, izleme kontrolleri ve olay müdahalesi yoluyla risk ortamını sürekli olarak gözlemlemek ve gözden geçirmek
Siber risk yönetimi, saldırı yüzeyi yönetimiyle aynı üç aşamayı kapsar: keşif, değerlendirme ve iyileştirme Değerlendirme aşaması, kuruluşun zaman içinde risk profilini karşılaştırabilmesi ve izleyebilmesi için risk puanlamasını içerir.
Siber riskler nelerdir?
Ulusal Standartlar ve Teknoloji Enstitüsü, siber riski iki farklı ancak ilgili şekilde tanımlar:
- “Siber kaynaklara bağımlı olmanın riski (yani, siber uzayda sürekli ya da aralıklı olarak var olan bir sistem ya da sistem bileşenine bağımlı olmanın riski).”
- “Üretim sistemine elektronik yollarla entegre edilen bilgi ve/veya operasyonel işlevler için kullanılan dijital teknolojilerin, yetkisiz erişim, kullanım, ifşa, kesinti, değişiklik ya da imha nedeniyle başarısızlığa uğraması sonucunda oluşabilecek mali kayıp, operasyonel aksama ya da zarar riski.”
Her iki tanım da kuruluşların proaktif bir siber risk yönetimi çerçevesini benimsemesi ve uygulaması gerekliliğini ortaya koyar.
Siber risk yönetimi neden önemlidir?
Genişleyen saldırı yüzeyi, kuruluşların her zamankinden daha fazla siber riskle karşılaştığı anlamına geliyor. Tehdit ortamının ölçeği ve karmaşıklığı, birçok güvenlik ekibini yıllardır reaktif bir moda zorlamış; tehditlerin önüne geçmek ve ihlalleri önlemek için gereken kapasite, görünürlük ve içgörüden mahrum bırakmıştır.
Saldırı yüzeyini yönetmeye yönelik bütünsel bir yaklaşımın parçası olarak, siber risk yönetimi güvenlik ekiplerine kuruluşlarının karşı karşıya olduğu risklere dair kapsamlı bir görünüm sunar. İyi bir siber risk yönetimi çerçevesi, en kritik risklerin belirlenmesini sağlar ve risk odaklı karar alma süreçlerini destekleyerek genel tehdit maruziyetini azaltır.
Elde edilen içgörüler sayesinde güvenlik ekipleri savunmaları güçlendirebilir, zafiyetleri en aza indirebilir ve kuruluşun genel risk yönetimi ile stratejik planlama süreçlerine katkı sağlayabilir.
Siber risklerin yasal veya düzenleyici sonuçları nelerdir?
Siber riskleri etkin bir şekilde yönetemeyen kuruluşlar para cezaları, hukuki yaptırımlar ve hatta cezai soruşturma ve hapis gibi ciddi sonuçlarla karşı karşıya kalabilir. Pek çok yasa ve yönetmelik, veri ihlallerinin zamanında bildirilmesini ve kişisel ile hassas verilerin gizliliği ve güvenliğinin sağlanmasını zorunlu kılar. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve ABD Sağlık Bilgisi Taşınabilirliği ve Sorumluluk Yasası (HIPAA), en bilinen ve yaygın çerçevelerden bazılarıdır.
Yaptırımların ötesinde, siber riskleri kötü yöneten ve bir ihlal ya da kayıp yaşayan kuruluşlar; müşteriler, iş ortakları ve çalışanlar arasında güven kaybı ve itibar zedelenmesiyle de karşılaşabilir.
Olası sonuçların ciddiyeti göz önünde bulundurulduğunda, birçok şirket yönetim kurulu siber risk yönetimi konusunda aktif rol almaya başlamıştır. Hatta pek çok yönetici, siber güvenlik performansından doğrudan sorumlu tutulmaktadır.
Siber risk yönetimi nasıl çalışır?
Siber risk yönetimi, kuruluşa özel ihtiyaçlara göre uyarlanmış stratejik bir siber güvenlik yaklaşımını benimsemek ve güçlü bir uyumluluk duruşunu teşvik etmek anlamına gelir. Altı ana bileşeni veya faaliyet alanı vardır ve bunların tümü birlikte uygulanmalıdır. Bunlar şu şekildedir:
- Risk tabanlı varlık tanımlama ve sınıflandırma: Tüm varlıkların ve verilerin bilinmesi ve siber saldırılara karşı güvence altına alınabilmesi için tüm saldırı yüzeyinin tam bir görünümünü elde etmek.
- Risk tabanlı güvenlik açığı analizi: En büyük riskleri oluşturan güvenlik açıklarına odaklanarak varlıkları taramak ve güvenlik açıklarını düzenli ve sürekli olarak test etmek.
- Risk tabanlı tehdit değerlendirmesi: Gelişen tehdit ortamının farkındalığındaki riskleri analiz etmek ve kuruluşun kritik varlıkları için hangi tehditlerin potansiyel olarak en tehlikeli olduğunu belirlemek.
- Risk önceliklendirmesi: Hangi risklerin kararlara bilgi vermek ve siber güvenlik yatırımlarını yönlendirmek için en acil ve potansiyel olarak ciddi olduğunu anlamak.
- Sıfır güven riske dayalı kontroller:Genel saldırı yüzeyini azaltmak ve riski sınırlamak için sıfır güven çerçevelerini ve mimarilerini benimsemek.
- Sürekli izleme ve iyileştirme: Sürekli risk yönetimi ve gelişen tehdit ortamına uyum sağlamak için saldırı yüzeyi genelinde görünürlüğü merkezileştirme.
Siber risk yönetimi çerçevesi nedir?
Siber risk yönetimi çerçevesi, kuruluşlara siber güvenlik risklerini proaktif olarak tanımlamak, değerlendirmek ve azaltmak için yapılandırılmış bir yöntem sunar. Bu çerçeve, kurumsal bir siber güvenlik platformu gerektiren politika ve prosedürleri içerir.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), diğer kuruluşlar için bir model olarak hizmet vermek üzere siber güvenlik çerçevesini halka açık olarak paylaştı. NIST çerçevesi, siber risk yönetiminin nasıl yapılması gerektiğini dikte etmekten ziyade, kuruluşların siber risk yönetimi yoluyla neyi başarmak istediklerini belirlemelerine yardımcı olmaya odaklanır.
Sonuç olarak NIST çerçevesi, kuruluşların mevcut güvenlik durumlarını anlamalarına ve değerlendirmelerine, riskleri ve alınması gereken önlemleri önceliklendirmelerine ve siber güvenlik faaliyetlerini hem kurum içinde hem de dışında ortak bir dille ifade etmelerine olanak tanır.
Siber risk yönetimi nasıl uygulanabilir?
Birçok ülkede kamu kurumları, siber risk yönetimi çerçevelerinin uygulanması için aşamalı yaklaşımlar geliştirmiştir. Örneğin Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), sekiz adımlı bir yöntem önermektedir:
- Kurumsal bağlamı belirleyin
- Karar vericileri, yönetişim süreçlerini ve kısıtları tanımlayın
- Siber güvenlik risklerine ilişkin zorlukları belirleyin
- Bir yaklaşım belirleyin
- Riskleri ve bunların nasıl yönetileceğini anlayın
- İletişim kurun ve danışın
- Uygulayın ve güvence altına alın
- İzleyin ve inceleyin
Birleşik Krallık modeli, yalnızca saldırı yüzeyini ve tehdit ortamını değil, aynı zamanda kuruluşun kendine özgü bağlamını ve koşullarını anlamanın da önemini vurgular. Bu; işin odak noktası ve değerlerini, kilit paydaşları ve özgün riskleri kapsar. Örneğin, finans sektöründe faaliyet gösteren bir şirketin dolandırıcılık önleme ve kara para aklamayı önleme gibi karşılaması gereken gereksinimleri olabilir; bu, bir üretici için geçerli olmayabilir. Ancak bir üretici, tedarik zinciri çevresindeki siber riskleri yönetmek zorunda kalabilir.
Ortak bir siber risk yönetimi çerçevesi oluşturmak ve risk ortamına (saldırı yüzeyine) tek pencereden bütünsel bir bakış sağlamak, siber risk yönetimi çerçevesinin uygulanmasında kritik öneme sahiptir. Her iki unsur da birkaç temel yeteneğe dayanır. Bunlardan biri, yukarıda da belirtildiği gibi, siber güvenlikte sıfır güven yaklaşımını benimsemektir. Diğeri ise saldırı yüzeyine ilişkin verileri toplamak ve analiz etmek için kapsamlı tespit ve yanıt (XDR) teknolojisini kullanmaktır.
Bir siber güvenlik platformu benimsemek, sıfır güven yaklaşımına geçişi destekleyebilir. Tam kapsamlı bir platformda, XDR gibi güvenlik operasyonları da yer almalı; bu da siber risk yönetimi için gerekli temel altyapıyı sağlar.
Saldırı yüzeyi yönetimi siber risk yönetimiyle nasıl ilişkilidir?
Saldırı yüzeyi yönetimi (ASM), genel siber risk yönetiminin temel bir unsurudur. Adından da anlaşılacağı üzere, saldırı yüzeyi yönetimi doğrudan saldırı yüzeyiyle ilgilidir: bir kuruluşun sistemlerine ve verilerine yetkisiz erişim sağlamak amacıyla kullanılabilecek tüm açıklar, erişim noktaları ve saldırı vektörlerinin toplamı.
ASM, saldırı yüzeyine ilişkin risklerin keşfedilmesi, değerlendirilmesi ve azaltılmasına odaklanır, tercihen sürekli ve kesintisiz bir süreç olarak yürütülmelidir.
Keşif, saldırı yüzeyinin ve onu oluşturan tüm varlıkların tanımlanmasını kapsar. Bu, BT ortamını tarayarak bilinen ve bilinmeyen tüm cihazları, yazılımları, sistemleri ve erişim noktalarını belirleyebilen bir saldırı yüzeyi yönetimi çözümü gerektirir. Keşif aynı zamanda, gölge BT uygulamaları, bağlı üçüncü taraf teknolojileri ve daha önceki envanterlere dahil edilmemiş teknolojileri belirlemeyi de hedefler.
Değerlendirme, keşfedilen tüm varlıklara ilişkin risklerin ne kadar acil ve ne ölçüde ciddi olabileceğini belirleme sürecidir. Bu, açıkları ve riskleri nesnel bir şekilde önceliklendirmek ve sıralamak için kullanılan risk niceliklendirme ve risk puanlama yöntemlerini içerir.
İyileştirme, keşfedilen güvenlik açıklarıyla başa çıkmak için harekete geçmeyi ifade eder. Bu, yazılım güncellemeleri yapmak, yamalar yüklemek, güvenlik kontrolleri ve donanımları kurmak ya da sıfır güven gibi koruyucu çerçeveleri uygulamak anlamına gelebilir. Ayrıca eski sistem ve yazılımların devreden çıkarılmasını da içerebilir.
Siber risk yönetimi konusunda nereden yardım alabilirim?
Trend Micro Research, Ponemon Institute ile birlikte Siber Risk Endeksi’ni (CRI) geliştirerek siber riskleri analiz etmek ve siber güvenliği geliştirmenin temel alanlarını belirlemek amacıyla çalışmıştır. Düzenli olarak yenilenen CRI, bir kuruluşun mevcut güvenlik duruşu ile saldırıya uğrama olasılığı arasındaki boşluğu ölçer. Kuruluşunuzun risk puanını belirlemek için buradaki CRI hesaplayıcısını kullanın.
Trend Vision One™, kuruluşların yalnızca ASM ile yetinmeyip siber risk ayak izini azaltmasına olanak tanıyan bir Siber Risk ve Maruziyet Yönetimi (CREM) çözümü sunar. CREM; bulut, veri, kimlik, API, yapay zeka, uyumluluk ve SaaS uygulamaları genelinde Harici Saldırı Yüzeyi Yönetimi (EASM), Siber Varlık Saldırı Yüzeyi Yönetimi (CAASM), Zafiyet Yönetimi ve Güvenlik Duruşu Yönetimi gibi temel yetenekleri bir araya getiren, güçlü ve kullanımı kolay devrim niteliğinde bir çözümdür. Bu sadece tehditleri yönetmekle ilgili değil; aynı zamanda gerçek bir risk dayanıklılığı inşa etmekle ilgilidir.
Siber Riske Maruz Kalma Yönetiminin tehditleri belirlemenize, önceliklendirmenize ve azaltmanıza nasıl yardımcı olabileceği hakkında daha fazla bilgi edinin.