Siber risk yönetimi, saldırı yüzeyinin tamamında riskleri öngörmeye ve azaltmaya odaklanan proaktif bir siber güvenlik yaklaşımıdır.
Siber risk yönetimi, bir kuruluşun siber güvenlik farkındalığını artırmanın bir yoludur—tehditleri tanımlamayı, önceliklendirmeyi ve azaltmayı içerir. Saldırı yüzeyi yönetimi (ASM), siber risk yönetiminin temel bir bileşenidir.
Siber risk yönetimi dört temel bileşene ayrılabilir:
- Risk Tanımlama: Kuruluşunuzun BT altyapısını anlamak, zayıf noktaları bilmek ve tehditleri belirlemek.
- Risk Değerlendirmesi: Kuruluşunuzdaki güvenlik açıklarının istismar edilme olasılığını ve bu istismarın yaratacağı etkiyi değerlendirmek.
- Risk Azaltma: Tehditlerin etkisini azaltmak amacıyla teknik, idari ve fiziksel kontroller gibi önlemleri hayata geçirmek. Bunun ötesinde, kuruluşa siber güvenliğin en iyi uygulamaları hakkında eğitim vermek ve güvenlik operasyonları ile olay müdahalesi için yönergeler oluşturmak, daha dayanıklı bir yapı oluşmasını destekler.
- Risk İzleme: Yeni tehditleri belirlemek ve mevcut iyileştirme önlemlerinin etkinliğini değerlendirmek için risk ortamını düzenli değerlendirmeler, kontrol izleme ve olay müdahale süreçleriyle sürekli olarak gözlemlemek ve incelemek.
Siber risk yönetimi, saldırı yüzeyi yönetimiyle aynı üç aşamayı kapsar: keşif, değerlendirme ve iyileştirme Değerlendirme aşaması, kuruluşun zaman içinde kendi risk profilini karşılaştırıp izleyebilmesi için risk puanlamasını içerir.
Siber riskler nelerdir?
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), siber riski iki farklı fakat birbiriyle ilişkili şekilde tanımlar:
- “Siber kaynaklara bağımlı olmanın riski (yani, siber uzayda sürekli ya da aralıklı olarak var olan bir sistem ya da sistem bileşenine bağımlı olmanın riski).”
- “Üretim sistemine elektronik yollarla entegre edilen bilgi ve/veya operasyonel işlevler için kullanılan dijital teknolojilerin, yetkisiz erişim, kullanım, ifşa, kesinti, değişiklik ya da imha nedeniyle başarısızlığa uğraması sonucunda oluşabilecek mali kayıp, operasyonel aksama ya da zarar riski.”
Her iki tanım da kuruluşların proaktif bir siber risk yönetimi çerçevesini benimsemesi ve uygulaması gerekliliğini ortaya koyar.
Siber risk yönetimi neden önemlidir?
Genişleyen saldırı yüzeyi , kuruluşların her zamankinden daha fazla siber riskle karşı karşıya kalmasına neden olur. Tehdit ortamının ölçeği ve karmaşıklığı, birçok güvenlik ekibini yıllardır reaktif bir moda zorlamış; tehditlerin önüne geçmek ve ihlalleri önlemek için gereken kapasite, görünürlük ve içgörüden mahrum bırakmıştır.
Saldırı yüzeyini yönetmeye yönelik bütünsel bir yaklaşımın parçası olarak, siber risk yönetimi güvenlik ekiplerine kuruluşlarının karşı karşıya olduğu risklere dair kapsamlı bir görünüm sunar. İyi bir siber risk yönetimi çerçevesi, en kritik risklerin belirlenmesini sağlar ve risk odaklı karar alma süreçlerini destekleyerek genel tehdit maruziyetini azaltır.
Elde edilen içgörüler sayesinde güvenlik ekipleri savunmaları güçlendirebilir, zafiyetleri en aza indirebilir ve kuruluşun genel risk yönetimi ile stratejik planlama süreçlerine katkı sağlayabilir.
Siber risklerin yasal veya düzenleyici sonuçları nelerdir?
Siber riskleri etkin bir şekilde yönetemeyen kuruluşlar para cezaları, hukuki yaptırımlar ve hatta cezai soruşturma ve hapis gibi ciddi sonuçlarla karşı karşıya kalabilir. Pek çok yasa ve yönetmelik, veri ihlallerinin zamanında bildirilmesini ve kişisel ile hassas verilerin gizliliği ve güvenliğinin sağlanmasını zorunlu kılar. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve ABD Sağlık Bilgisi Taşınabilirliği ve Sorumluluk Yasası (HIPAA), en bilinen ve yaygın çerçevelerden bazılarıdır.
Yaptırımların ötesinde, siber riskleri kötü yöneten ve bir ihlal ya da kayıp yaşayan kuruluşlar; müşteriler, iş ortakları ve çalışanlar arasında güven kaybı ve itibar zedelenmesiyle de karşılaşabilir.
Olası sonuçların ciddiyeti göz önünde bulundurulduğunda, birçok şirket yönetim kurulu siber risk yönetimi konusunda aktif rol almaya başlamıştır. Hatta pek çok yönetici, siber güvenlik performansından doğrudan sorumlu tutulmaktadır.
Siber risk yönetimi nasıl çalışır?
Siber risk yönetimi, kuruluşa özel ihtiyaçlara göre uyarlanmış stratejik bir siber güvenlik yaklaşımını benimsemek ve güçlü bir uyumluluk duruşunu teşvik etmek anlamına gelir. Altı ana bileşeni veya faaliyet alanı vardır ve bunların tümü birlikte uygulanmalıdır. Bunlar şu şekildedir:
- Risk tabanlı varlık tanımlama ve sınıflandırma: Tüm saldırı yüzeyinin tam görünümünü elde ederek varlıkların ve verilerin eksiksiz biçimde tanımlanmasını ve siber saldırılara karşı güvence altına alınmasını sağlamak.
- Risk tabanlı güvenlik açığı analizi: Varlıkları düzenli olarak taramak ve test etmek, özellikle en büyük riskleri oluşturan zafiyetlere odaklanarak sürekli analiz gerçekleştirmek.
- Risk tabanlı tehdit değerlendirmesi: Gelişen tehdit ortamını dikkate alarak riskleri analiz etmek ve kuruluşun kritik varlıkları için en tehlikeli olabilecek tehditleri belirlemek.
- Risk önceliklendirme: En acil ve potansiyel olarak en ciddi risklerin hangileri olduğunu belirleyerek karar süreçlerini yönlendirmek ve siber güvenlik yatırımlarını doğru şekilde odaklamak.
- Sıfır güven risk tabanlı kontroller: Genel saldırı yüzeyini küçültmek ve riskleri sınırlamak amacıyla sıfır güven mimarisi ve çerçevelerini benimsemek.
- Sürekli izleme ve iyileştirme: Saldırı yüzeyi genelinde görünürlüğü merkezileştirerek sürekli risk yönetimi ve gelişen tehdit ortamına uyum sağlamak.
Siber risk yönetimi çerçevesi nedir?
Siber risk yönetimi çerçevesi, kuruluşlara siber güvenlik risklerini proaktif olarak tanımlamak, değerlendirmek ve azaltmak için yapılandırılmış bir yöntem sunar. Bu çerçeve, kurumsal bir siber güvenlik platformu gerektiren politika ve prosedürleri içerir.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), diğer kuruluşlara örnek olması amacıyla siber güvenlik çerçevesini kamuya açık olarak paylaşmıştır. NIST çerçevesi, siber risk yönetiminin nasıl yapılması gerektiğini dikte etmekten ziyade, kuruluşların siber risk yönetimi yoluyla neyi başarmak istediklerini belirlemelerine yardımcı olmaya odaklanır.
Sonuç olarak NIST çerçevesi, kuruluşların mevcut güvenlik durumlarını anlamalarına ve değerlendirmelerine, riskleri ve alınması gereken önlemleri önceliklendirmelerine ve siber güvenlik faaliyetlerini hem kurum içinde hem de dışında ortak bir dille ifade etmelerine olanak tanır.
Siber risk yönetimi nasıl uygulanabilir?
Birçok ülkede kamu kurumları, siber risk yönetimi çerçevelerinin uygulanması için aşamalı yaklaşımlar geliştirmiştir. Örneğin Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), sekiz adımlı bir yöntem önermektedir:
- Kurumsal bağlamı belirleyin
- Karar vericileri, yönetişim süreçlerini ve kısıtları tanımlayın
- Siber güvenlik risklerine ilişkin zorlukları belirleyin
- Bir yaklaşım belirleyin
- Riskleri ve bunların nasıl yönetileceğini anlayın
- İletişim kurun ve danışın
- Uygulayın ve güvence altına alın
- İzleyin ve inceleyin
Birleşik Krallık modeli, yalnızca saldırı yüzeyini ve tehdit ortamını değil, aynı zamanda kuruluşun kendine özgü bağlamını ve koşullarını anlamanın da önemini vurgular. Bu; işin odak noktası ve değerlerini, kilit paydaşları ve özgün riskleri kapsar. Örneğin, finans sektöründe faaliyet gösteren bir şirketin dolandırıcılık önleme ve kara para aklamayı önleme gibi karşılaması gereken gereksinimleri olabilir; bu, bir üretici için geçerli olmayabilir. Ancak bir üretici, tedarik zinciri çevresindeki siber riskleri yönetmek zorunda kalabilir.
Ortak bir siber risk yönetimi çerçevesi oluşturmak ve risk ortamına (saldırı yüzeyine) tek pencereden bütünsel bir bakış sağlamak, siber risk yönetimi çerçevesinin uygulanmasında kritik öneme sahiptir. Her iki unsur da birkaç temel yeteneğe dayanır. Bunlardan biri, yukarıda da belirtildiği gibi, siber güvenlikte sıfır güven yaklaşımını benimsemektir. Diğeri ise saldırı yüzeyine ilişkin verileri toplamak ve analiz etmek için kapsamlı tespit ve yanıt (XDR) teknolojisini kullanmaktır.
Bir siber güvenlik platformu benimsemek, sıfır güven yaklaşımına geçişi destekleyebilir. Tam kapsamlı bir platformda, XDR gibi güvenlik operasyonları da yer almalı; bu da siber risk yönetimi için gerekli temel altyapıyı sağlar.
Saldırı yüzeyi yönetimi siber risk yönetimiyle nasıl ilişkilidir?
Saldırı yüzeyi yönetimi (ASM), genel siber risk yönetiminin temel bir unsurudur. Adından da anlaşılacağı üzere, saldırı yüzeyi yönetimi doğrudan saldırı yüzeyiyle ilgilidir: bir kuruluşun sistemlerine ve verilerine yetkisiz erişim sağlamak amacıyla kullanılabilecek tüm açıklar, erişim noktaları ve saldırı vektörlerinin toplamı.
ASM, saldırı yüzeyine ilişkin risklerin keşfedilmesi, değerlendirilmesi ve azaltılmasına odaklanır, tercihen sürekli ve kesintisiz bir süreç olarak yürütülmelidir.
Keşif, saldırı yüzeyinin ve onu oluşturan tüm varlıkların tanımlanmasını kapsar. Bu, BT ortamını tarayarak bilinen ve bilinmeyen tüm cihazları, yazılımları, sistemleri ve erişim noktalarını belirleyebilen bir saldırı yüzeyi yönetimi çözümü gerektirir. Keşif aynı zamanda, gölge BT uygulamaları, bağlı üçüncü taraf teknolojileri ve daha önceki envanterlere dahil edilmemiş teknolojileri belirlemeyi de hedefler.
Değerlendirme, keşfedilen tüm varlıklara ilişkin risklerin ne kadar acil ve ne ölçüde ciddi olabileceğini belirleme sürecidir. Bu süreç, riskin nicelendirilmesini ve risk puanlamasını içerir, güvenlik açıklarınınve risklerin nesnel şekilde önceliklendirilmesini ve sıralanmasını sağlayan yöntemlerdir.
İyileştirme, keşfedilen güvenlik açıklarıyla başa çıkmak için harekete geçmeyi ifade eder. Bu, yazılım güncellemeleri yapmak, yamalar yüklemek, güvenlik kontrolleri ve donanımları kurmak ya da sıfır güven gibi koruyucu çerçeveleri uygulamak anlamına gelebilir. Ayrıca eski sistem ve yazılımların devreden çıkarılmasını da içerebilir.
Siber risk yönetimi konusunda nereden yardım alabilirim?
Trend Micro Research, Ponemon Institute ile birlikte Siber Risk Endeksi’ni (CRI) geliştirerek siber riskleri analiz etmek ve siber güvenliği geliştirmenin temel alanlarını belirlemek amacıyla çalışmıştır. Düzenli olarak yenilenen CRI, bir kuruluşun mevcut güvenlik duruşu ile saldırıya uğrama olasılığı arasındaki boşluğu ölçer. Kuruluşunuzun risk skorunu belirlemek için CRI hesaplayıcısını buradan kullanabilirsiniz.
Trend Vision One™, kuruluşların yalnızca ASM ile yetinmeyip siber risk ayak izini azaltmasına olanak tanıyan bir Siber Risk ve Maruziyet Yönetimi (CREM) çözümü sunar. CREM; bulut, veri, kimlik, API, yapay zeka, uyumluluk ve SaaS uygulamaları genelinde Harici Saldırı Yüzeyi Yönetimi (EASM), Siber Varlık Saldırı Yüzeyi Yönetimi (CAASM), Zafiyet Yönetimi ve Güvenlik Duruşu Yönetimi gibi temel yetenekleri bir araya getiren, güçlü ve kullanımı kolay devrim niteliğinde bir çözümdür. Bu sadece tehditleri yönetmekle ilgili değil; aynı zamanda gerçek bir risk dayanıklılığı inşa etmekle ilgilidir.
Siber Riske Maruz Kalma Yönetiminin tehditleri belirleme, önceliklendirme ve azaltma konularında size nasıl yardımcı olabileceğini öğrenin.