Siber risk skoru, siber güvenlik riskini nicel olarak ölçmenin bir yoludur. Bu sayede kurumlar, saldırı yüzeylerini küçültmek ve savunmalarını güçlendirmek için objektif ve veriye dayalı kararlar alabilir.
Siber risk puanlaması, herhangi bir siber risk yönetimi çerçevesinin önemli bir bileşenidir. Bu yaklaşım, BT varlıkları ve dijital teknolojilerle ilişkili göreli risklerin ortak ve objektif şekilde anlaşılmasını sağlar. Böylece, hangi risklerin öncelikle ele alınması gerektiği konusunda pratik ve etkili kararlar alınabilir.
Siber risk puanlarını zaman içinde izlemek, kuruluşların genel siber güvenlik hazırlıklarını ve güvenlik duruşlarının gücünü karşılaştırmalarına ve izlemelerine olanak tanır.
Siber risk puanlaması, hem dahili hem de harici BT varlıkları, verileri, sistemleri ve kaynakları dahil olmak üzere tüm saldırı yüzeyi için geçerlidir.
Siber risk skorlama, siber riskin nicelenmesi (CRQ) ile benzer şekilde, saldırı yüzeyi yönetiminin ilk iki aşaması olan keşif ve değerlendirme süreçleriyle yakından ilişkilidir.
Özellikle, ilgili risklerin ne olduğunu ve bunları yönetmek için gerekli kontrolleri belirlemek ve ardından göreceli aciliyetlerine ve potansiyel önem derecelerine göre her bir riske puan atamak olmak üzere iki adımlı bir profil oluşturma sürecini içerir.
Siber riskler nelerdir?
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), siber riski şu şekilde tanımlar:
- “Siber kaynaklara bağımlı olma riski (yani, siber uzayda yer alan ya da zaman zaman orada bulunan bir sistem veya sistem bileşenlerine bağımlı olma riski).”
- “Üretim sistemine elektronik yollarla entegre edilen bilgi ve/veya operasyonel işlevler için kullanılan dijital teknolojilerin, yetkisiz erişim, kullanım, ifşa, kesinti, değişiklik ya da imha nedeniyle başarısızlığa uğraması sonucunda oluşabilecek mali kayıp, operasyonel aksama ya da zarar riski.”
Her iki tanım da, kuruluşların proaktif bir siber riske maruz kalma yönetimi çerçevesini benimseme ve uygulama ihtiyacı için geçerlidir.
Siber risk puanlaması neden önemlidir?
Siber riske maruz kalma yönetiminin bir bileşeni olarak, siber risk puanlaması, hangi risklerin bir kuruluş için en büyük tehdidi oluşturduğu konusunda ölçülebilir, objektif bir netlik sağlar. Bu, siber güvenlik eylemlerini ve yatırımlarını bilgilendirmeye yardımcı olur.
CRQ gibi, siber risk puanlaması da hem güvenlik profesyonelleri hem de iş liderleri tarafından anlaşılabilen risk hakkında konuşma yöntemi sağlar. Bu şekilde, kuruluşların çevresel, sosyal ve yönetişim (ESG) ve/veya kurumsal sosyal sorumluluk (CSR) performans izleme ve raporlaması için önemli bir destektir.
Giderek artan bir şekilde, siber risk puanları, bir kuruluşun siber sigortaya uygunluğunu belirlemede bir faktör olarak kullanılmaktadır. Ayrıca, tedarik zinciri güvenlik yönetiminde ve diğer iş operasyonları alanlarında olası birleşmeleri ve satın almaları değerlendirmek için de kullanılabilirler.
Siber risk puanlaması ve CRQ karşılaştırması
Siber risk skorlama ile siber riskin nicelenmesi (CRQ) benzer işlevler görür; basitçe ifade etmek gerekirse, biri niteliksel, diğeri niceliksel bir yaklaşımdır. Her iki yaklaşım da siber güvenlik risklerini nesnel ve ampirik (veriye dayalı) terimlerle ortaya koyarak stratejik kararların alınmasını destekler.
Siber risk skorlama, her bir riske sayısal bir puan atayarak bunlardan kurumun genel siber risk skorunu oluştururken; CRQ (siber riskin nicelenmesi), olası bir siber olayın işletmeye ne kadara mal olacağını (yani bir ihlal, saldırı ya da veri hırsızlığının potansiyel parasal değerini) hesaplar. Bu maliyet, mali kayıpları (gelir, duruş süresi, para cezaları, davalar), rekabet kayıplarını (pazar payı gibi), itibar zararlarını, müşteri kaybını ve diğer zararları içerebilir.
CRQ, saldırı olasılığını genellikle yüzde olarak ifade edilen bir olasılık olarak hesaplar. Örneğin, bir finansal hizmetler şirketinde CEO’nun e-posta hesabı, BEC (iş e-postası dolandırıcılığı) saldırısına %85 olasılıkla hedef olabilirken; aynı şirketteki kafeterya yöneticisinin bu tür bir saldırıya maruz kalma olasılığı yalnızca %12 olabilir. Bu olasılık, model tabanlı simülasyonlar (ör. Monte Carlo simülasyonları) kullanılarak istatistiksel olarak belirlenir ve genellikle bir iş çeyreği veya takvim yılı gibi belirli bir zaman dönemi için hesaplanır.
Hem siber risk puanlaması hem de CRQ, iyi siber risk yönetimini destekler ve her ikisi de riskleri tanımlamak, değerlendirmek ve önceliklendirmek için benzer keşif ve değerlendirme adımları içerir.
Siber risk puanlaması nasıl çalışır?
Belirtildiği gibi, siber risk puanlamasının iki ana bölümü vardır:
- Risk profili çıkarma
- Risk puanlama
Profil oluşturma adımı, kuruluşun genel saldırı yüzeyini tanımlayan ve bu yüzeydeki riskleri ve güvenlik açıklarını tanımlayan kapsamlı bir keşif ve değerlendirme sürecine dayanır. Bu belirlemelere göre kuruluş, hangi kontrollerin uygulanması gerektiğine karar verebilir.
Puanlama aşaması, her bir belirlenmiş zafiyet için potansiyel risk ve zarar düzeyini tahmin eder. Bu, zafiyetin istismar edilme olasılığı, etkisinin kapsamı, saldırı başarılı olursa iyileştirmenin ne kadar zor olacağı gibi kriterleri içerir.
Siber risk skorları, küresel tehdit istihbaratını (özel veya açık kaynak), kamu güvenliği derecelendirmelerini ve kötü aktörlerin belirli güvenlik açıkları, istismar kolaylığı, istismar sıklığı ve diğer ilgili veri noktaları hakkındaki farkındalığını da hesaba katmalıdır.
Ardından, bireysel siber risk skorları, genel bir kurumsal siber risk skoruna ulaşmak için hesaplanır.
Siber risk puanlaması, saldırı yüzeyi yönetimine nasıl katkıda bulunur?
Saldırı yüzeyi yönetimi (ASM), kuruluşların tehditleri daha görünür hale getirerek verilerini ve sistemlerini savunmasına yardımcı olmayı amaçlayan bir siber güvenlik yaklaşımıdır. Bu, risklerin nerede olduğunu bilmek, bunların göreceli önem derecelerini anlamak ve insanlar, süreçler ve teknoloji ile ilgili güvenlik açıklarını kapatmak için harekete geçmekle ilgilidir.
Bu nedenle, siber risk puanlaması MMY’nin ilk iki aşamasıyla yakından ilişkilidir: keşif ve değerlendirme.
ASM keşif süreci, bir kuruluşun karşılaştığı tüm potansiyel siber risklere görünürlük sağlar. Bu bağlam, kurumsal saldırı yüzeyinin tam bir resmini sağladığından, doğru ve eksiksiz siber risk puanlaması için gereklidir.
Siber risk puanlaması, hangi risklerin ve güvenlik açıklarının en kritik olduğunu ve hangilerinin daha sonra ele alınabileceğini gösteren deneysel, objektif bir yol sağlayarak ASM değerlendirme aşamasına katkıda bulunur.
Siber risk puanlaması sürekli bir süreçtir. Skorlar düzenli olarak güncellenirken, siber güvenlik ekipleri ve iş liderleri genel risk ortamının nasıl değiştiğini görebiliyor: Hangi risklerin ele alınması daha önemli ve acil hale geliyor ve hangileri başarıyla azaltılıyor.
Siber risk puanlarını hesaplama yöntemleri
Siber risk puanlaması için birçok çerçeve veya yöntem vardır. En basiti, bir saldırının olasılığını tahmin etmek, bu değeri atamak ve bunu, saldırının sayısal bir risk puanına ulaşması için potansiyel şiddetiyle çarpmaktır.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) çerçevesi
NIST, sistemdeki tüm bileşenlere güvenlik kategorileri atayan ve her biri için düşük, orta veya yüksek seviyede güvenlik kontrolü tabanı belirleyen bir siber risk skorlama çözümü sunmaktadır. Her kontrole, kuruluşun genel güvenlik ve gizlilik duruşu için göreceli önemine bağlı olarak 1 ila 10 arasında bir başlangıç ağırlığı atanır.
NIST çerçevesinde, risk profili oluşturma, gerekli kontrollerin gerekli kapsamını belirlemeye yardımcı olur. Gizlilik, bütünlük ve kullanılabilirlik (‘CIA’ olarak kısaltılır) gibi faktörler 1 ila 10 arasında bir ölçekte atanır ve ilgili verilerin/bilgilerin kritikliğine göre çeşitli kontrollere uygulanır.
Geçmiş ihlaller, kuruluşun endüstrisini/sektörünü etkileyen bilinen olaylar ve diğer bağlamsal içerik hakkındaki geçmiş bilgiler de gelecekteki olayların potansiyel riskini doğru bir şekilde gösteren kestirimci bir puan sağlamak için değerlendirilir.
Diğer yaklaşımlar
Siber risk puanlarını hesaplamanın diğer yöntemleri şunları içerir:
- Bilgi Riskinin Faktör Analizi (FAIR) - CRQ'da olduğu gibi genellikle finansal tabanlı risk puanlaması için kullanılır. FAIR yönteminin bir parçası olarak, riskler alt bileşenlere ayrılarak daha hassas ve ayrıntılı bir analiz sağlanır.
- Operasyonel Açıdan Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi (OCTAVE) - İsminden de anlaşılacağı gibi, varlığa özgü tehditlere ve altyapı güvenlik açıklarına dayalı risk hesaplamaları ile iş operasyonlarına odaklanmıştır.
- ISO/IEC 27005 - Risk yönetimi bağlamının tanımlanması, risklerin belirlenmesi ve değerlendirilmesi (saldırı olasılığı dahil) ve hafifletme önlemleri (‘risk iyileştirme planları’) ile ilgili bilgi güvenliği risk yönetimi hakkında rehberlik sağlar.
Risk puanlamasına katkıda bulunan bir diğer unsur da Ortak Güvenlik Açığı Puanlama Sistemidir (CVSS). CVSS, tüm risk puanlama işini yapmaz, ancak yazılımda tanımlanan güvenlik açıklarının potansiyel ciddiyetini derecelendirmek için faydalı bir yol sağlar. Bu derecelendirmeler daha sonra genel risk puanlama hesaplamasının bir parçası olarak kullanılabilir.
Siber güvenlik risk puanlamasında bize kim yardımcı olabilir?
Trend Micro, kuruluşların risk düzeylerini ve siber güvenlik açıklarının nerede olabileceğini belirlemelerine yardımcı olmak için Siber Risk Endeksini (CRI) Ponemon Institute ile birlikte geliştirdi. CRI, risk kategorileri ve faktörlerinin kapsamlı bir değerlendirmesine dayalı olarak kuruluşlara bir risk puanı atar. Endeks, kullanıcılar, cihazlar, uygulamalar, internete yönelik etki alanları ve IP adresleri ve bulut tabanlı varlıklar dahil olmak üzere çok çeşitli varlıkları etkileyen risk olaylarını içerir.
CRI değerlendirmesi, risk faktörlerinin bir kuruluşun belirli ortamını nasıl etkilediğini değerlendirmek için bağlı veri kaynaklarına dayanır. Ne kadar çok veri kaynağı dahil edilebilirse, CRI sonucu o kadar eksiksiz ve kapsamlı olacaktır.
CRI, dört saatte bir otomatik olarak güncellenir ve risk olaylarının durumundaki değişiklikler bir saate kadar sonra yansıtılır. Kuruluşlar, Yeniden Hesapla düğmesine tıklayarak CRI'larını manuel olarak yeniden hesaplayabilir. Kuruluşunuzun risk puanını belirlemek için buradaki CRI hesaplayıcısını kullanın.
Trend Vision One™, kurumların siber risk ayak izini azaltmak için riskleri proaktif şekilde ortaya çıkarmalarını, değerlendirmelerini ve etkisiz hale getirmelerini sağlayan bir Siber Risk ve Maruziyet Yönetimi (CREM) çözümü sunar. CREM, devrim niteliğinde bir yaklaşımla; Bulut, veri, kimlik, API'ler, yapay zekâ, uyumluluk ve SaaS uygulamaları genelinde Dış Saldırı Yüzeyi Yönetimi (EASM), Siber Varlık Saldırı Yüzeyi Yönetimi (CAASM), Zafiyet Yönetimi ve Güvenlik Duruşu Yönetimi gibi kritik yetkinlikleri tek, güçlü ve kullanımı kolay bir çözüm altında birleştirir. Önemli olan yalnızca tehditleri yönetmek değil, gerçek risk dayanıklılığı oluşturmaktır.
Siber Risk Maruziyet Yönetimi ile kurumunuzu nasıl daha dirençli hale getirebileceğinizi keşfedin.