SİBER GÜVENLİK OLGUNLUK SEVİYESİ​

Siber güvenlik olgunluk seviyesi nedir?

Siber güvenlik olgunluk seviyesi kuruluşunuzun siber güvenlik yolunda nerede olduğunu periyodik olarak değerlendirme anlamına gelir. Bu, siber güvenlik ile ilgili iyileştirmeler yapmak, üst yönetimle iletişim kurmak ve gerekli desteği almak için değerli bir araçtır.

Gerçekten etkili bir siber güvenlik programının sürekli olarak gelişmesi ve geliştirilmesi gerekir. Ancak birçok kurum hem mevcut durumlarını hem de yakın veya uzak gelecekte neler yapılması gerektiğini belirlemekte güçlük çeker.

siber güvenlik olgunluk seviyesi

“Ölçemezseniz, yönetemezsiniz”

Peter Drucker’ın meşhur sözü

Birçok kuruluş siber güvenlik konusundaki gelişimlerini takip etmek amacıyla kapatılan güvenlik açıklarını saymakta ya da yasal düzenlemelere veya endüstri standartlarına uygunluğu rapor etmektedir.

Ancak, bu yaklaşımların hiçbiri kuruluşunuzun siber güvenlik olgunluk seviyesinin gerçek bir göstergesi değildir ve iyileştirme için bir çerçeve sağlamaz.

Ölçmek ve iyileştirmek için, kuruluşların bir siber güvenlik olgunluk seviyesi modeli benimsemeleri gerekir.

Siber güvenlik olgunluk seviyesi modeli nedir?

Siber güvenlik olgunluk seviyesi modeli, bir güvenlik programının olgunluğunun ölçülmesi ve bir sonraki seviyeye nasıl geçileceğine dair bir çerçeve sunmaktadır. İlerlemelerin durumu ve bir sonraki adımda yapılacaklar konusunda bilgi verir.

Forbes’da yayınlanan bir makaleye göre; siber güvenlik olgunluk seviyesi yetkinlik modeli (C2M2) ve Ulusal Standartlar ve Teknoloji Enstitüsü siber güvenlik çerçevesi (NIST CSF), kapsamlı bir yaklaşım sunan modellerdir.

Her ne kadar siber güvenlik olgunluk seviyesi yetkinlik modeli (C2M2), Amerika Birleşik Devletleri Enerji Bakanlığı tarafından enerji ve kamu hizmeti kuruluşları tarafından kullanılmak üzere geliştirilmiş olsa da, herhangi bir kuruluş bunu siber güvenlik yetkinliğini ölçmek için kullanabilir.

C2M2 modeli, kuruluşların zayıf ve güçlü alanlarını belirlemelerine yardımcı olmak için ölçüm sağlayan aşağıdaki 10 alandan oluşmaktadır:

·      Risk yönetimi

·      Varlık, değişim ve konfigürasyon yönetimi

·      Kimlik ve erişim yönetimi

·      Tehdit ve güvenlik açığı yönetimi

·      Durumsal farkındalık

·      Bilgi paylaşımı ve iletişim

·      Olay müdahalesi

·      Operasyonların sürekliliği

·      Tedarik zinciri ve dış bağımlılık yönetimi

·      İşgücü yönetimi ve siber güvenlik programı yönetimi

Kuruluşlar bu başlıklar altında güçlü ve zayıf yönlerini belirleyebilmektedir.

NIST CSF ise 10 başlık yerine 5 siber güvenlik işlevini kapsar:

Tanımlama (identify)

Koruma (protect)

Tespit etme (detect)

Müdahale etme (respond)

Kurtarma (Recover)

Siber güvenlik olgunluk seviyesi hangi aşamalardan oluşur?

Özetle; “kuruluşunuzun güncel siber saldırılara karşı dayanıklılığı” da diyebileceğimiz siber güvenlik olgunluk seviyesi, mutlaka takip edilmesi gereken bir konudur ve aşamalardan oluşmaktadır.

Reaktif evre: kuruluş saldırılara karşı daha çok savunma konumundadır. Firewall, antivirüs, IPS/IDS benzeri çözümlerle savunma hattını oluşturur ve güvenliğini sağlamaya çalışır.

Proaktif evre: Bu yaklaşımda ise reaktif güvenlik yapısı üzerine önemli bir katman ilave edilir.

Proaktif evrede, kuruluş sadece kendini savunmaz, aynı zamanda kendine saldırganın gözünden bakar ve kendisine gelen saldırıları inceler ve gelebilecek olan saldırıları öngörmeye çalışarak risk değerlendirmesi yapar. Bu sayede hem mevcut güvenlik seviyesini sürekli iyileştirme imkânı bulur, hem de güvenlik çözümlerini atlatması muhtemel bir saldırganı tespit edebilir.

Siber güvenlik olgunluk seviyesinin ölçülmesinin bir başlangıç olduğu ancak oldukça önemli bir adım oluğu unutulmamalıdır.

Belirlenen çerçevede, kuruluşun bir program belirlemesi ve bu programın kuruluş yapısına uygun olarak seçilmesi ve izlenmesi gerekir.

Siber güvenlik olgunluk seviyesinin belirlenmesi için neler yapılır?

Zafiyet taramaları ve sızma testleri güvenlik açıklarının siber saldırganlardan önce tespit edilip giderilmesine imkan verdiği için genel güvenlik seviyesinin iyileştirilmesi konusunda en önemli adımlardan birisidir.

Siber güvenlik seviyesinin değerlendirilmesi için ele alınması gereken birden fazla ölçüt vardır. Örneğin, son 3 ay, 6 ay veya 1 sene içerisinde sistemlerinize hiç zararlı yazılım bulaşmamış olması güvenlik seviyenizin iyi olduğunu kanıtlayacak bir ölçü değildir. Bunun yanında kaç olayın yaşandığının, kaçının engellendiğinin, kaçının tespit edildiğinin ve çok daha önemlisi, mevcut güvenlik yapınızın hangi saldırıları hiç göremediğini de ortaya koymak gerekir. Ancak bu sayede güçlü yönler ve iyileştirilmesi gereken noktalar görülebilir.

Proaktif siber güvenlik yaklaşımına geçiş bir miktar yatırım gerektirir ve bu yatırımların doğru şekilde planlanması, yatırımın geri dönüşünün sağlanması için çok önemlidir.

Sonuç olarak; siber güvenlik olgunluk seviyesi modeli kuruluşa ileriye doğru bir yol çizme olanağı tanır ve bu yol boyunca da ölçme ve değerlendirme yaparak sürekli gelişim, iyileştirme yapılması imkanını sunar.

Başa dön