EMC Güvenlik Birimi RSA, çevreye dayalı çözümlerdense tespit ve tepki teknolojilerine yatırım yapan kurumların siber tehditlere karşı daha iyi bir savunma kurduğunu gösteren veriler yayınladı. Yılda bir kez yapılan ve 81 ülkeden, 24’ün üzerinde sektörden 878 katılımcının anket sonuçlarını bir araya getiren ikinci RSA Siber Güvenlik Yetersizliği Endeksi, geçen yılki katılımcı sayısının iki katından fazlasına ulaştı. Rapor, üst üste iki yıldır gerçekleştirilen anketin bu yılki katılımcılarının %75’inin ciddi şekilde siber güvenlik riskine maruz olduğunu gösterdi. Özellikle Tehditlere Karşı Verilen Yanıt (Incident Response – IR) alanındaki becerileri çok yetersiz kalıyor. Kurumların neredeyse yarısı temel IR becerilerini “geçici” veya “yok” olarak belirtti. Bununla birlikte, işletmelerini etkileyen bir güvenlik tehdidiyle bir kez karşılaşmış olan kurumların, siber güvenlik yetenekleri artıracak programlara önem verdiği görülüyor. Anket, aynı zamanda çoğu kuruluşun siber riskin faaliyetlerini nasıl etkileyebileceğini anlamadıkları için siber güvenliği iyileştirme çabalarında zorluk çektiğini gösteriyor.
Siber güvenlik araştırmasına göre her boyuttan, her sektörden ve her coğrafyadan kurumun karşılaştığı tehditlere karşı hazırlıksız hissettiğini belirten EMC Güvenlik Birimi RSA Başkanı Amit Yoran, “Güvenlik konusunda düşünme şeklimizi değiştirmemiz, sadece engellemekten fazlasına odaklanmamız, tespit ve tepkiyi vurgulayan bir strateji geliştirmemiz gerekiyor. Kurumların erkenden yeni gündemler belirlemesi, kapsamlı stratejiler oluşturması ve harekete geçmek için bir ihlali beklememesi gerekiyor” dedi.
Saldırıya uğrayan şirketlerin güvenlik önlemleri gelişiyor
RSA Siber Güvenlik Yetersizliği Endeksi’nin sonuçları, sıkça güvenlik olayları tespit eden ve deneyimleyen kurumların becerilerinin gelişmiş veya avantajlı olma ihtimalinin %65 daha yüksek olduğunu ortaya çıkardı. Bu da düzenli olarak güvenlik tehditleriyle uğraşan kurumların güvenlik programlarını desteklemek için aldıkları önlemleri hızlandırdığını ve sonuçta bu konudaki becerilerini olgunlaştırdıklarını gösteriyor. Kuruluşlar, önleyici stratejiler uygulamaya odaklanmalı ve tespit ve tepki gibi önemi artan diğer becerilere göre bunu geliştirmeyi bir öncelik haline getirmeli.
2015 anketinden bu yana en önemli değişikliklerden biri, olgun siber güvenlik programlarına sahip kurumların sayısındaki artış oldu. Avantajlı beceriler rapor eden kurumların yüzdesi – en yüksek kategori – önceki endeksin yarısından fazla artarak yüzde 4,9’dan yüzde 7,4’e ulaştı. Ancak kurumların genel siber güvenlik hazırlık algısı, yerinde saymaya devam ediyor. Ciddi siber güvenlik açığı riskine maruz olduğunu rapor eden katılımcıların sayısı, yaklaşık %75’te sabit kalarak güvenlik hazırlığına “sahip olanlar ve olmayanlar” arasındaki artan eşitsizliği ortaya koyuyor.
Şirketlerin yüzde 45’i siber riskleri tanımlayamıyor
Anket, aynı zamanda kurumların siber güvenliklerini ve risk karşısındaki duruşlarını iyileştirmek için proaktif adımlar atma konusunda da zorlandığını gösteriyor. Toplamda ankete katılanların %45’i, siber risk kataloglama, değerlendirme ve hafifletme becerilerini “yok” veya “geçici” olarak nitelendirirken sadece %24, bu alanda olgun olduklarını rapor etti. Siber Risk İştahı, yani karşılaşılan riskler ve bunların kurumlar üzerindeki potansiyel etkisini hesaplayamamak, hafifletme çabaları ve yatırıma öncelik vermeyi zorlaştırıyor. Ancak bunlar güvenliğini ve risk duruşunu iyileştirmek isteyen her kurum için temel adımlar.
İkinci yıldır anket sonuçları, CSF’nin orijinal hedef kitlesi olan kritik altyapı operatörlerinin, şu anki olgunluk seviyelerinde ileriye doğru nasıl önemli adımlar atması gerektiğini vurguluyor. Kamu ve enerji kurumları, gelişmiş veya avantajlı olarak derecelendiren sadece %18 katılımcı ile ankete katılan sektörler arasında en alt sırada yer aldı. Havacılık ve savunma endüstrisindeki kurumlar, gelişmiş veya avantajlı becerilere sahip olduğunu söyleyen %39 oranında katılımcı ile açık ara en yüksek olgunluk seviyesini rapor etti. Karşılaştıkları çok sayıdaki siber saldırı nedeniyle sıklıkla endüstriye yön verdiği söylenen finansal hizmet kurumları, %26 oranında iyi hazırlanmış olarak derecelendirerek ortada yer aldı. Bu oran geçen yıl ortaya çıkan %33 oranına göre önemli bir düşüş anlamı taşıyor.
EMEA bölgesi saldırılara karşı en olgun bölge konumunda
Amerika kıtasındaki kurumların rapor edilen gelişmişlik seviyeleri EMEA ve Asya Pasifik bölgelerinin gerisinde kalmaya devam etti. EMEA’daki kurumlar, gelişmiş veya avantajlı olarak derecelendiren %29 ile genel olgunlukta en olgun güvenlik stratejilerini bildirirken Asya Pasifik’teki kurumların sadece %26’sı ve Amerika kıtasındaki kurumların sadece %23’ü gelişmiş veya avantajlı olarak derecelendirildi. EMEA yüzde 3 puan yükselerek, 13 puan düşen Asya Pasifik’ten en üst sırayı devraldı.