Şirketler siber güvenliğe büyük yatırımlar yapmak suretiyle hacker dünyasından gelen tehlikelere karşı kendilerini güvende tutmaya çalışıyor. Peki yapılan bu milyonlarca dolarlık yatırımların getirilerini ölçmek mümkün mü?
Darkreading.com için bir yazı kaleme alan John Ayers’e göre güvenlik yöneticileri görünürlük ve metriklere odaklanırsa, uyguladıkları güvenlik programlarının değerini şirket yöneticilerine gösterebilirler.
Optiv’de Gelişmiş Algılama Başkan Yardımcısı John Ayers, herhangi bir güvenlik programına yapılan yatırımın getirisini hesaplamanın bir şirketin söz konusu programdan elde etmek istediği sonucun ne olduğunu erken ve net bir şekilde belirlemesiyle başladığını düşünüyor. Bu, program özelinde ve şirket bazında değişiklik gösteriyor. 40 milyar dolarlık bir finansal kuruluşun ve 500 milyon dolarlık bir üretim şirketinin güvenlik söz konusu olduğunda yatırım getirisi olarak gördüğü şeyin değişiklik göstereceği kesin. Ancak Ayers’e göre temelde her iki kuruluşun da riski azaltmak ve yönetmek ister ve temel amaç, farklı bütçelere ve vadelere rağmen aynıdır. Peki bunu nasıl yapabiliriz?
Ayers bunu üç maddede özetliyor:
- Verilerin bulunduğu yeri dönüştürerek.
- Varlık (cihazlar veya veri kaynakları) yönetimini uygulayarak.
- Sıfır güven veya MXDR (Genişletilmiş Algılama ve Yanıt Sistemi) gibi yeni çerçeveler uygulayarak.
Bu üç maddenin uygulanmasının oldukça masraflı olduğunu biliyoruz. Peki bunlar güvenlik değerini nasıl artırır? Bahsi geçen üç madde verileri ölçülebilir bir formata dönüştürür ve böylece ilgili ölçümleri raporlayabiliriz.
Bu metriklerin örnekleri birçok biçimde olabilir. Tepkici bir bakış açısıyla, türe göre zaman içindeki toplam güvenlik olayı sayısı; ortalama algılama süresi (MTTD); ortalama çözüm süresi (MTTR); zaman içinde izinsiz giriş teşebbüsleri ve ağdaki tanımlanamayan aygıt sayısı gibi şeylerden bahsetmek gerekir.
Suçlar geliştikçe, siber güvenlik sektörü istikrarlı büyümeye devam edecek
PROAKTİF ÖLÇÜMLER PERFORMANS HESAPLAMADA KULLANILIYOR
“Proaktif metrikler” dediğimiz şeyler de eğitim ve güvenlik açığı yönetiminin ne kadar iyi performans gösterdiğini hesaplamak için oluşturulan ölçümler. Kimlik avı testi başarı oranı; güvenlik farkındalığı tamamlama oranı; düzeltme eki uygulanacak ortalama gün sayısı; ağdaki tam olarak yamalanan aygıtların yüzdesi; ve personel tarafından bildirilen güvenlik olaylarının sayısı gibi işlemler buna örnektir.
Eğer güvenlik yöneticileri görünürlüğe odaklanırlarsa ve güvenlik ekiplerinin neleri tespit edebildiğini bildirirlerse, şirket yönetimine ve yönetim kurullarına şirketlerinin hızlı bir şekilde tespit ederek insan, süreç, teknoloji ve hızla tekrar potansiyel tehditleri tespit edip cevap verebilecek durumda olduğunu gösterebilir.
