EMC’nin güvenlik birimi RSA, 61 ülkeden 400’den fazla güvenlik uzmanının katılımıyla ilk kez oluşturulan Siber Güvenlik Eksikliği Endeksini açıkladı. Araştırma farklı organizasyon boyutları, endüstriler ve coğrafyalarda güvenlik gelişmişliği ve uygulamaları ile ilgili değerli küresel bilgiler sağladı. Daha büyük organizasyonların daha kapsamlı bir siber savunma oluşturacak kaynakları olduğu düşünülse de anket sonuçları boyutun siber güvenlik gelişmişliğinin belirleyicisi olmadığını ve katılımcıların neredeyse yüzde 75’inin güvenlik gelişmişliği konusunda yeterli olmadıklarını düşündüğünü ortaya çıkardı.
Geçtiğimiz 12 ayda ankete katılan çok sayıda organizasyonun operasyonlarında kayba veya zarara neden olan güvenlik olaylarını rapor ettiği göz önüne alındığında, genel güvenlik gelişiminin eksik oluşu sürpriz değil. Genel olarak araştırmada en olgun özelliğin Korunma alanında olduğu belirlendi. Araştırma sonuçları, organizasyonların algılama ve yanıt yerine engellemeye yönelik güvenlik denetimlerine yoğunlaşmaya devam etmelerinden dolayı güvenlikle ilgili yapılan harcamanın hala orantısız olduğunu ve modası geçmiş yaklaşımlar tarafından yönlendirildiğini ortaya koydu.
Ek olarak, ankete katılan organizasyonların en önemli zayıflığının siber güvenlik riskini ölçme, değerlendirme ve azaltma kapasitesi olduğu görüldü. Buna göre ankete katılan kurumların yüzde 45’inde bu alanda herhangi bir özellikleri olmadığı veya geçici çözümlere sahip olduklarını ve sadece yüzde 21’i bu alanda gerekli kapasiteye sahip olduklarını belirtti. Bu bakış açısı, güvenlik kapasitesini iyileştirmeyi öngören bir organizasyon için temel oluşturacak güvenlik etkinliği ile yatırım önceliklendirmesini son derece zor veya imkansız hale getiriyor.
Büyük şirketler güvenlikte daha başarılı değil
Beklentilerin aksine araştırma, organizasyonun boyutunun gelişmişlik göstergesi olmadığını ortaya koydu. Aslında, 10 binin üzerinde çalışana sahip organizasyonların yüzde 83’ü, kapasitelerini “az gelişmiş” olarak değerlendirdi. Bu sonuç daha fazla kaynağa sahip olmalarına rağmen büyük organizasyonların daha az etkili güvenlik kontrollerini geliştirmeye odaklandıklarını veya daha açık hedefler haline geldikleri sonucunu çıkardı.
Ayrıca diğer endüstrilerden daha geniş hacimli ve karmaşık siber saldırılarla karşı karşıya kaldıkları için güvenliğin geliştirilmesi konusunda endüstrinin lideri olarak görülen Finansal Hizmet organizasyonlardan gelen sonuçlar beklenenin aksini gösteriyor. Buna karşın yaygın görüşün aksine ankete katılan finansal hizmet organizasyonları derecelendirmede kendilerini birinci sıraya yerleştirmiyor ve sadece üçte biri bu gibi saldırılara hazırlıklı olduğunu belirtiyor. Siber Güvenlik Çerçevesi için ilk hedef kitle olan kritik altyapı operatörlerinin gelişmişlik seviyelerini artırmak için son derece büyük adımlar atması gerekiyor. Telekomünikasyon sektöründeki organizasyonların yüzde 50′si gelişmiş veya yüksek kapasiteye sahip olduğunu belirterek gelişmişlik seviyesi en yüksek sektör olurken, kamu sektörü ise ankette yer alan tüm sektörlerin ardından sonuncu oldu, katılımcıların sadece yüzde 18‘i gelişmiş veya avantajlı korunma düzeyine sahip olduğunu belirtti.
Siber Güvenlik Çerçevesi’nin Birleşik Devletler’de geliştirilmiş olmasına rağmen Amerika kıtasında organizasyonların rapor edilen gelişmişlik düzeyleri Asya Pasifik Japonya ile Avrupa, Orta Doğu ve Afrika’dan daha düşük. Asya Pasifik Japonya’daki organizasyonlar gelişmiş güvenlik stratejilerinde yüzde 39’luk gelişmiş veya avantajlı olarak derecelendirilerek birinci olurken, Avrupa, Orta Doğu ve Afrika’daki organizasyonların sadece yüzde 26’sı ve Amerika Kıtası’ndaki organizasyonların ise sadece yüzde 24’ü gelişmiş veya avantajlı olarak değerlendirildi.