İşletmeler için siber güvenliğin gerçek maliyeti

Informatec Dijital » Ücretsiz Destekler » İşletmeler için siber güvenliğin gerçek maliyeti

Hakkında konuşmak siber güvenliğin gerçek maliyeti Artık mesele sadece virüs koruma lisansları veya bir sorun çıktığında yardım edecek bir BT uzmanı tutmakla sınırlı değil. Günümüzde, bir şirketin ciddi bir güvenlik olayında riske attığı para, her türlü riskin çok ötesindedir... makul koruma yatırımıSigorta şirketlerinden, danışmanlık firmalarından ve kamu kurumlarından elde edilen veriler bunu oldukça açık bir şekilde ortaya koyuyor.

Siber saldırıların hacmi ve karmaşıklığı hızla artarken, Birçok şirket yeterince korunmamaktadır.Sıkı bütçeler, parça parça alınan önlemler ve "bu benim başıma gelmez" yaklaşımıyla, ilk felaket çok pahalıya mal oluyor. Büyük sanayi ve enerji gruplarından yerel KOBİ'lere kadar, üstlenilen risk ile bu riski azaltmak için ayrılan para arasındaki uyumsuzluk giderek daha belirgin hale geliyor.

Siber olayların doğrudan maliyeti: Korkutucu rakamlar

Siber sigorta tazminat talepleri geniş ölçekte analiz edildiğinde, şu durum açıkça ortaya çıkmaktadır: veri ihlalleri ve bilgi sızıntıları Bunlar en sık görülen olay türleridir ve dahası, en büyük ekonomik kayıplara yol açanlardır. Birkaç kişiyi etkileyen vakalardan, bir milyondan fazla müşteriyi etkileyen olaylara kadar uzanan bu durum, bildirimler, kriz yönetimi, avukatlar, cezalar ve itibar kaybı açısından birçok sonuç doğurmaktadır.

Yaklaşık 90 ülkede on yılı aşkın bir süre içinde 4.650 sigorta talebi üzerinden yapılan küresel bir araştırma, şu sonuçları ortaya koyuyor: siber saldırının ortalama maliyeti Olay başına yaklaşık 2,4 milyon dolar. Sorun büyük bir veri ihlalini içerdiğinde, etki daha da artar: veri ihlalinin ortalama maliyeti Teknik, hukuki, operasyonel ve itibar maliyetleri de dahil olmak üzere yaklaşık 3,9 milyon dolar civarında.

Dahası, “büyük felaketlerin” etkisi muazzamdır: Olayların sadece %4'ü Bazı tazminat talepleri 10 milyon doları aşsa da, bu küçük grup toplam kayıpların yaklaşık %91'ini oluşturmaktadır. En uç noktalarda ise bazı tazminat talepleri 331 milyon dolara kadar ulaşarak, yüksek risk altındaki bir kuruluşa yönelik iyi hedeflenmiş bir saldırının yıkıcı potansiyelini göstermektedir.

Tekrar tekrar ortaya çıkan faktörlerden biri şudur: Yeterli güvenlik önlemlerinin eksikliğiAnaliz edilen kayıpların yaklaşık dörtte biri yetersiz korumadan kaynaklanmaktadır: yamalanmamış sistemlerGevşek erişim kontrolleri, tedarikçi denetiminin eksikliği veya operasyonlara hızlı bir şekilde geri dönmeyi sağlayacak müdahale ve kurtarma planlarının olmaması gibi sorunlar ortaya çıkabilir.

Başlıca zarar nedenleri: üçüncü şahıslar, insan hatası ve fidye yazılımı.

Bu olayların çoğunun kaynağına bakıldığında, veri ihlallerinden kaynaklanan kayıpların çok önemli bir kısmının şunlarla bağlantılı olduğu açıkça görülmektedir: tedarikçiler ve üçüncü taraflarBu tür olayların yaklaşık yarısı, müşteri ve çalışan verilerini depolayan veya işleyen ortakları etkileyen arızalardan veya saldırılardan kaynaklanmaktadır. Bu durum, yalnızca kuruluşun kendi içinde değil, tüm tedarik zinciri boyunca kapsamlı ve düzenli bir siber güvenlik incelemesini gerektirmektedir.

Jardines de Viveros insan hataları Bunlar bir başka klasik örnek olmaya devam ediyor. Veri ihlalleriyle ilişkili kayıpların yaklaşık %24'ü, çalışanların veya ortakların dikkatsizliği veya kötü uygulamalarıyla ilgilidir: kimlik avı e-postalarındaki bağlantılara tıklamak, sahte mesajlara yanıt vermek, hassas belgeleri yanlış alıcıya göndermek veya yeterli önlem alınmadan kimlik bilgilerini paylaşmak. İyi bir işe alım ve eğitim programı Bu riskleri önemli ölçüde azaltır.

Bu arada, saldırılar devam ediyor. fidye Sürekli bir yükseliş trendi gösteriyorlar. Bu tür kötü amaçlı yazılımlar, erişimi geri yükleme karşılığında fidye talep etmek için sistemleri ve verileri şifreliyor veya kilitliyor ve birçok durumda baskıyı artırmak için bilgi hırsızlığı ve ifşasıyla birleştiriliyor. Model o kadar profesyonelleşti ki, bu hizmeti sunan operatörler ortaya çıktı. fidye-as-a-serviceDiğer suçlulara ekipman, altyapı ve destek sağlamak karşılığında ganimetin bir yüzdesini almak.

Bu senaryo, şunlara sahip olmayı zorunlu kılıyor: iş sürekliliği ve kurtarma planı İyi tasarlanmış, test edilmiş ve güncellenmiş: sağlam ve izole edilmiş yedeklemeler, tehlikeye girmiş sistemleri izole etmeye yönelik net prosedürler, koordineli iç ve dış iletişim ve her şeyden önemlisi, periyodik tatbikatlar Şirket saldırı altındayken doğaçlamadan kaçınanlar.

Siber güvenlikte risk ve bütçe arasındaki fark

Saldırganlar araçlarını ve yöntemlerini geliştirirken, koruma harcamaları her zaman aynı hızda artmıyor. İspanya gibi pazarlarda, son tahminler şunu gösteriyor: siber suçun maliyeti 2028 yılına kadar %148'e varan bir artışla yaklaşık 69.000 milyar avroya ulaşabilir. Ancak siber güvenliğe ayrılan bütçe yıllık %6'nın biraz altında bir oranda artıyor ve bu da üstlenilen risk hacmi ile gerçek savunma düzeyi arasında giderek daha endişe verici bir uçurum yaratıyor.

Bu durum özellikle hassastır. stratejik sektörlerFaaliyetlerin aksaması sadece ekonomik kayıplara yol açmakla kalmaz, aynı zamanda bir ülkenin güvenliğini, tedarikini veya temel hizmetlerini de etkiler. Geçtiğimiz yıl, kaydedilen saldırıların yaklaşık dörtte biri imalat sanayinde gerçekleşti; bunu enerji ve tedarik sektörleri ile ulaşım sektörü izledi ve bu sektörler de önemli bir oranda olaylardan etkilendi.

Büyük bir İngiliz otomobil şirketine yönelik siber saldırı gibi, o ülkenin en maliyetli saldırılarından biri olarak kabul edilen yüksek profilli vakalar, tek bir olayın üretimi felç edebileceğini, tedarik zincirlerini aksatabileceğini, itibara zarar verebileceğini ve milyonlarca dolarlık tazminat taleplerine yol açabileceğini açıkça ortaya koymaktadır.

Bu duruma rağmen, birçok kuruluş hala gösteriyor. düşük olgunluk seviyeleri Siber güvenlik alanında, son raporlar şirketlerin yalnızca küçük bir bölümünün, yaklaşık %2'sinin, kapsamlı bir siber dayanıklılık stratejisi uyguladığını gösteriyor. Bu strateji, yalnızca saldırıları önlemeyi değil, aynı zamanda bunlara karşı koymayı ve bunlardan hızlı ve kontrollü bir şekilde kurtulmayı da amaçlayan kapsamlı bir yaklaşımdır.

İyi haber şu ki, yöneticilerin büyük çoğunluğu bu alanı güçlendirme ihtiyacını zaten fark etmiş durumda. Şirketlerin dörtte üçünden fazlası şunu bekliyor: siber güvenlik bütçelerini artırmak Kısa vadede, önemli bir kısmı çift haneli artışlar planlıyor ve bu yatırımları ertelemeye devam etmenin gelecekteki maliyeti artıracağının farkındalar.

Dijitalleşme, bağlantı ve yeni bir saldırı yüzeyi

Dijital dönüşüm, acil servisler, lojistik, altyapı bakımı ve savunma gibi birbirinden çok farklı sektörlerde çalışma şeklimizde devrim yarattı. Bağlantılı mobil ve dizüstü bilgisayarlar, gerçek zamanlı bilgilere erişim, rota optimizasyonu, ekiplerin koordinasyonu ve arıza sürelerinin azaltılmasına olanak tanıyor. Ancak diğer yandan, Bu bağlantı biçimi, saldırganların oyun alanını da genişletiyor.. dönüştürmek dijital Riskin katlanarak artmasını önlemek için özel önlemler alınması gerekmektedir.

BT ekibinin doğrudan denetiminin sınırlı veya hiç olmadığı uzak veya saha ortamlarında riskler artar: kurumsal sistemlere yetkisiz erişim, cihazların kaybolması veya çalınması Hassas veriler içermesi, güvenli olmayan kablosuz ağlara bağlantı kurulması ve kontrolsüz uygulamaların kullanılması. Tüm bunlar, görünüşte küçük bir güvenlik açığının ciddi bir probleme dönüşmesi için mükemmel bir senaryo oluşturuyor.

Bu sektörlerde kullanılan dayanıklı cihazlar (taşınabilir dizüstü bilgisayarlar ve tabletler), aşırı koşullarda çalışmak üzere tasarlanmıştır ve izole alanlarda bile 4G LTE veya 5G gibi gelişmiş bağlantı özellikleri sunar. Ancak, Yeterli güvenlik stratejisi olmadan artan bağlantı Bu, felakete davetiye çıkarıyor: daha fazla giriş noktası, yamalanması gereken daha fazla cihaz, yönetilmesi gereken daha fazla kimlik.

Bu riskleri azaltmak için çok katmanlı, uç nokta merkezli bir koruma yaklaşımı mantıklıdır: donanım yazılımı düzeyinden itibaren gelişmiş güvenlik özelliklerine sahip donanımlar, varsayılan olarak güvenlik ilkeleriyle yapılandırılmış işletim sistemleri, sağlam kimlik kontrolleri (çok faktörlü kimlik doğrulama gibi), tam disk ve iletişim şifrelemesi ve izleme araçları Şüpheli faaliyetlerin gerçek zamanlı olarak tespit edilmesini sağlayan yöntemler.

Bu temelde, sistematik kullanım gibi ek katmanlar eklenmesi tavsiye edilir. Güvenli VPN'ler Uzaktan erişim için, yazılım ve donanım yazılımı güncellemelerinin yönetimine yönelik katı politikalar (bilinen güvenlik açıklarına açık pencerelerin bırakılmasından kaçınma) ve saha çalışmasının özel bağlamını dikkate alan olay müdahale planları gereklidir.

Siber riskleri ölçün ve yatırımlara öncelik verin.

Birçok şirket için en büyük zorluklardan biri, sezgiye veya genel korkulara dayalı kararlardan, daha bilinçli kararlara geçmektir. nicel siber risk yönetimiÇoğu yönetici, siber riskin ölçülmesinin, fonların nereye tahsis edileceğine, hangi projelere öncelik verileceğine ve risk azaltma açısından hangi kontrollerin en uygun maliyetli olduğuna karar vermede kilit önem taşıyacağı konusunda hemfikir.

Ancak, kuruluşların yalnızca küçük bir azınlığı kaynaklarını gerçekten en yüksek riskli alanlarla uyumlu bir şekilde tahsis ettiğini iddia etmektedir. En sık karşılaşılan engeller arasında şunlar yer almaktadır: Tehditlerin gerçek boyutuna ilişkin belirsizlikGüvenilir veri eksikliği, bu bilgilerin işletme tarafından anlaşılabilir ölçütlere dönüştürülmesindeki zorluk ve mevcut nicelleştirme modellerine duyulan güvensizlik.

Buna rağmen, farklı türdeki olaylar için finansal etki değerlendirmelerinin kullanımı giderek yaygınlaşıyor. Bu çözümler, örneğin, kritik bir sistemin uzun süreli kesintisinin ne kadar maliyete yol açabileceğini veya sektöre, geçerli düzenlemelere ve şirketin müdahale kapasitesine bağlı olarak büyük bir müşteri veri ihlalinin ne gibi etkiler yaratabileceğini tahmin etmeye yardımcı oluyor.

Büyük şirketlerin ötesinde, hatta KOBİ'ler bundan faydalanabilir. Bu maliyeti ölçmek için daha basit yaklaşımlar faydalıdır; hatta sadece potansiyel kayıp için yaklaşık bir rakamı mevcut koruma harcamalarıyla karşılaştırmak için bile. Bu karşılaştırma genellikle aydınlatıcıdır ve siber güvenliğe yatırım yapmanın, ciddi bir olayın maliyetine kıyasla aslında ne kadar ucuz olduğunu ortaya koyar.

Bu bağlamda, sigortacılar ve uzman aracı kurumlarla yakın işbirliği çok faydalı olabilir. Sağlayıcılar, teknoloji mimarisi ve iş süreçleri hakkında bilgi paylaşımı, poliçe limitlerinin, teminatların ve istisnaların daha iyi ayarlanmasına olanak tanıyarak, bir hasar durumunda istenmeyen sürprizlerin olasılığını azaltır.

Gerçekte ne kadar harcanıyor: İspanyol KOBİ'leri örneği

Küçük ve orta ölçekli işletmelerin düzeyine baktığımızda, gerçek şu ki Siber güvenliğe yapılan yatırım genellikle çok düşüktür.Binden fazla İspanyol KOBİ ile yapılan görüşmelerden derlenen yeni bir barometre, bu işletmelerin neredeyse yarısının dijital güvenliğe yılda 500 euro harcamadığını gösteriyor; maruz kaldıkları riskler göz önüne alındığında bu miktar açıkça yetersiz.

Bir sonraki bölümde, KOBİ'lerin yaklaşık %18'i yıllık 500 € ile 2.000 € arasında yatırım yaptığını belirtirken, sadece küçük bir yüzdesi 2.000 € sınırını aşıyor. Yatırımın önündeki başlıca engeller arasında, algı şu şekildedir: Uygulama maliyetleri çok yüksek.Bu durum genellikle gerçek rakamlardan ziyade bilgi eksikliğinden kaynaklanmaktadır.

Diğer engeller daha çok kültürel veya algıyla ilgili: KOBİ'lerin dörtte biri, zaten sahip olduklarının ötesine geçmenin gereksiz olduğuna inanıyor (ki bu genellikle temel bir antivirüs programından biraz daha fazlasına denk geliyor). Buna ek olarak, siber güvenliğin... yönetmesi çok karmaşık Ya da nitelikli personel bulunmaması, birçok şirketin adım atmamasına yol açıyor; oysa neredeyse her bütçeye uygun yönetilen çözümler ve hizmetler mevcut.

Dahası, bu şirketlerin yaklaşık yarısı şu görüştedir: Dijitalleşmeye ilişkin Avrupa düzenlemeleri Bu durum, mevcut kaynaklarıyla karşılamayı zor buldukları gereksinimleri karşılamaya zorlayarak, yardımdan çok engel teşkil etmektedir. Paradoksal olarak, bu kuruluşların birçoğu, dijitalleşme ve bulut hizmetlerine yapılan yatırımların halihazırda ekonomik faydalar ve operasyonel verimlilik sağladığını kabul etmektedir.

Aslında, KOBİ'lerin onda dördü dijitalleşmeden olumlu bir geri dönüş aldığını bildiriyor ve önemli bir yüzdesi siber güvenliği, kârlılıklarını artırabilecek bir faktör olarak görüyor. Sorun genellikle değerin kanıt eksikliği değil, bu değeri somut ve sürdürülebilir bütçe kararlarına dönüştürmenin zorluğudur.

Yapay zeka, verimlilik ve yeni güvenlik zorlukları

Siber güvenliğin gerçek maliyetinde önemli bir diğer husus da benimsenmesidir. yapay zeka araçlarıKOBİ ortamında, işletmelerin üçte birinden biraz fazlası halihazırda yapay zeka tabanlı çözümler kullanıyor ve bu çözümlerde belge yönetimi, metin işleme, veri analizi ve pazarlama, satış veya müşteri hizmetleri desteği gibi görevler için üretken asistanlara açık bir vurgu yapılıyor.

Bu teknolojileri kullanmaya başlayanlar arasında en büyük motivasyon şudur: verimliliği ve etkinliği artırmakBu girişimler, manuel iş yükünü azaltmayı, içerik üretimini hızlandırmayı, chatbot'larla müşteri hizmetlerini iyileştirmeyi ve otomatik analizler yoluyla karar alma süreçlerini kolaylaştırmayı amaçlıyor. Bu şirketlerin önemli bir kısmı önümüzdeki aylarda yapay zekâ yatırımlarını artırmayı planlıyor.

Ancak, henüz bu sıçramayı yapmamış KOBİ'ler arasında, engel genellikle ekonomik maliyet değildir; bu, ana sorun olarak gösterilenlerin yalnızca çok küçük bir yüzdesidir. Daha ağır basan şey ise şudur: net bir kullanım senaryosunun olmaması Günlük iş süreçlerinde veya mevcut çözümlerden haberdar olmama nedeniyle birçok kuruluş, yapay zeka tabanlı araçlarla rekabet güçlerini artırma ve aynı zamanda güvenliklerini güçlendirme fırsatlarını kaçırıyor.

Yapay zekanın kendisinin de saldırganların elinde bir silaha dönüştüğü unutulmamalıdır. otomatik olarak oluşturulmuş kimlik avıSes ve video deepfake'leri veya daha gelişmiş sosyal mühendislik saldırıları, sahtekarlık girişimini meşru iletişimden ayırt etme konusunda çıtayı yükseltiyor. Bu durum, şirketler üzerinde güvenlik önlemlerini güçlendirme konusunda daha da fazla baskı oluşturuyor. Yapay zeka güvenlik programları ve teknik kontrolleri.

Bu bağlamda, süreçleri iyileştirmek ve tehditleri tespit etmek için yapay zekanın kullanımı ile bu araçların sorumlu kullanımına yönelik net politikaların birleşimi, güvenliği kaybetmeden verimlilik kazanmak veya kuruluşta istemeden yeni güvenlik açıkları açmak arasında fark yaratabilir.

Siber risk politikalarının rolü ve sınırlamaları

W siber risk sigorta poliçeleri Risk yönetimi ekosisteminin önemli bir unsuru haline geldiler. Genel olarak, bu tür sigortalar, veri ihlalleriyle sonuçlanan kimlik avı saldırıları, iş kesintileri, fidye yazılımı saldırıları ve dijital sistemler ve varlıklarla ilgili diğer olaylar gibi olaylarla ilişkili talepleri kapsar.

İddiaların analizi, çoğu veri ihlalinde yaklaşık olarak şu oranda bir sorun yaşandığını göstermektedir: kayıpların %94'i Olayın sözleşme koşullarını karşılaması şartıyla, bu poliçeler kapsamındadır. Ancak, sorunun nedeni sigortalı kuruluşun kendisinden kaynaklanıyorsa, etkin teminat oranı düşerek yaklaşık %83'e iner.

Kapsam çatışmalarına yol açan nedenler arasında özellikle üçü öne çıkmaktadır: son başvuru tarihinden sonra başvuru yapılmasıSigortalının belirli eylemlerde bulunmasını gerektiren bazı maddelerin etkinleştirilememesi ve şirketin sigortacının önceden onayını almadan aldığı kararlar, bazı durumlarda teminatların bir kısmını geçersiz kılabilir.

Bu tür durumların önüne geçmek için, kuruluşların politikalarının tam olarak neleri kapsadığını, neleri kapsam dışı bıraktığını ve bir olay meydana geldiğinde yükümlülüklerinin neler olduğunu eksiksiz olarak anlamaları çok önemlidir. akıcı ve erken iletişim Aracı kurum ve sigorta şirketiyle işbirliği yaparak, kritik tedarikçiler, hassas varlıklar ve bilinen zaaflar hakkında bilgi sağlayarak, sigorta tasarımının şirketin risklerine gerçekten uygun olmasını sağlayabiliriz.

Dahası, politikayı daha geniş bir siber dayanıklılık stratejisine entegre etmek, sigortanın her şeyi çözeceği yanılgısını önler. Finansal güvence, darbenin etkisini azaltmaya yardımcı olur, ancak ne saldırıları önler ne de sağlam prosedürlere, eğitimli personele ve uygun teknolojiye olan ihtiyacın yerini alır.

Yeni Siber Güvenlik Yasası ve ona uyum sağlamanın maliyeti

Avrupa'da, NIS2 direktifinin yeni bir yolla ulusal mevzuata aktarılması Siber Güvenlik Hukuku Bu düzenleme, özellikle ekonomi ve toplum için kritik veya hayati önem taşıyan sektörlerde faaliyet gösteren binlerce şirket için yükümlülük çıtasını yükseltiyor. İspanya'da, yaklaşık 6.000 kuruluşun bu düzenlemeye uyum sağlaması ve uygulanmasıyla ilgili maliyetleri üstlenmesi gerekeceği tahmin ediliyor.

Kanun, aşağıdakiler arasında ayrım yapar: temel ve önemli varlıklarBirinci grup, öncelikle son derece kritik sektörlerde (enerji, ulaşım, bankacılık, sağlık, su yönetimi, dijital altyapı, üçüncü taraflar için BİT hizmetleri, uzay veya nükleer endüstri) faaliyet gösteren ve belirli büyüklük ve gelir eşiklerini aşan şirketlerin yanı sıra güvenilir hizmet sağlayıcıları, alan adları ve kamu iletişim ağları sağlayıcılarını içermektedir. Başvuru kapsamına giren ancak temel olma şartlarını karşılamayan diğer kuruluşlar ise önemli varlıklar olarak kabul edilir.

Adaptasyon maliyeti, başlangıç ​​noktasına bağlı olarak önemli ölçüde değişir. Örneğin, önemli varlıklar Siber güvenlik altyapısını neredeyse sıfırdan kurmak zorunda olanlar için tahmini ortalama yatırım yaklaşık 180.000 € civarındadır. Gerekli önlemlerin yaklaşık %27'sini zaten uygulamış olanlar ise uyum maliyetlerinin yaklaşık 131.000 €'ya düşebileceğini görebilirler.

durumunda temel varlıklarRakamlar hızla yükseliyor: Uygulama seviyesi çok düşük olanların 2 milyon Euro'yu aşan yatırımlara ihtiyacı olabilirken, gereksinimlerin neredeyse yarısını zaten karşılayanların yaklaşık 1,19 milyon Euro'ya ihtiyacı olacaktır. Önceki çerçeve (NIS1) kapsamında zaten düzenlemeye tabi olan şirketlerin yeni gereksinimlere uyum sağlamak için ek maliyeti çok daha düşük olup, yaklaşık 100.000 Euro civarındadır.

Hükümetin tahminine göre, tüm bu çabalar bir araya getirildiğinde... üretken sektörün tamamını etkiledi Yeni yasaya uyum sağlamak için yaklaşık 2.250 milyar avro yatırım yapılabilir. Yüksek bir rakam, ancak stratejik sektörlerde ortak bir asgari koruma düzeyi olmadan meydana gelebilecek bir dizi ciddi olayın hem parasal hem de sosyal etkileri göz önünde bulundurularak yorumlanmalıdır.

Gerekli önlemler: risk yönetiminden yaptırımlara kadar

Siber Güvenlik Yasası genel tavsiyelerle sınırlı kalmıyor: kapsamına giren şirketleri bir dizi önlem almaya zorunlu kılıyor. kapsamlı önlemler paketi Bu, risk yönetiminden personel eğitimine kadar her şeyi kapsar. Temel gereksinimler arasında sağlam güvenlik politikalarının geliştirilmesi, düzenli risk analizleri, sistematik güvenlik açığı yönetimi ve olayların ele alınmasına yönelik net prosedürlerin oluşturulması.

Ayrıca sık ve güvenilir yedeklemeler yapmanın ve bunlara sahip olmanın gerekliliğini de vurgulamaktadır. afet kurtarma mekanizmaları Ayrıca, bir güvenlik olayının operasyonları günlerce veya haftalarca felç etmesini önlemek için kriz yönetimi protokollerinin yerinde olması gerekiyor. Tedarik zinciri koruması bir kez daha ön plana çıkıyor ve kuruluşları tedarikçilerinin ve teknoloji ortaklarının güvenliğini izlemeye zorluyor.

Bir diğer önemli blok ise şudur: olay çözümü ve raporlamaŞirketler, bir sorun tespit ettiklerinde hızlı bir şekilde müdahale edebilecek, etkisini azaltabilecek ve en kısa sürede normale dönebilecek, ayrıca yetkili makamları ve etkilenen kişileri iyi tanımlanmış süreler içinde ve iyi tanımlanmış içerikle bilgilendirebilecek hizmetlere sahip olmalıdır.

Yönetmelik ayrıca, kurum içi irtibat noktası ve yetkililerle bağlantı kurmak üzere bir bilgi güvenliği görevlisinin atanmasını da gerektiriyor. Bu da şu fikri güçlendiriyor... Siber güvenlik alanında sürekli eğitim Yöneticiler ve personel için, insanların riskleri tanımayı ve yönetmeyi bilmemeleri durumunda teknolojinin tek başına yeterli olmadığı varsayımı geçerlidir.

Uyumluluğu sağlamak için, temel kuruluşlar için sertifikasyon mekanizmaları, önemli kuruluşlar için rehberli öz değerlendirmeler ve denetim yapabilecek, bilgi talep edebilecek ve yaptırım uygulayabilecek geniş yetkilere sahip denetim makamları planlanmaktadır. En ciddi durumlarda, para cezaları 10 milyon Euro'ya kadar çıkabilir ve tespit edilen eksiklikler giderilene kadar sertifikaların askıya alınması veya üst düzey yetkililerin görevlerinin geçici olarak kısıtlanması gibi önlemler de değerlendirilmektedir.

Güvenliği güçlendirmek için gereken yatırım rakamları, ciddi bir olayın potansiyel ekonomik, hukuki ve itibar üzerindeki etkileriyle karşılaştırıldığında, şu durum oldukça açık hale geliyor: Göz ardı etmek çok daha pahalıya mal olur.Siber güvenliğin gerçek maliyetini anlamak, sistemleri, verileri ve süreçleri korumanın tesadüfi bir masraf değil, iş modelinin merkezi bir parçası olduğunu kabul etmek anlamına gelir; şirketler bunu ne kadar erken benimserse, bir sonraki saldırı geldiğinde hareketsizliğin bedelini o kadar az ödeyeceklerdir.

İlgili makale:

CISO'lar için dayanıklı bir şablon: siber güvenliğe liderlik etmeye yönelik pratik bir rehber.