Risk Odaklı ve Kişi Tabanlı Ztna Yaklaşımında Siber Dayanıklılık Yetenek Kontrolü Değerlendirmesi

Abstract

Bu tez, siber dayanıklılığı ilk kez kuruluşlar için ölçülebilir bir metrik olarak sunarak, yenilikçi, çift yönlü bir denetim yaklaşımının uygulanması yoluyla farklı boyutlardaki kuruluşlarda siber dayanıklılığın derinlemesine araştırılmasını önermektedir. Hızla gelişen bir siber dünyanın revaçta olduğu bir çağda, siber dayanıklılığı anlamak ve geliştirmek çok önemli hale gelmiştir. Bunu başarmanın temel aracı olarak 'Risk Bazlı ve Persona Bazlı Siber Dayanıklılık Değerlendirme Seti' bu tezde sunulmuştur. Bu setler, bir kuruluşun siber güvenlik duruşunun kapsamlı ve uyarlanabilir bir değerlendirmesini sunmak için hem risk tabanlı hem de kişi tabanlı değerlendirmeleri birleştirir. Araştırma, bu ikili denetim yaklaşımını, büyük ölçekli çok uluslu bir organizasyondan küçük bir start-up'a, orta ölçekli bir kuruluşa, bir KOBİ'ye ve bir üniversiteye kadar uzanan beş farklı kuruluşta titizlikle uyguluyor. Kişiye dayalı bir denetim puanıyla birlikte riske dayalı bir denetim puanı veren ikili puanlama sistemi, katılımcı kuruluşlar arasında yaygın olan siber direncin ayrıntılı ve net bir şekilde anlaşılmasını, siber güvenlik önlemlerine kapsamlı, bağlama duyarlı ve stratejik bir yaklaşım benimsemenin önemini vurgulamaktadır. Bulgular, siber dayanıklılık derecesinin bir kuruluşun büyüklüğü ile doğrudan orantılı olmadığını göstermektedir. Araştırma, örneklem büyüklüğü ve kişisel olarak bildirilen verilere dayanma gibi belirli sınırlamaları kabul etse de, gelecekteki keşifler için potansiyel alanları da tanımlar. Bu, gelişmiş veri analitiği ve makine öğreniminin siber güvenliğe entegrasyonunu, kurumsal faktörlerin siber dayanıklılık üzerindeki etkisinin anlaşılmasını ve sektöre özel denetim metodolojilerinin geliştirilmesini içerir. Özünde bu tez, siber dayanıklılığa bütüncül bir bakış açısı sunarak, büyüklükleri veya sektörleri ne olursa olsun kuruluşlar içinde siber dayanıklılık stratejilerini geliştirmek için önemli içgörüler ve öneriler sunuyor.This thesis embarks on an in-depth exploration of cyber resilience in organizations of varying sizes through the application of an innovative, dual-pronged auditing approach via introducing cyber resilience as a measurable metric for organizations for the first time. In an era marked by a rapidly evolving cyber landscape, understanding and enhancing cyber resilience has become paramount. The central instrument to achieve this is the 'Risk-Based and Persona Based Cyber Resiliency Assessment Kit'. It incorporates both risk-based and persona-based evaluations to offer a comprehensive and adaptive evaluation of an organization's cybersecurity posture. The research meticulously applies this dual-audit approach across five diverse organizations, spanning from a large-sized multinational company to a small start-up, with a medium-sized organization, an SME, and a university included in between. The dual-scoring system, which yields a risk-based audit score along with a persona-based audit score, provides a granular and precise understanding of cyber resilience prevalent amongst the participant organizations. Via underscoring the significance of adopting a comprehensive, context-sensitive, and strategic approach to cybersecurity measures. The findings demonstrate that the degree of cyber resilience is not directly proportionate to the size of an organization. While the research acknowledges certain limitations, such as the sample size and the reliance on self-reported data, it also identifies potential areas for future exploration. This includes the integration of advanced data analytics and machine learning in cybersecurity, understanding the impact of organizational factors on cyber resilience, and the development of industry-specific audit methodologies. In essence, the thesis presents a holistic view of cyber resilience, offering key insights and recommendations for enhancing cyber resilience strategies within organizations, irrespective of their size or sector.