Çalışan devir hızının yüksek olduğu günümüzde, şirketlerin hassas bilgilerini koruma sorumluluğu Bilgi Güvenliği Görevlileri (CISO) üzerinde büyük bir baskı yaratmaktadır.
Georgetown Üniversitesi Uygulamalı İstihbarat Programı’nda Misafir Öğretim Üyesi olan Charles Brooks ile yapılan bir röportajdan yola çıkarak, etkili bir siber güvenlik için sıfır güven ilkesi, kimlik erişim yönetimi ve yönetilen güvenlik hizmetlerinin önemine ve yapay zeka, makine öğrenimi ve takip araçları gibi yeni teknolojilerin tedarik zinciri güvenliğini nasıl artırabileceğine değineceğiz.
CISO’ların Yönetim Stratejisi
Veri Koruma Önlemleri ve Hassas Veri Kaybı
CISO’lar, yeterli veri koruma önlemlerine sahip olduklarını düşünse de birçokları son bir yılda hassas veri kayıplarıyla karşılaşmıştır. Bu açık bir çelişki gibi görünse de, veri kaybının koruma önlemlerine rağmen gerçekleşmesi şaşırtıcı değildir. Siber güvenlikte hepimiz geriden geliyoruz. İnternet, bir devlet laboratuvarında icat edildi ve daha sonra özel sektörde ticarileştirildi. Donanım, yazılım ve ağlar, başlangıçta açık iletişim için tasarlanmıştı. Siber güvenlik başlangıçta büyük bir düşünce değildi. Ancak internet üzerindeki bağlantı ve ticaretin patlaması ve CISO’ların da yakalamaya çalıştığı bir alan haline gelmesiyle bu düşünce tarzı kesinlikle değişti.
Hassas verilerin sızdırılmasına neden olan birçok etken bulunmaktadır. Hackerlar sofistike hale geldi ve sızma konusunda artık daha yetenekliler . Hacker’ların sömürü için kullandığı temel araçlar ve taktikler arasında kötü amaçlı yazılım, sosyal mühendislik, phishing (özellikle kurumsal yöneticilere yönelik olanlar da dahil olmak üzere en kolay ve en yaygın olanı), fidye yazılımı, iç tehditler ve DDOS saldırıları yer alıyor. Ayrıca, darkweb’de paylaşılan yapay zeka ve makine öğrenimi araçları da dahil olmak üzere gelişmiş ve otomatik hacking araçları da sıkça kullanılmakta. Bu hacker silahlarına karşı CISO’ların savunma yapması kolay değildir.
Bir diğer büyük faktör ise COVID-19 salgını tarafından itilen dijital bağlantı gerçeğidir. Birçok çalışan artık hibrit ve uzaktan ofislerde çalışmaktadır. CISO’ların koruması gereken daha fazla saldırı yüzeyi vardır ve görünürlük ve kontroller daha azdır. Bu nedenle, daha fazla hassas verinin hackerlara maruz kalacağı sonucuna varmak mantıklıdır.
Yeterli koruma kavramı yanıltıcı bir isimlendirmedir, çünkü tehditler sürekli olarak değişmektedir. Bir saldırganın başarılı saldırısı yanlış yapılandırma veya zamanında bir yamayı yapmama gibi bir açık bir saldırı için bir fırsat sağlayabilir. Son olarak, birçok CISO sınırlı bütçe ve nitelikli siber personelle çalışmak zorunda kalmıştır. Belki de mevcut koşullar altında elde edilebilecek güvenlik seviyesi hakkında daha düşük beklentilere sahiptirler.
Ekonomik Durgunluk ve Bütçe Yönetimi
Güvenlik bütçelerine olan ekonomik baskılarla birlikte, CISO’lar nasıl kaynaklarını en iyi şekilde kullanarak siber güvenlik risklerini etkili bir şekilde yönetebilirler?
CISO’lar, sektörlerine ve büyüklüklerine uygun bir risk yönetimi stratejisi uygulamalı ve kaynakları en iyi şekilde optimize etmelidirler. İyi bir risk yönetimi stratejisi, korunması gereken dijital varlıkları ve verileri tanımlayacak bir zayıflık çerçevesi oluşturacaktır. Bir risk değerlendirmesi, siber zayıflıkları hızlı bir şekilde belirleyerek kritik varlıkları kötü niyetli siber saldırganlardan koruyacak çözümleri hemen devreye almanızı sağlar ve genel operasyonel siber güvenliği hemen iyileştirir. Bu, finansal sistemler, e-posta sunucusu, insan kaynakları ve tedarik sistemleri gibi işletme sistemlerinin (şifreleme, tehdit istihbaratı ve tespit, güvenlik duvarları vb.) korunmasını ve yedeklenmesini içerir.
Maliyeti yüksek olmayan korunma önlemler var. Bu önlemler, çalışanlar için güçlü parola kullanımını zorunlu kılmak ve çok faktörlü kimlik doğrulama gerektirmek gibi önlemleri içerebilir. Güvenlik duvarları kurulabilir ve CISO’lar en hassas verilerini segmente etmek için planlar yapabilirler. Şifreleme yazılımı da uygun maliyetli olabilir. Bulut kullanımı ve hibrit bulut, dinamik politikaların uygulanmasını, daha hızlı şifreleme yapılmasını, maliyetleri düşürmesini ve erişim kontrolü için daha fazla şeffaflık sağlamasını sağlar (iç tehditleri azaltır). İyi bir bulut sağlayıcı, bu güvenlik kontrollerinden bazılarını makul bir maliyetle sağlayabilir. Bulut doğası gereği riskli değildir, ancak CISO’ların ve şirketlerin kritik verilerini korumak için sağlayıcı politikalarını ve yeteneklerini detaylı bir şekilde değerlendirmeleri gerektiğini anlamaları gerekmektedir. Ve eğer bir CISO, altında derin bir BT ve siber güvenlik ekibi olmayan küçük veya orta ölçekli bir işletmeyi korumaktan sorumluysa ve bulut maliyetlerinden ve yönetiminden çekiniyorsa, dışarıdan yönetilen güvenlik hizmetlerini de düşünebilir.
Yüksek Çalışan Devir Hızında Hassas Bilgilerin Korunması
Yüksek çalışan devir hızı nedir ?
Bir şirket veya organizasyonun belirli bir süre içinde çalışanlarının sıklıkla değiştiği anlamına gelir. Yani, birçok çalışanın işten ayrılıp yerine yeni çalışanların gelmesi durumudur.
Yüksek çalışan devir hızında organizasyonların hassas bilgilerini nasıl daha iyi koruyabilir?
Bu, sıfır güven stratejisinin özüne dayanır. Sıfır güven (ZT), savunmaları statik, ağ tabanlı sınırlardan kullanıcılar, varlıklar ve kaynaklara odaklanan bir dizi siber güvenlik paradigmasını ifade eder. Organizasyonlar, ağa bağlı olan her şeyi, cihazları ve insanları bilmek zorundadır.
Kimlik erişim yönetimi (IAM) çok önemlidir. IAM, bir sistem içinde kimin ne kaynaklara eriştiğini kontrol eden teknolojiler ve politikaların bir araya getirildiği bir kavramdır. Bir CISO, hangi veriye kimin erişiminin olduğunu ve neden olduğunu belirlemeli ve bilmelidir. Bir çalışan ayrıldığında, ayrıcalıkları hemen iptal etmeli ve organizasyondan hassas bir şeyin çıkarılmadığından emin olmalıdır. Piyasada birçok iyi IAM aracı bulunmaktadır.
Elbette, çalışan devri hızında etik ve güven unsurları da vardır. Çalışan içeriden gelen tehditlerin tespiti ve yönetimi zordur. Bunlar, çalışanın yasal parametrelerin farkında olduğu bir iş sözleşmesiyle önceden ele alınabilir, böylece hassas verilerle kaçmaları daha az olası olur.
CISO Yorgunluğu ve Kişisel Sorumluluklar
Bu zorluklar CISO’ların rollerindeki genel etkinliği nasıl etkilemektedir ve bunlarla başa çıkmak için hangi önlemler alınabilir?
Artan sıklık, sofistike saldırılar, ölümcüllük ve sorumluluklar, santral dışında yönetim tarafından çoğunlukla hazırlıksız ve yavaş hareket etme eğiliminde olan endüstriyi etkilemektedir. Gartner anketine göre, Yönetim Kurullarının (%88) siber güvenliği bir iş riski olarak gördüğü, bir teknoloji riski olarak değil, %12’sinin ise özel bir düzeyde bir siber güvenlik komitesi olduğu belirlenmiştir.
Risk ve Güvenlik Araştırmacı Paul Proctor: “Şirketin güvenliğini sağlamak için BT dışındaki yöneticilerin sorumluluk alması zamanı geldi,” diyor . “2021 yılı boyunca görülen fidye yazılımı saldırıları ve tedarik zinciri saldırıları, operasyonel ve misyon-kritik ortamlara hedeflenen birçok saldırıyı bir uyanış çağrısı olarak değerlendirilmeli ve güvenlik bir iş sorunu olduğu anlaşılmalıdır. Sadece IT’nin çözeceği bir problem değildir.”
CISO’lar, C-Suite’te bir sandalye sahibi olmakla kalmamalı, aynı zamanda kişisel sorumluluklarını sınırlayan diğer yöneticilere kıyasla sigorta korumalarına da sahip olmalıdır. Kusursuz bir siber güvenlik için bir panacee yoktur. Tehditler herhangi bir şirket veya kişiye yönelik gerçekleşebilir. CISO’ların yalnız başlarına savaşmaları adil veya iyi bir iş değildir. Benzer bir bağlamda, siber güvenlik artık işletmeler veya organizasyonlar için bir maliyet kalemi olarak görülmemesi gerekmektedir. Devam eden operasyonların sürekliliğini ve itibarın korunmasını sağlayabilen bir yatırım haline gelmiştir. Hem şirket hem de CISO’nun maaş ve gerekli görevler portföyüne yatırım yapılması önemli bir öncelik olmalıdır.
Tedarik Zinciri Riski ve Kısıtlı Bütçeler
Tedarik zinciri riski sürekli öncelikli bir konu olduğunda, CISO’lar kısıtlı bütçeler altında siber güvenlik stratejilerinin bu yönünü nasıl daha iyi yönetebilirler?
Tedarik zincirinin tasarım, üretim, dağıtım, kurulum, işletme ve bakım unsurlarının ihlal edilmediğinden emin olmak, tüm şirketler için bir zorluktur. Siber saldırganlar her zaman en zayıf giriş noktasını arayacaklar ve üçüncü taraf riskini azaltmak, siber güvenlik için kritik öneme sahiptir. Tedarik zinciri siber saldırıları, ulus devlet düşmanları, casusluk operatörleri, suçlular veya hacktivistler tarafından gerçekleştirilebilir.
CISO’lar, tedarik zincirindeki tüm tedarikçilerin görünürlüğüne ve belirlenmiş politikalara ve izlemeye ihtiyaç duyar. NIST, tedarik zinciri güvenliği için sağlam bir rehber sunan bir çerçeve önermektedir.
NIST’in önerileri
Tedarik zinciri siber güvenlik risk yönetimi süreçlerini tanımlamak, kurmak ve değerlendirmek ve paydaşların onayını almak.
Tedarikçileri ve üçüncü taraf tedarikçi ortaklarını belirlemek, önceliklendirmek ve değerlendirmek
Tedarikçiler ve üçüncü taraf ortaklarla, organizasyonunuzun tedarik zinciri güvenlik risk yönetimi hedeflerini ele alan sözleşmeler geliştirmek.
Denetimler, test sonuçları ve diğer değerlendirme yöntemleri kullanarak tedarikçileri ve üçüncü taraf ortakları düzenli olarak değerlendirmek.
Hizmet aksaklığı durumunda tedarikçilerin ve üçüncü taraf sağlayıcıların yanıt verebileceğini ve hizmeti yeniden sağlayabileceğini sağlamak için testler tamamlamak.
Tedarik zincirindeki faaliyetleri izleyen, uyarı veren ve analiz eden yeni teknolojilerin satın alınmasıyla diğer önlemler alınabilir. Yapay zeka ve makine öğrenimi araçları görünürlük ve tahminsel analitik sunabilirken, stenografik ve watermark teknolojileri ürün ve yazılım takibini sağlayabilir.
Kaynak: helpnetsecurity.com