ANZ Bankacılık Grubu, güvenliği yerleştirme, dayanıklılık oluşturma ve iş dönüşümünü etkinleştirmeye odaklanarak mevcut kurumsal güvenlik stratejisinin ilk yılını tamamlıyor.
Dr Maria Milosavljevic (Görsel kaynağı: ANZ Banking Group)
Konuşmak iTnews Podcast’iBilgi Güvenliği Sorumlusu Dr. Maria Milosavljevic, bankanın eski CISO’su Lynwen Connick tarafından oluşturulan bir strateji üzerinde çalıştığı ilk 14 ayını değerlendirdi.
Milosavljevic, “İlk haftamda ANZ Yönetim Kurulu tarafından onaylanan yeni üç yıllık strateji, Ocak 2024’te yürürlüğe girdi” dedi.
“Güvenlik kapasitemizi artırmaya devam etmek bizim için büyük bir odak noktasıydı.”
Strateji üç temel sütun etrafında şekilleniyor; birincisi banka genelinde güvenliğin sağlanması.
Milosavljevic, “Güvenliğin doğası gereği, artık tek bir iş biriminin yönlendirebileceği bir ortamla karşı karşıyayız” dedi.
“Bu gerçekten de tüm organizasyon genelinde sistematik olması gereken bir şey.”
Bu durum, liderlikten bankadaki personelin uyum sağlama ve bağlantı kurma becerisinin geliştirilmesine kadar her şeyi etkiledi.
“Büyük bir kısmı mevcut hesap verebilirliği anlamak ve bunun gelecekte nasıl olması gerektiğini yeniden tanımlamaktı” dedi.
“Konu, güvenliğe ilişkin daha paylaşımlı veya karşılıklı sorumluluk yaklaşımına nasıl geçebileceğimizle ilgili – sadece banka içinde değil, aynı zamanda üçüncü taraf sağlayıcılar, düzenleyiciler, akran örgütleri vb. ile olan ilişkilerimizde de.”
Milosavljevic, bankanın “insanların gerçek bir siber olay yaşamanın nasıl bir şey olduğunu deneyimleyebilmeleri için” bir dizi tatbikat düzenlediğini söyledi.
“Geçtiğimiz yıl Kasım ayında ilk kurumsal çaptaki çalışmamızı yaptık. Bu devasa bir çabaydı – yönetim kurulundan aşağıya doğru. Elbette, tüm organizasyondaki herkesi dahil edemezsiniz, bu yüzden kilit rollere, karar vericilere ve eylem uygulayıcılarına odaklanmak zorundaydı,” dedi.
“Başka bir kuruluşun başına gelen, oldukça önemli bir olaydan yola çıkarak bir senaryo aldık ve bu, onların gerçekten mücadele ettiği bir şeydi.
“Kendimizi gerçek bir senaryonun içinden geçirdik ve alınması gereken en zor kararların bazılarını gerçekten zorladık ve sonra aynaya bakıp yapmamız gereken şeylerden bazılarını uygulamaya hazır olup olmadığımızı gördük.
“Ve buna dayanarak, nerede iyileştirme yapmamız gerektiğini belirledik ve bu konuda iyi bir ilerleme kaydettik.”
Ayrıca, kuruluşun farklı bölümlerinde daha küçük çaplı tatbikatlar da yürütüldü; örneğin, bankanın Avustralya bölümünün, bu bölgelerde bir olay yaşanması halinde Yeni Zelanda veya Pasifik merkezli muadilleriyle nasıl çalışacağı test edildi.
Milosavljevic, Suncorp Bank ve ANZ’yi de içeren testler yapıldığını söyledi.
İnsanların olay müdahale süreçleri ve bu süreçlerdeki rolleri konusunda “mutlak netliğe” sahip olmasının önemine dikkat çekti.
Bunlara, önemli bir karar vericinin yokluğu veya ulaşılamaması gibi öngörülemeyen durumlar için acil durum planlaması; olay müdahalesine doğru kişilerin katılabilmesini ve yeterli dinlenmelerinin sağlanmasını garanti altına alan düzenlemeler; düzenleyicilerin ve diğer üçüncü tarafların gerektiği şekilde bilgilendirilmesini sağlamak için iletişim planları dahildir.
Milosavljevic, “En kötü senaryonun gerçekleşmesi halinde nasıl tepki vereceğimizi tam olarak anlama yolunda ilerliyoruz” dedi.
Stratejinin ikinci ayağı, ortaya çıkan tehditlere karşı dayanıklılığı güçlendirmektir. Bu ayak, üçüncü taraf sözleşmesi ve risk yönetimi etrafında bazı önemli çalışmalar içerir ve bu ilişkilerin ve düzenlemelerin bir parçası olarak net beklentilerin belirlenmesini sağlar.
“Tıpkı egzersizlerde olduğu gibi, aniden karşınıza çıkana kadar neyi bilmediğinizi bilmiyorsunuz – ve bu nedenle bu ilişkileri müzakere etme ve kurma şeklimizde sözleşmesel düzenlemeler var, ancak aynı zamanda yumuşak ilişkiler, güven oluşturma ve günlük olarak birlikte çalışma da var [to improve resilience]Milosavljeviç dedi.
Stratejinin üçüncü ayağı, ANZ’nin hızlı ama aynı zamanda güvenli bir şekilde deney yapmasına olanak sağlamayı amaçlayan iş dönüşümünü mümkün kılmak ve desteklemektir.
“[As security]Milosavljevic, “Biz ‘hayır’ diyen bir departman olmak istemiyoruz, insanların uymasını kolaylaştırmak istiyoruz” dedi.
“Hızlı deneyler” çerçevesini geliştirmek için oldukça fazla zaman harcadık… Kuruluşun farklı bölümlerinin kendi kendilerine yardım edebilmelerine yardımcı olmak ve işler çok karmaşık hale gelip biraz yardıma ihtiyaç duyana kadar kendi başlarına yol alabilmelerini sağlamak için.”
Bunu destekleyen bazı teknik faaliyetler var – sistemlerin “sadece tasarım olarak değil, varsayılan olarak da güvenli” olmasını sağlamak ve ANZ’nin ağı için Sıfır Güven çerçevesini uygulamak.
Milosavljevic, “Sıfır Güven çerçevesini hayata geçirme sürecinin ortasındayız” dedi.
“Bunun çoğu daha güçlü kimlik doğrulama, ağ ve güvenlik kontrolleri, daha iyi ağ segmentasyonu ve tehdit izolasyonu ve ayrıca veri odaklı koruma gibi şeylere odaklanıyor, böylece hem risklerimiz hem de ağımızdaki davranışlar açısından gerçekte neler olduğunu daha iyi görebiliyoruz.”
Güvenlik kontrolleri cephesinde banka, uygulama alanına uygulanan kontrollerin manuel testinden otomatize teste geçiyor.
Bu, kontrollerin daha sık ve kapsamlı bir şekilde test edilmesine olanak sağlamalı ve bankaya “7/24 kapasitede daha iyi bir durumsal farkındalık” sağlamalı, böylece “risk seviyemizin ne olduğunu veya herhangi bir zamandaki duruşumuzun ne olduğunu anlayabiliriz.”
Milosavljevic, “Bu, bunu yalnızca haftalık, aylık veya üç aylık bazda veya kontrol düzeyine bağlı olarak yapmadığınız anlamına geliyor, aslında arka planda kalıcı olarak oturabilecek bir şey” dedi.