Bu Help Net Security röportajında, Silk Security CEO’su Yoav Nathaniel, siber risk yönetimi stratejilerinin ve uygulamalarının gelişimini tartışıyor, yaygın hataları ortaya çıkarıyor ve başarılı risk çözümü için temel bileşenleri vurguluyor.
Nathaniel, SEC’in Siber Güvenlik Açıklama Kuralı gibi düzenlemelerin yönlendirdiği, etkili siber risk yönetimi programlarını uygulamaya yönelik kuruluşların üzerinde artan bir baskı olacağını öngörüyor.
Siber risk çözümüne yönelik yaklaşım son birkaç yılda nasıl gelişti?
Siber güvenlik uzmanları, 25 yılı aşkın bir süredir siber riskleri etkilerine ve istismar edilme olasılıklarına göre çözmek için elektronik tablolara, e-postalara ve kapsamlı manuel risk değerlendirmelerine sistematik olarak güvendi. Geçtiğimiz birkaç yılda kurumsal iş yeri ve BT alanı, bulutun, IoT’nin ve evden çalışmanın benimsenmesi sayesinde daha da dağıtılmış ve dinamik hale geldi.
Güvenlik ekipleri giderek artan bir aciliyetle yeteneklerini modernleştiriyor. Birleştirilmiş tarama sonuçları, otomatik risk tabanlı önceliklendirme modelleri, yönetici sorumluluğu ve dağıtılmış BT sahipleri tarafından self servis çözüme olanak tanıyan iletişim iş akışları, bu yeni yaklaşımın temel öğeleridir. Amaç, ölçülebilir ve yönetilebilir bir güvenlik duruşuna ulaşmak ve bunu sürdürmektir.
Geçtiğimiz on yılda, CVE’lerdeki güvenlik açıklarını önceliklendirmeye odaklanan kısmi çözümlerin ortaya çıktığını gördük. Ancak BT karmaşıklığındaki büyüme ve yanlış yapılandırmalar, kod uygulama riskleri ve kimlik riskleri gibi farklı risk kategorilerindeki patlama bunların sınırlamalarını ortaya çıkardı. Daha yeni yaklaşımlar, tüm riskleri ve çözüm süreçlerini bütünsel bir çözümde merkezileştiriyor.
Şirketler siber risk çözümleme stratejilerinde hangi yaygın hataları yapıyor?
En yaygın hata, siber risk çözümleme süreçlerinde standardizasyonun bulunmaması ve bu durumun çeşitli güvenlik ekiplerinin iyileştirme çabalarını tekrarlamasına yol açmasıdır. Her ekibin kendi risk çözümleme sürecini bulması gerekiyorsa, güvenlik bulgularını tutarlı ve doğru bir şekilde önceliklendirmek ve takip etmek zorlaşır. Risk çözümleme süreçlerini merkezileştirmek organizasyonel netlik sağlar ve güvenlik ekiplerine %50’ye kadar zaman tasarrufu sağlayabilir.
Bir diğer yaygın hata ise siber risk önceliklendirmesinde hem tehdit bağlamını hem de çevresel bağlamı hesaba katacak etkili süreçlerin uygulanmamasıdır. EPSS gibi herhangi bir model türüne güvenmek yeterli değildir. Riskin eninde sonunda bir ihlale yol açacağı ‘altın’ göstergeyi bulmayı umuyoruz, ancak o güne kadar güvenlik ekiplerinin iş riskini belirlemek ve haklı iletişimleri sürdürmek için çeşitli risk faktörleri katmanlarını bütünsel olarak birleştirmesi gerekiyor.
Etkili bir siber risk yönetimi stratejisinin temel bileşenleri nelerdir?
Etkili siber risk yönetimi, riskleri keşfetmeyi ve bu riskler hakkında proaktif olarak bir şeyler yapmayı içerir. Bu, en önemli riskleri sürekli olarak yeniden değerlendirmek, çözmek ve raporlamak için düzenli aralıklarla çalıştırılması gereken bir kas gibidir. Daha fazla türde BT riskinin taranması her zaman önerilir ancak tespit edilen riskleri çözmek için sürekli dağıtılmış süreçlerin uygulanması da aynı derecede önemlidir. Risk çözümünün temel unsurları önceliklendirme, sahiplik ve iletişim iş akışlarının yanı sıra ilgili tüm ölçümlerin doğru takibi ve kapsamlı raporlanmasıdır.
Riski çözmek, dağıtılmış ortamlarda çalışan güvenlik ekipleri için en zorlu yolculuk olmuştur; bu, ‘güvenliğin son kilometresi’ olarak bilinen şeydir. Daha yeni yaklaşımlar arasında risk modellerinin birleştirilmesi ve BT paydaşlarıyla daha etkili iletişim için gelişmiş çözümleme iş akışlarının işbirliği sistemlerine yerleştirilmesi yer alıyor. Gartner ve Forrester’daki sektör analistleri, bu risk çözümü yaşam döngüsünün aşamalarını kapsayan çerçeveler formüle etti.
Organizasyon kültürü siber risk yönetiminin etkinliğini nasıl etkiler?
Siber risk yönetimi bir takım sporudur; kuruluşun kazanan bir programa sahip olması için herkesin kendi potansiyel risklerinin farkında olması ve bunlarla aktif olarak ilgilenmesi gerekir. Risk iştahı konusunda hesap verebilirliği ve netliği teşvik eden organizasyon kültürlerinin herkesin katılımını sağlama olasılığı daha yüksektir. Bu tür kültürler, siber riskin azaltılmasını destekleyen ölçümlere ve süreçlere daha açık.
Başarılı siber risk çözümleme vakalarına örnekler verebilir misiniz ve bunları başarılı kılan şey nedir?
En başarılı risk çözümleme programları, güvenlik duruşu ve risk iştahı konusunda hem yönetici hem de alt düzey uyumu içerir. Yöneticilerin katılımı, siber risk konusunda netlik ve ölçeklenebilir süreçler, çözümü 50 kattan fazla artırabilir ve haftada on binlerce riski çözebilir. Doğru BT sahipliği haritalaması genellikle kuruluşların üstesinden gelmesi gereken en büyük engeldir ve bunu başarmanın otomatikleştirilmiş yöntemleri vardır. Kişisel olarak başarılı F100 siber risk çözümleme programlarına liderlik ettim ve şu anda tüm kuruluşların siber risklerini daha etkili bir şekilde yönetebilmeleri için bir platform sağlıyorum.
Önümüzdeki 5-10 yıl içinde siber risk yönetiminin geleceğinin nasıl gelişeceğini öngörüyorsunuz?
SEC’in Siber Güvenlik Açıklama Kuralı gibi düzenlemeler, kuruluşların daha etkili siber risk yönetimi programlarını benimsemeleri veya maddi yansımalarla karşı karşıya kalmaları yönünde baskı ve aciliyet yaratıyor. Siber risk çözümlemesinin çok daha fazla ilgi görmesini ve bu sorunu çözmek için risk çözümleme platformlarının birleştirilmesini öngörüyoruz.