Üç aylık planlama yaptığımızda, ekibim hedeflerimizi her zaman geçerli olan dört sonuca göre sınıflandırır:
- Bilgi güvenliği olayları riskini azaltın
- Vanta’nın bilgi güvenliği programına olan güveni artırın
- Bilgi güvenliği kontrollerinin neden olduğu sürtünmeyi azaltın
- İşletmeyi desteklemek için güvenlik uzmanlığını kullanın
Bu yazıda üç numaraya odaklanacağım: sürtünmeyi azaltmak.
Niyetinizi beyan etmek
“İhtilafları azaltmayı” güvenlik programınızın açık bir hedefi haline getirmenin değeri vardır. Kuruluş genelindeki muadillerinizle doğru tonu belirler ve pozitif bir güvenlik kültürü oluşturmaya yönelik bir adımdır.
Bu sonuçları şirket çapında bir forumda ilk kez sunduğumda, şirkete yeni katılan kıdemli bir liderden bir Slack mesajı aldım:
“Güvenlik ekiplerinin görünmez güvenlik kontrollerini kaldırmaya odaklandığını duymak harika. Güvenlik ekibi için mükemmel bir felsefe
[…]
bu sadece harika
çok fazla güvenlik ekibi, güvenliği, ekibin çalışma gücü ile güvenlik arasında özel bir denge olarak görüyor”
gizli sürtünme
Bazen, yeni güvenlik kontrollerini tanıtırken, güvenlik ve kullanıcı deneyimi arasında iyi düşünülmüş bir ödün veriyorsunuz. Sürtünmenin çok net bir şekilde anlaşılmadığı birkaç senaryo vardır:
- Bir güvenlik kontrolünün neden olduğu sürtüşme, siz veya ekibiniz tarafından önceden iyi anlaşılmaz.
- Kuruluşunuzun dışından bir kişi, iyi niyetle, ancak size veya ekibinize haber vermeden güvenlik denetimlerini etkinleştiriyor
- Çalışanlar can sıkıcı bir kontrolü güvenlik ekibine atfediyor, ancak bu aslında tamamen ilgisiz nedenlerle uygulandı.
Bu senaryoların her biri gizli sürtüşmelerle sonuçlanır. Gizli sürtüşmeler ekibinize olan güveni aşındırır ve güvenlik kültürünüzü olumsuzluğa doğru iter.
Gizli sürtünmeye bir çözüm, sürtünme araştırmasıdır.
Gizli sürtüşmeyi bulma
Vanta’da, gizli sürtüşmeleri bulmak için yılda iki kez bir çalışan anketi yürütüyoruz. Çalışanlar aynı zamanda katılım anketleri aracılığıyla anket yaparken “anket yorgunluğunu” önlemek için iki ekiple daha bir araya geliyoruz: Enterprise Engineering ve Privacy, Risk, and Compliance.
Üç ekibimizin her biri, şirketin çalışmalarımızdan kaynaklanan sürtüşmeleri nasıl gördüğünü daha iyi anlamak için az sayıda soruyu bir araya getiriyor.
Güvenlik ekibinde üç soru soruyoruz:
- Günlük faaliyetlerinizi gerçekleştirirken Vanta’nın güvenlik kontrollerinin neden olduğu sürtüşmeyi nasıl değerlendirirsiniz? (1-5 ölçekli)
- Lütfen güvenlik kontrollerinin Vanta’daki işinizi nasıl ve nerede etkilediğini açıklayın.
- Güvenlik Ekibi veya çalışmalarımız hakkında başka düşünceleriniz veya yorumlarınız var mı? (Yukarıdaki sorulardan herhangi biri için 3/nötr veya aşağısını seçtiyseniz, sizden özellikle haber almak isteriz.)
Bu anketi ilk kez 2022’nin 2. Çeyreğinde gerçekleştirdik. Olumlu puanlar aldık ve pek eyleme geçirilebilir geri bildirim almadık. Buna övgü dolu bir incelemeden ziyade sınırlı bir katılımın işareti olarak bakma eğilimindeyim.
Anketi 2022’nin 4. çeyreğinde tekrar yaptık ve çok daha ilginç sonuçlar elde ettik. Güvenliğe atfedilen ancak ekibimizle hiçbir ilgisi olmayan önemli sürtüşme kaynakları keşfettik.
Ayrıca birçok kişinin kullanıma sunmaya başladığımız yeni kimlik doğrulama ilkeleriyle ilgili sorunlarla karşılaştığını da keşfettik. Beklenen akışın ne olduğunu bilmiyorlardı, bu nedenle günde birden çok kez kimlik doğrulaması yapmalarını gerektiren hatalarla karşılaştıklarında bunun yalnızca politikanın bir parçası olduğunu varsaydılar.
Harekete geçmek
Anket sonucunda şirketle paylaşmak üzere sonuçları ve almayı planladığımız aksiyonları özetleyen bir doküman hazırlıyoruz. Mümkün olduğunca şeffaf olmak istiyoruz. Amaç, açık bir değiş tokuş yaptığımız için bir şeyde sürtüşme olduğunda, bir hata yaptığımızda ve insanların kontrolleri daha iyi anlamalarına yardımcı olacak ek bağlam olduğunda bunu netleştirmektir.
Sonuçlar
Sürtünme araştırması, güvenlik kültürünün eski normlarına karşı mücadelede değerli bir araçtır. Her iş arkadaşımızla olumlu çalışma ilişkileri kurarak, ekibimizin başarmayı amaçladığı diğer sonuçlarda çok daha etkili olacağız.
Zamanla, bu sonuçlar güçlü bir program metriği oluşturur ve KPI’larınızın bir parçası olarak izlenebilir.
Not: Ustalıkla hazırlanmış bu makale, Vanta’da Güvenlik Lideri olan Rob Picard tarafından yazılmıştır. Rob Picard, Vanta’nın bilgi güvenliği programını yönetiyor. Katılmadan önce, Y Combinator destekli bir güvenlik girişiminin kurucusu, uzun süredir güvenlik danışmanıydı ve Robinhood’da çeşitli güvenlik işlevleri oluşturdu. Yeni başlayanların modern, etkili ve verimli güvenlik programları oluşturmasına yardımcı olmak için öğrendiği dersleri kullanmaktan keyif alıyor. Bu makale ilk olarak LinkedIn’de yayınlandı.