Jedox yakın zamanda Finansal Planlama Yazılımı alanında Gartner Magic Quadrant’ta Lider olarak gösterildi. Liderlik çeyreğine seçilmeyle ilgili kriterlerden biri, bir kuruluşun güvenlik, kullanılabilirlik ve risk azaltma konularında ne kadar olgun olduğudur. Jedox yazılımının güvenliğini sağlamak ve müşterileri için sınıfının en iyisi siber güvenlik önlemlerini sağlamak, Jedox güvenlik, ürün ve mühendislik geliştirme ekipleri için bir önceliktir.
Jedox, HackerOne sızma testleriyle bilgi edindikten ve başarıya ulaştıktan sonra, şirket içinde geliştirilen bir Güvenlik Açığı Açıklama Programını (VDP), 2021’de HackerOne tarafından yönetilen özel bir hata ödül programına dönüştürdü. Özetle, bu program, HackerOne önceliklendirme ekibi tarafından doğrulanan güvenlik açıklarını ortaya çıkarıyor ve onlarla paylaşılıyor. Jedox destek bildirim sistemini bir API aracılığıyla destekler ve sorun çözülüp yeniden test edilene kadar azaltma çabalarının mevcut durumunu izler.
Vladislav’a etik bilgisayar korsanlarının Jedox’un bulut güvenliği stratejisine kattığı değeri sorduk.
S: İnsanlar bilgisayar korsanlarıyla çalıştığınızı ve onları proaktif olarak varlıklarınıza saldırmaya davet ettiğinizi öğrendiklerinde şaşırabilirler. Bunu neden yapıyorsun?
C: Bilgisayar korsanlarıyla çalışmak Jedox için stratejiktir. İşte nedeni:
Erken Tespit: Bilgisayar korsanları, normalde fark edilmeyecek güvenlik açıklarını ortaya çıkarabilir. Onları proaktif bir şekilde varlıklarımızı test etmeye davet ederek potansiyel zayıf noktalara ilişkin içgörüler elde ederiz.
Gerçek Dünya Testi: Bilgisayar korsanları gerçek dünyadaki saldırıları simüle ederek savunmamızı güçlendirmemize yardımcı olacak pratik senaryolar sunar.
İşbirliği: Bilgisayar korsanlarıyla etkileşimde bulunmak, güvenlik uzmanları ile kuruluşumuz arasındaki işbirliğini teşvik ederek sürekli iyileştirmeye yol açar.
S: Sanırım başladığınızda bilgisayar korsanlarıyla çalışma konusunda korkular vardı. Bilgisayar korsanları ile kuruluşunuz arasında güven oluşturma konusunda nasıl bir yol izlediniz?
C: Başlangıçta ekibimiz bilgisayar korsanlarıyla çalışma konusunda isteksizdi. Güven oluşturmak için aşağıdakileri temel alan iletişim ve süreçler kurduk:
Şeffaflık: Niyetlerimizi ve hedeflerimizi açıkça iletiyoruz.
Adalet: Bilgisayar korsanlarına etik olarak davranır, onların çabalarına ve katkılarına saygı duyarız.
Teşekkür: Bulgularının kamuya açık olarak tanınması, etik hacklemenin faydalarına dair güven oluşturur.
S: Hata ödül programınız daha geniş güvenlik stratejinize nasıl uyuyor ve onu Jedox’un güvenlik stratejisinin bir parçası olarak sahip olunması güzel bir program yerine sahip olunması gereken bir program haline getiren şey nedir?
C: Hata ödül programımız çok önemlidir çünkü bize şunları sunar:
Dış görüşler: Dış uzmanlıktan yararlanarak iç güvenlik çabalarını tamamlar.
Zamanında düzeltmeler: Güvenlik açıklarının hızlı bir şekilde tanımlanması ve çözülmesi, genel güvenlik duruşumuzu geliştirir.
Risk azaltma: Müşterilerimizi etkileyen tespit edilemeyen sorunların riskini azaltmak için ekibimizin boyutunu, becerilerini ve hızını artırır.
S: Güvenlik araştırmacıları yeni ürünler veya yazılımlar geliştirirken size nasıl yardımcı oluyor?
C: Güvenlik araştırmacıları şu açıdan çok önemli bir rol oynuyor:
Tehdit modelleme: Ürün tasarımı sırasında potansiyel riskleri belirlememize yardımcı olurlar.
Kod incelemesi: Uzmanlıkları güvenli kodlama uygulamaları sağlar.
Test etme: Araştırmacılar yeni özellikleri, API’leri ve entegrasyonları titizlikle test eder.
S: Yapay zekayı ürün stratejinize nasıl dahil ediyorsunuz ve bilgisayar korsanlarının yapay zeka dağıtımlarınızı/sunumlarınızı güvence altına almanıza yardımcı olduğunu nasıl görüyorsunuz?
C: Yapay zeka, ürün stratejimizin ayrılmaz bir parçasıdır, yani tekliflerimize entegre edilmiştir. Bilgisayar korsanları ürünümüzü test ederken dolaylı olarak yapay zeka tabanlı yeteneklerimizi de test etmiş olurlar.
S: Programınızın başarısını nasıl ölçüyorsunuz ve şirket içinde bilgisayar korsanlarıyla çalışmanın değeri konusunda kuruluşunuza nasıl rapor veriyorsunuz?
C: Hata ödül programını finanse ettiğimizde aşağıdakileri içeren başarı ölçütlerine bakarız:
Raporların kalitesi: Bilgisayar korsanlarından gelen net, uygulanabilir raporlar.
Daha az riske maruz kalma: daha az kritik güvenlik açığı.
Güvenlik açığının kapanma süresi: Sorunların ne kadar hızlı çözüldüğü.
Bu KPI’lar aylık olarak ölçülüyor ve “CTO Kontrol Panelime” dahil ediliyor. Bunu zaman içindeki değişiklikleri izlemek ve trendlerdeki değişikliklere uyum sağlamak için kullanıyorum.
S: Hata ödül programını düşünen herkese ne gibi tavsiyelerde bulunursunuz?
A:
Kapsam Açıklığı: Test için net sınırlar tanımlayın. Programda neler var, neler yok?
Rekabetçi mali ödüller: Yetenekli bilgisayar korsanlarının ilgisini çekmek için rekabetçi ödüller sunun. Sınırlarınızı bilin ve onları akıllıca yaydığınızdan emin olun. Programınızın kapsamını genişletirken, programı ödüller için açmadan önce ilk olarak dahili bir değerlendirme yapmanızı öneririm; bütçeniz hızla tükenebilir.
Geri bildirim döngüsü: Bilgisayar korsanlarıyla düzenli olarak iletişim kurun ve zamanında geri bildirim sağlayın.
Bilgisayar korsanlarıyla işbirliğinin yalnızca belirli bir yazılım veya sistem yaklaşımındaki kusurları bulmaktan ibaret olmadığını unutmayın; SaaS tekliflerine olan güveni artıran ve eski, yalnızca şirket içi süreçlerle karşılaştırıldığında yeni işbirlikçi stratejiler için niteliksel ve niceliksel değer gösteren daha güçlü bir güvenlik ekosistemi oluşturmakla ilgilidir.