Bir Bulut Güvenliği Stratejisi Oluştururken Sorulacak En Önemli 5 Soru

   Mart 22, 2023  Posted in CyberDefenseMagazine


Rhymetec Bilgi Güvenliği Sorumlusu Metin Kortak

Şirketler bilgi işlem operasyonlarını ve veri depolamayı buluta taşımaya başladığında, bu dijital varlıkların güvenliği bir öncelik haline geldi. Güçlü bir bulut güvenlik stratejisi uygulamak, her kuruluş için çok önemlidir. Özellikle SaaS sağlayıcıları, çok büyük miktarda hassas veri taşır. Bu senaryo, bir şirketin gizliliği ve fikri varlıkları için oldukça büyük bir riski temsil eder, bu nedenle bir bulut güvenlik stratejisi oluşturmaya başladığınızda, mutlak en başından bu beş hayati soruyu sorun ve yanıtlayabilin.

S #1: Hizmet Olarak Sunulan Yazılım kuruluşumuzun yasal, müşteri veya son kullanıcı bakış açılarından hangi gereksinimlere uyması gerekir?

Hizmet verdiğiniz sektör veya son kullanıcının türüne bağlı olarak, ilgili uyumluluk ve veri gizliliği gereklilikleri söz konusu olduğunda, hem yasal hem de müşteri standartları odak noktası olmalıdır.

SOK 2

Sistemler ve Organizasyonel Kontroller 2 (SOC 2), gönüllü olmasına rağmen, diğer organizasyonların verilerini yöneten herhangi bir SaaS satıcısı veya şirketi için önemli bir farklılaştırıcıdır. Amerikan CPA Enstitüsü (AICPA) tarafından geliştirilen, kuruluşların müşteri verilerini nasıl yönetmesi gerektiğini belirten bir hizmet standardıdır.

Standart, beş Güven Hizmetleri kriterine dayanmaktadır: güvenlik, gizlilik, kullanılabilirlik, işleme bütünlüğü ve gizlilik. Uyum, müşterilerinize, şirketinizin verilerini yönetme işini, yeterliliğini öngörülen bir süre boyunca kanıtlayacak kadar ciddiye aldığına dair güvence verir. Bir SaaS sağlayıcısı düşünen güvenlik bilincine sahip bir işletme için SOC 2 uyumluluğu minimum gerekliliktir.

ISO 27001

Bu, bir bilgi güvenliği yönetim sistemi uygulamak isteyen şirketler için küresel bir sertifikadır. Operasyonel bir güvenlik yönetim sistemini dahil etmek için SOC 2 bilgi güvenliği işlevinin ötesine geçer. Uluslararası müşteriler, şirketinizin ISO 27001 sertifikasına sahip olmasını isteyebilir, örn. İyi haber şu ki, SOC 2’ye uyuyorsanız, yolun yarısını çoktan geçmiş olabilirsiniz.

Yasal yükümlülükler

Yasal açıdan, hedef pazarınız için geçerli olan gizlilik düzenlemelerini uygulamanız gerekecektir. FedRAMP, GDPR/CCPA ve HIPAA’nın tümü belirli sektörlere hizmet eder. Örneğin, şirketiniz AB’de ürün veya hizmet satıyorsa, AB veri gizliliği yasalarının önemli bir unsuru olan Genel Veri Koruma Yönetmeliği’ne (GDPR) uymanız gerekir.

Sağlık hizmetinin herhangi bir alanında faaliyet gösteren ABD şirketleri için HIPAA uyumluluğu, bunu gösterecek bir sertifika almasanız da sıkı bir gizlilik gereksinimidir. ABD hükümetine hizmet eden kuruluşlar mutlak FedRAMP uyumluluğunu sağlayın ve Kaliforniya’da ikamet edenlerin hassas verilerini işlerseniz, Kaliforniya Tüketici Gizliliği Yasası veya CCPA’ya uymanız gerekir. Bu, o eyaletin sakinleri için mahremiyet haklarını ve tüketici korumasını geliştirmeyi amaçlayan bir yasadır.

Sektöre Özel Düzenlemeler

Ödeme kartı endüstrisinin Veri Güvenliği Standardı (PCI-DSS) gibi çeşitli diğer endüstrilerin kendi yasal talepleri vardır. Genellikle PCI olarak anılan bu standart, kredi kartı ödeme bilgilerini işleyen ve saklayan programlar için bir dizi güvenlik gereksinimidir.

#2: Müşterilerimiz için siber güvenliğe ne kadar bütçe ayırdık?

Güvenli yazılım oluşturmayla ilişkili maliyetler konusunda dikkatli olmak önemlidir. Siber güvenlik maliyetlidir ve gerekli güvenlik kontrollerini uygulamak ucuz değildir. Bununla birlikte, SaaS kuruluşunuzun, müşterilerinizin bilgilerini güvende tutmakla ilgili çeşitli maliyetleri nasıl tahsis edeceğini dikkatli bir şekilde değerlendirmesi gerekir. Çoğu SaaS sağlayıcısı, müşteri verilerini dış tehditlerden korumak için en az üç farklı güvenlik katmanına ihtiyaç duyduğundan, katmanlı güvenlik uygulama konusunda fiyat almanız gerekir. Bunlar, bulut veri depolama platformları, barındırma şirketleri ve dahili sunuculardan oluşan temel altyapı katmanlarıdır.

Yapmanız gerekenler:

  • Sağlam veri şifreleme yazılımı kurun
  • Her erişim düzeyinde virüs ve kötü amaçlı yazılımdan koruma programları dağıtın
  • Ekibinize ve müşterilerinize verileri güvenli bir şekilde işleme konusunda eğitim verin
  • Müşteri verilerinizi yedekleyin ve yedekleri birden fazla konum ve formatta saklayın
  • Sistemlerinizi düzenli olarak test etmek için üçüncü taraf bir siber güvenlik firmasına danışın
  • Harici taraf denetçileri için ödeme yapın

Sunduğunuz SaaS ürününe katkıda bulunan her şirket, zincir boyunca en azından aynı düzeyde güvenlik ve uyumluluğa ihtiyaç duyacaktır. Zincir şirketinizle başladığından, güvenliğinizin su geçirmez olmasını sağlama masraflarını bütçelemelisiniz.

S #3: Güvenlik ve uyumluluk ihtiyaçlarını karşılamak için yeterli insan kaynağımız var mı?

Hepimiz yapay zekanın her şeyin üstesinden gelebileceği günü bekliyoruz ama bu yine de oldukça uzak. Şu anda, SaaS kuruluşunuzun kritik güvenlik işlevlerini yerine getirmek için yeterli insan kaynağına sahip olması gerekecek. Bunlar şunları içerir:

  • Cihazlarda güvenlik kontrollerinin uygulanması. Yöneticiler, veri şifreleme programları kurmalı, güvenlik duvarlarını ve antivirüs korumasını yapılandırmalı ve izinsiz giriş tespit sistemlerini izlemelidir. Verizon’un 2022 Veri İhlalleri Araştırma Raporuna göre, 82%Tüm veri ihlallerinin yüzde biri insan unsurunu içerir, bu nedenle sağlam güvenlik kontrollerinin uygulanması bu tür olayların riskini azaltır.
  • Güvenlik açıklarını yönetme. Bu kontroller, tehditlerin olasılığını ve etkisini belirlemek için risk değerlendirmelerini ve zayıflıkları ortaya çıkarmak ve bu güvenlik açıklarının oluşturduğu tehlikeyi azaltmak için ek önlemleri belirlemek için güvenlik açığı değerlendirmelerini içerir. Teşhis araçları ve yapay zeka bunun çoğuna yardımcı olabilir, ancak nihai kararları vermek ve süreçleri uygulamak için insan kaynaklarına hala ihtiyaç vardır.
  • Çalışanlarınızın geçmişini kontrol etmek. Çoğu durumda çalışanlar, örneğin veritabanlarını yanlış yapılandırarak veya siber suçluların kuruluşun sistemlerine erişmesine izin vererek bilgileri kasıtlı olarak açığa çıkarabilir. Geçmiş kontrolleri yapılmadan, şirketler kendilerini kötü aktörleri çalıştırmaya karşı savunmasız bırakır.
  • Çalışanların işe alınması ve işten çıkarılması. Siber güvenlik risklerinizin artmasını önlemek için çalışanları işe alma ve işten çıkarmayla ilgili en iyi uygulamaları izleyin. Yeni çalışanlar, giriş seviyelerine, anlayışlarına ve deneyimlerine göre uyarlanmış siber güvenlik konusunda eğitilmeli ve başlangıçta yalnızca temel erişim sağlanmalıdır. Ayrılan çalışanlar, çıkış görüşmelerinden geçmeli ve siber güvenlik ekibi bir işten çıkarma programı oluşturmalıdır. Bu program, çalışan ayrılır ayrılmaz tüm oturum açma erişiminin iptal edilmesini, tüm çalışma arkadaşlarına ve hissedarlara ayrılış hakkında bilgi verilmesini ve çalışanın ayrıldıktan sonra bir süre erişim sağladığı sistemlerin izlenmesini içermelidir.

Güçlü bir bulut güvenlik stratejisi için yeterli kişiye sahip olmanız, yüksek maliyetli, kalıcı çalışanlar atamanız gerektiği anlamına gelmez. Yönetilen bilgi güvenliği hizmetleri, ihtiyacınız olan desteği günün her saati ve tam zamanlı bir güvenlik uzmanı fiyatının çok altında sağlayarak operasyonunuzu genişletebilir.

S #4: Kuruluşumuzda benimsenmesi gereken bazı en iyi güvenlik uygulamaları nelerdir?

Bazı kuruluşlar güvenlik konusunda çok esnek olmayı seçer ve yalnızca farklı çerçevelere uymak için gereken minimum şeyi yapar. Daha fazla güvenlik bilincine sahip kuruluşlar genellikle daha fazlasını yapar ve gelişmiş güvenlik kontrolleri uygular.

Örneğin, bir keresinde, herhangi bir şirket kaynağına erişebilmeleri için tüm çalışanları telefonlarını ve bilgisayarlarını MDM’ye kaydetmeye zorlayan bir müşteriyle çalıştım. Bu bir uyumluluk gereksinimi değil, kuruluşun güvenlik duruşunu iyileştirmek için yaptığı bir seçimdi.

Her işletmenin benimsemesi gereken temel en iyi uygulama seçenekleri şunları içerir:

  • Tüm sistemlerde düzenli risk değerlendirmeleri yapın. İşler değişir. Yazılım güncellenir, kötü niyetli kişiler kuruluşları hedeflemek için yeni yollar bulur ve verilerinizin bilgisayar korsanları için değeri daha değerli ve erişimi kolay hale gelir. Şirketler, daha sık olmasa da en azından yılda bir kez ve kendilerini savunmasız bırakabilecek herhangi bir önemli sistem veya iş değişikliği yaptıklarında risk düzeylerini değerlendirmelidir. Bunlar, buluta geçiş veya sistemlere erişimi olan yeni bir tedarikçi atamayı içerir.
  • Riski azaltmak için önlemler uygulayın. SaaS kuruluşunuzu hangi faktörlerin tehdit ettiğini öğrendikten sonra, bu riskleri azaltmak için makul güvenlik kontrolleri uygulayabilirsiniz. Personelinizi güvenlik bilinci konusunda eğitin. Güvenlik kurallarının ihlali için cezalar uygulayın. Yeni işe alınanları tarayın ve yalnızca temel hizmetlere erişime izin vermek için kullanıcı hakları sağlayın.
  • Parola denetimleri ve virüs korumaları uygulayın. Kapsamlı parola politikaları geliştirin ve çok faktörlü kimlik doğrulama kullanımını zorunlu kılın. Güvenlik duvarınızın doğru yapılandırıldığından emin olun ve verilerinizi bir VPN kullanarak şifreleyin. Güçlü virüs ve kötü amaçlı yazılım koruması kurun ve eski ve atılmış ekipmanı güvenli bir şekilde atın.
  • Tüm verilerin, ekipmanın ve süreçlerin envanterini çıkarın. Verilerinizi korumak, neye sahip olduğunuzu ve nerede olduğunu bilmenize bağlıdır. Çoğu veri ihlali, yanlışlıkla e-postada, kayıp dizüstü bilgisayarlarda veya yedekleme bantlarında saklanan gizli bilgilerin ipuçlarını içerir. Tüm müşteri ve çalışan kayıtlarınızı tanımlayın ve kataloglayın, ödeme bilgilerini ayrı ve güvenli bir şekilde saklayın ve tüm ekipman korumalarınızın güncel ve iyi çalıştığından emin olun.
  • Siber güvenliği operasyonel süreçlerinize dahil edin. BT sistemleri, uygun şekilde korunmazlarsa savunmasız olabilir. Varsayılan kimlik bilgilerini (örneğin, 1234567 gibi parolalar ve “admin” veya “info” gibi kullanıcı adları) kaldırarak veya değiştirerek ağınızı güçlendirin. Kritik güvenlik yamalarını derhal uygulayın ve sistemleri beklenen normlardan sapmalara karşı izleyin.

Olayları tespit etmek ve bunlara yanıt vermek için yollar ve araçlar oluşturun ve sağlam iş sürekliliği ve felaket kurtarma planları geliştirin. Güvenlik önlemlerini denetleyerek veya sizinle yaptıkları sözleşmelere standartlar ekleyerek belirli üçüncü taraf sağlayıcıların da güvende olmasını sağlayın.

S #5: Uygulamamıza karşı bir sızma testi yaptık mı?

Çoğu güvenlik açığı, harici bir taraf sızma testi yapana kadar tanımlanmaz. Sızma testi, bir uygulamayla ilgili önemli güvenlik sorunlarını belirlemenin en iyi yollarından biridir. Sızma testleri, belirlenen zayıflıklardan yararlanmaya çalışarak bir risk değerlendirmesinden bir adım daha ileri gider.

Örneğin, bir güvenlik açığı değerlendirmesi, yamaların düzenli olarak güncellenmediğini keşfederek bir şirketi saldırılara karşı savunmasız bırakabilir. Bir penetrasyon testi, şirket sistemlerine yama yapılmamış güvenlik açıkları aracılığıyla erişmeye çalışacak ve siber güvenlik ekibinin herhangi bir potansiyel risk alanını önceden desteklemesini sağlayacaktır.

Hazırlıklı olmak

Bir bulut güvenlik stratejisi oluşturan herhangi bir şirketin kendi sektörünün gereksinimlerine uyması gerekir, ancak olası siber güvenlik olaylarına önceden hazırlıklı olarak gerekli uyumluluğun ötesine geçmek de bir o kadar önemlidir. Anormallikleri ve ihlal girişimlerini tespit etmek için süreçleri uygulamaya koyun. Sorunları tahmin etmek için makul güvenlik önlemlerini uygulayın. Yeterli yedekleme ve geri yükleme prosedürlerine sahip olduğunuzdan emin olun. Devam edip etmeyeceğinizden emin değilseniz, sistemlerinizin güvenliğini sağlamak ve müşterilerinizi ve personelinizi korumak için uzman yardımı alın.

yazar hakkında

Bir Bulut Güvenliği Stratejisi Oluştururken Sorulacak En Önemli 5 SoruRhymetec Bilgi Güvenliği Başkanı Metin Kortak. Metin Kortak, 2017’den beri Rhymetec’te Bilgi Güvenliği Başkanı olarak görev yapmaktadır. Kariyerine BT Güvenliği alanında çalışarak başlamıştır ve aşağıdakiler gibi uyumluluk ve veri gizliliği çerçeveleri hakkında kapsamlı bilgi edinmiştir: SOC; ISO 27001; PCI; FEDRAMP; NIST 800-53; GDPR; CCPA; HITRUST ve HIPAA.

Metin, Veri Gizliliği ve Uyum hizmet tekliflerini oluşturmak için Rhymetec’e katıldı ve onun liderliğinde hizmet teklifleri 200’den fazla müşteriye ulaştı ve şu anda sektörde lider bir SaaS güvenlik hizmeti sağlayıcısı. Zamanını California ve New York City’deki evleri arasında geçiren Metin, boş zamanlarında seyahat etmeyi, egzersiz yapmayı ve arkadaşlarıyla kaliteli zaman geçirmeyi seviyor.

Metin’e çevrimiçi olarak https://www.linkedin.com/in/mkortak/ adresinden ve şirket web sitesi https://rhymetec.com/ adresinden ulaşılabilir.



Source link