CISO’lar ve CIO’lar arasındaki siber güvenlik güven krizi ve bunun nasıl aşılacağı.
Quod Orbis Baş Teknoloji Sorumlusu Gary Penolver tarafından
Kariyerim boyunca CISO’lar ve CIO’larla yakın bir şekilde çalıştım. Sonuç olarak, kuruluşlarında karşılaştıkları belirli zorluklara dair güçlü bir anlayış kazandım ve onların kolektif ruh halini ölçmekte oldukça iyi olduğumu düşünüyorum. Ve aldığım şey beni ilgilendiriyor.
Genel olarak, CISO’lar ve CIO’lar arasında bir güven krizi gözlemledim. Bununla kastettiğim, kuruluşlarının siber saldırılara karşı yeterli savunmaya sahip olduğuna dair güven eksikliği – gerekli araçlar için bütçe eksikliği, mevcut araçların etkisiz bir şekilde yapılandırılması, varlıklarının kontrol ve görünürlük eksikliği, insan hataları olabilir. ve atlamalar veya tüm bunların ve daha fazlasının bir kombinasyonu.
Elbette, son yıllarda BT departmanları ve BT sistemlerinin ve dijital olarak bağlantılı varlıkların aynı anda erişilebilir ve güvenli olmasını sağlamaktan sorumlu olanlar üzerinde baskı oluşturan çok sayıda faktör var.
Buluta kısmi geçiş, kuruluşların bulut tabanlı sistemler ile hem eski hem de daha yeni şirket içi sistemleri bir araya getiren hibrit mimarilerle mücadele etmesi anlamına geliyor. Buna ek olarak, bir hibrit çalışma modeline hizmet etme ihtiyacı var – bu, Covid salgını tarafından hızlandırılan ve yönetim kurulu seviyesinden bir fayda olarak esnek çalışma sunma arzusundan doğan bir model.
Bunların hepsi çok büyük bir sorumluluk, dolayısıyla CISO ve CIO’ların zihinlerine ve omuzlarına ağır bir yük binmesine şaşmamalı; ve güven seviyelerinin düşük olmasına şaşmamalı.
En yaygın zorluklar
Bazı spesifik örnekler vereyim:
CISO/CIO’lar, birileri için bir şeyleri düzeltmek amacıyla BT meslektaşlarının kritik savunmaları devre dışı bırakmasından endişe ediyor. Tabii ki, görev alanları bağlamında doğru şeyi yapmaya çalışıyorlar. Ancak bu savunmalar ne kadar süreyle devre dışı kalacak? Diğer paydaşlara danışıldı ve tavsiyeler alındı mı? Bu savunmalar tekrar açılacak mı? Doğru şekilde iade edilecekler mi? Bütün bunlar belgelenecek ve bulgular paylaşılacak mı?
Sonra ortak bulut bilgi işlem bilmeceleri var: SaaS ürün davranışları her zaman değişiyor. Örneğin Microsoft’un O365’ini ele alalım. Kuruluşlar bunu bir kez güvence altına aldıklarını düşünürler, ancak ardından bir dizi değişiklik/iyileştirme yayınlanır. Ve bu değişiklikler elbette düzenli olarak gelir çünkü bu, buluttaki uygulamaların reklamı yapılan “faydalarından” biridir. Tüm bunların üstesinden gelmediğiniz sürece, yeni boşluklar ve güvenlik açıkları ortaya çıkmaya devam edecek ve daha önce yaptığınız ‘sertleştirme’ çalışması geri alınabilir.
Kümülatif etki, CISO’ların ve CIO’ların, kuruluşlarının potansiyel siber güvenlik ihlallerine karşı bir adım önde olma yeteneği konusunda derin endişe duymalarıdır.
Bunların hepsi ‘akıntıya karşı yüzmek’ atasözü gibi geliyorsa, bunun nedeni henüz etkili bir çözümü olmayan birçok kuruluş için olmasıdır.
Temel sorunlar.
Her şeyi tek bir temel nedene indirgemek gerekirse, o da şudur: önemli ölçüde artırılmış bir saldırı yüzeyi.
Bu zor seçimleri beraberinde getiriyor. Hepsini güvence altına almak için daha fazla bütçeye, daha fazla insana ve daha fazla araca mı ihtiyacınız var? Yoksa neyi düzgün bir şekilde güvence altına alacağınızı seçmek zorunda mısınız? Ya da belki başka bir çözüm var mı?
Ancak daha da büyük, altta yatan bir sorun var ki çoğu kuruluş zaten temelleri doğru bir şekilde yapmak için mücadele ediyor. Temel bilgiler derken, yalnızca yama uygulamalarını, yedeklemeleri, güvenlik açığı yönetimini ve benzerlerini değil, aynı zamanda varlıklarını bir bütün olarak veya ‘Kraliyet Mücevherlerini’ tanımlamayı ve korumayı kastediyorum (ve bunun henüz varlıkları “korumak” ile ilgili olmadığını unutmayın. , ancak basitçe “tanımlama”). CISO’ların ve CIO’ların çok iyi bildiği gibi, bu önemsiz bir konu değil.
Buna ek olarak, M&A faaliyetinin teknolojinin yayılmasını daha da genişlettiği ve farklı yaklaşımları, süreçleri ve kontrolleri bir araya getirdiği ‘büyük işletmelerde’ durum yardımcı olmuyor.
Ayrıca, bir kuruluşun işini dijitalleştirmesi veya bu dijital dönüşümü hızlandırması gereken hız, siber/güvenliği yakalama görevine bırakır. DevSecOps ve güvenliğin yazılım geliştirme yaşam döngüsünün başlarında tanıtılmasıyla ilgili tüm güzel konuşmalara rağmen, güvenliğin en başından itibaren ‘pişirilmesine’ yeterince odaklanılmamıştır.
Sürekli Kontrol İzleme ile artan siber güvenlik güveni
Peki, artan güvenlik ve güven için çözüm nedir? Kısaca üç kelime:
Sürekli Kontrol İzleme (veya CCM).
CCM, akıllıca seçildiğinde bir kuruluş için tek bir gerçek kaynağında eksiksiz kontrol görünürlüğü sağlayabilen, Gartner tarafından tanınan bir çözümdür.
CCM’nin amacı, tüm varlıklarınızı bir araya getirebilmesidir, böylece tüm kontrolleriniz – ve bu tek gerçek kaynağı – yönetim kuruluna aktarılabilen tutarlı, güvenilir raporlama ile tek bir gerçek kaynağında izlenebilir. ve kolayca anlaşılır.
Konuştuğum CISO’lar ve CIO’lar, bir kıskaç hareketi olarak tanımlanabilecek şeyle gerçekten ilgileniyorlar. Bir cephede, siber suçluların bugünlerde kurumsal sistemlere ne kadar kolay eriştiğine dair artan bir endişe var; ve diğer yandan, karma kurumsal sistemler ve kontrollerin ne kadar karmaşık hale geldiğine ve genellikle sınırlı kaynaklar ve kıt becerilerle hepsini yönetmenin ve kontrol etmenin ne kadar zor olduğuna dair artan bir korku var.
CCM, birçok kişinin bu savaşları kazanmanın yolu olarak gördüğü stratejik çözümdür. Dediğim gibi, her şeyi gerçeğin tek bir versiyonunda bir araya getirmekle ilgili.
Bu makalede bahsettiğim güven krizi yerleşiktir. Ama bu şekilde olmak zorunda değil.
CISO’lar ve CIO’lar ile işleri siber saldırılara ve ilgili güvenlik açıklarına karşı korunmayı içeren diğerlerinin, varlıklarına ilişkin daha fazla görünürlüğe ve amaçlarına ulaşmak için kullandıkları teknolojilere ve süreçlere daha fazla güven duymaları gerektiği açıktır.
yazar hakkında
Gary Penolver, Quod Orbis’in CTO’sudur. Üst düzey teknoloji rollerinde 15 yıldan fazla deneyime sahiptir ve iki teknoloji şirketinin kurulması ve pazara sunulmasıyla yakından ilgilenmektedir. Gary’ye çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesi https://www.quodorbis.com adresinden ulaşılabilir.