Günümüz şirketlerinde siber güvenliği yönetmek mi istiyorsunuz? Tutarlı güvenlik standartlarını korumaya çalışırken muhtemelen birden fazla iş birimi, bulut ortamı ve geliştirme ekibiyle hokkabazlık yapıyorsunuz. Hala merkezi, komuta ve kontrol güvenlik modeliyle çalışıyorsanız zorlu bir mücadele veriyor olabilirsiniz.
İşte bu noktada birleşik güvenlik devreye giriyor. Gözetim ile özerklik arasındaki denge, iş birimlerinin ihtiyaç duydukları esnekliğe sahip olmasına ve aynı zamanda kuruluşunuzun ihtiyaç duyduğu güvenlik standartlarını korumasına olanak tanıyor. Bu yaklaşım olmadan bir seçim yapmak zorunda kalırsınız: Yeniliği engellemek ya da güvenlik açıkları yaratmak. Her iki seçenek de özellikle çekici değil.
Gerçeklik kontrolü: geleneksel modeller neden çatlıyor?
Konuştuğum CISO’ların çoğu aynı baş ağrısıyla uğraşıyor: teknoloji kararları merkezi BT’den bireysel iş kollarına taşındı. Oluşturduğunuz şu düzenli, düzenli güvenlik modeli mi? Hızlı hareket etmesi, sürekli yenilik yapması ve pazar değişikliklerine rakiplerden önce yanıt vermesi gereken iş birimleri tarafından darbe alıyor.
Geleneksel güvenlik modelleri gerçeğe çarptığında şunlar olur:
- Hız ve güvenlik arasındaki dengeler: Son teslim tarihleri kimseyi beklemediği için iş birimleri güvenlik süreçlerinin etrafından dolaşıyor
- BT’yi her yerde gölgeleyin: Onay almanın sonsuza kadar sürmesi nedeniyle ekipler araçları sormadan benimser
- Politika yorumlama kaosu: Her bölüm aynı güvenlik politikasını farklı şekilde okuyor
- Merkezi ekip darboğazları: Güvenlik herkesi yavaşlatan şey haline geliyor
- Bağlam uyumsuzlukları: Güvenlik ekipleri her iş biriminin gerçekte ne yaptığını gerçekten anlamıyor
Buradaki hedefi kaçırdığınızda uyumluluk başarısızlıkları, güvenlik olayları ve güvenliği “her zaman hayır diyen ekip” olarak düşünen iş ortaklarıyla karşı karşıya kalırsınız.
Birleşik güvenlikle tanışın: gerçekten işe yarayan orta yol
Federal yapılara (merkezi gözetim ve merkezi olmayan güvenlik sahipliğinin eşleştiği) sahip kuruluşlar, özellikle birden fazla iş birimine veya geliştirme ekibine sahip şirketlerde daha hızlı ve riskli karar verme süreçleri görüyor.
Birleşik güvenlik modeli, kontrol ve esneklik arasındaki hassas noktayı bulur. Merkezi yönetimi ve standartları yerinde tutarken güvenlik sahipliğini dağıtırsınız.
İşte bu yüzden zemin kazanıyor:
- Merkezi standartlar, yerel uygulama: “Neyi” merkezi olarak belirlersiniz; İş birimleri “nasıl” sorusunu çözüyor
- Gömülü güvenlik mimarları: Güvenlik odaklı insanlar doğrudan iş birimlerinde çalışır
- Risk bazlı karar hakları: Yerel ekipler, belirlenen sınırlar dahilinde güvenlik kararları alabilir
- Paylaşılan sorumluluk: İş birimleri kendi güvenlik duruşlarına ve risklerine sahiptir; merkezi ekipler rehberlik ve gözetim sağlar
- Ölçeklenebilir uzmanlık: Her şeyin tek bir ekipten geçmesine gerek kalmadan, kuruluş çapındaki uzmanlık bilgisinden yararlanırsınız
Uygulamadaki birleşik güvenlik modeli
Birleşik güvenliği düzgün bir şekilde uyguladığınızda, iş esas olarak şu şekilde yapılır:
- Politika ve yönetişim: Merkezi ekip kurumsal standartları ve risk toleransını belirler; iş birimleri uygulamayı kendi özel durumlarına uyacak şekilde uyarlar
- Risk yönetimi: Yerel güvenlik mimarları kendi etki alanlarındaki riskleri yönetir ve büyük kurumsal kararları üst kademeye aktarır
- Araç seçimi: İş birimleri, önceden onaylanmış kataloglardan çözümler seçer veya yeni teknolojiler için kolaylaştırılmış onay alır
- Kimlik ve erişim yönetimi: Yerel ekipler, merkezi olarak tanımlanmış çerçeveler dahilinde günlük provizyonu ve rol atamalarını yönetir; merkezi ekip dizin hizmetlerini, kimlik doğrulama standartlarını ve genel mimariyi korur
- Uyumluluk: Otomatik kontroller operasyonel esneklik sağlarken tutarlı temel uyumluluğu korur
Birleşik güvenliğin gerçekten işe yaramasını sağlayan şey nedir?
Başarılı olan birleşik güvenlik modellerinin birkaç ortak noktası vardır:
- Açık karar hakları: Kimin neye, ne zaman ve hangi yetki düzeyiyle karar vereceğini herkes bilir
- Güvenlik ağı: İş birimlerine yerleştirilmiş, genellikle ikili raporlama ilişkileri olan vasıflı profesyoneller
- Standartlaştırılmış araçlar: Belirlenen sınırlar dahilinde esneklik sağlayan ortak platformlar
- Risk bazlı çerçeveler: Hangi kararların yerel olarak mı yoksa merkezi olarak mı alındığına ilişkin net kriterler
- Kültürel uyum: Güvenliğin yalnızca BT departmanına değil herkese ait olduğu konusunda ortak anlayış
Bu yaklaşım neden kazanıyor?
Birleşik güvenlik modellerini uygulayan kuruluşlar sürekli olarak çeşitli avantajlar elde etmektedir:
- Daha hızlı inovasyon: İş birimleri, güvenlik standartlarından ödün vermeden pazar hızında hareket ediyor
- Daha iyi risk yönetimi: Kararlar hem iş bağlamı hem de güvenlik uzmanlığıyla alınır
- Daha yüksek benimseme: Kullanıcı ihtiyaçları göz önünde bulundurularak tasarlanan güvenlik kontrolleri atlanmak yerine benimseniyor
- Geliştirilmiş dayanıklılık: Dağıtılmış karar alma, tek başarısızlık noktalarını ortadan kaldırır
- Daha güçlü güvenlik kültürü: İnsanlar bir şeye sahip olduklarında onu daha çok önemserler
Sonuç olarak
CISO’lar, politika uygulamasını daha esnek ve yerel olarak yönetilen hale getirirken politika yönetimini merkezileştirmeyi öğreniyor. Merkezi güvenliğin her kararı kontrol ettiği günler sona eriyor. Modern kuruluşların gerçek çalışma şekline uygun, dağıtılmış, hızlı hareket eden ve yenilikçi güvenlik modellerine ihtiyacı var.
Federasyon yaklaşımı kontrolü kaybetmekle ilgili değil. Bu, etkiyi akıllıca ölçeklendirmekle ilgilidir. Güvenlik uzmanlığını kararların alındığı yere yerleştirdiğinizde ve bağımsız eylem için net çerçeveler sağladığınızda, iş başarısını engellemek yerine mümkün kılan bir güvenlik programı oluşturursunuz.
Dolayısıyla, bir sonraki organizasyonel yeniden yapılanmanızdan önce kendinize şu soruyu sorun: İş karmaşıklığımızla birlikte büyüyen güvenlik mi oluşturuyoruz, yoksa kendi başarımızı sınırlayan kısıtlama mıyız? Federasyon modeli dikkate alınmaya değer olabilir.