Kuruluşlar, uyguladıkları her çözümün nasıl birlikte çalıştığını ve daha geniş kapsamlı derinlemesine savunma stratejilerinin bir parçası olduğunu anlamalıdır.
Yazan: Vincent Tran, CISSP, Kurucu Ortak ve Operasyon Direktörü, Liongard
Siber güvenlikle ilgili tartışmaların çoğu savunma sistemlerini ve prosedürlerini güçlendirme ihtiyacına odaklanıyor ancak bu tartışmalarda güvenlik duruşunun en temel bileşenleri gözden kaçırılıyor: BT yönetişimi ve riskin azaltılması.
Sistemlerin ve konfigürasyonların sürekli çoğalması ve işletmelerin karşı karşıya olduğu tehditler gerçektir ve sürekli olarak büyümektedir ve kuruluşların güvenlik duruşlarını oluştururken göz önünde bulundurabilecekleri sayısız seçenek vardır.
Kuruluşlar, uyguladıkları her çözümün nasıl birlikte çalıştığını ve daha geniş kapsamlı derinlemesine savunma stratejilerinin bir parçası olduğunu anlamalıdır. Daha da önemlisi, olayın daha yukarısına bakan ve güvenlik araçlarının aşağı yöndeki riskleri azaltmasına izin verecek şekilde sistem konfigürasyonlarındaki yönetim ve değişiklik tespitlerinin yerinde olduğundan emin olmak için “boom’un solunda” görünürlüğe sahip olmaları gerekir.
İyi tasarlanmış ve dikkatle yönetilen bir siber güvenlik programı, çok çeşitli tehdide karşı korunmaya ve bunların azaltılmasına yardımcı olurken, kritik iş operasyonlarının güvenli ve kesintisiz kalmasını sağlayabilir. Kuruluşlar, değişikliklere, politikalara ve prosedürlere ilişkin görünürlük ile birlikte sağlam bir varlık ve kullanıcı envanteri temeli oluşturarak, yatırımlarının ve siber güvenlik stratejilerinin kapsamlı ve etkili olmasını sağlayabilir.
BT Yönetişimi yapıştırıcıdır
Siber tehditlere karşı etkili bir şekilde korunmak ve riskleri azaltmak için, Yapılandırma Değişikliğini Tespit ve Yanıt’ı (CCDR) içeren sağlam bir BT yönetişim stratejisine sahip olmak çok önemlidir. İnternet Güvenliği Merkezi’nin (CIS) 1, 2 ve 5 numaralı kontrollerde önerdiği gibi, bu sırasıyla varlıklar, yazılım ve kullanıcı hesaplarının bir envanterinin oluşturulmasını gerektirir. Bu daha sonra önceki duruma göre değişikliklerin sürekli olarak tespit edilmesi ve belgelenmesiyle korunur. Ancak o zaman uygun müdahale ve iyileştirme süreçleri etkili olabilir.
Yönetişim, güvenlik yapılandırmalarının sapmadığını veya yanlış yapılandırılmadığını ve ekip üyelerinin zaman içinde protokolleri, prosedürleri ve süreçleri takip etmeye devam ettiğini değerlendirmek için geri dönmeyi gerektirir. Bu ilke, güvenlik odaklı konfigürasyon yönetimi ve konfigürasyon değişikliği tespitinin benimsenmesi ihtiyacını öneren ABD NIST 800-128 kılavuzunun odak noktasıdır. Bu, bir kuruluşun uygun bağlamda müdahale etme ve olaylardan kurtulma yeteneğinin ayrılmaz bir parçasıdır. Bazı yönlerden temel BT yönetişimi, güvenlik çözümlerinin kendisi kadar önemlidir.
Çoğu zaman ekipler güvenlik çerçevesinin bu kritik parçasını gözden kaçırıyor. Bunun yerine, savunma araçlarıyla “kurup unuturlar” ve değişime ve sürüklenmeye yönelik net bir görüş açısı geliştirmede başarısız olurlar. Eklenmiş ve korumasız olan yeni varlıkları, yazılımları ve kullanıcıları hesaba katamazlar. Tehdit aktörlerinin kendi çıkarları için yararlanacağı zihniyet tam olarak budur ve şirketler için potansiyel olarak yıkıcı ve pahalı sorunlara yol açacaktır.
Şirketler uzlaşmaya zorlanıyor
Geçmişte güvenlik önlemleri katı ve katıydı ancak bu modası geçmiş yaklaşım artık etkili değil. Günümüzde şirketlerin güvenlik ile esnekliği dengelemesi, güvenliği sürekli değişen koşullara uyum sağlayabilecek uyarlanabilir süreçler ve protokoller olarak ele alması gerekiyor.
Güvenliği bir futbol maçında hücum hattı olarak düşünün. Amaç, kullanıcıları korumak, akıcı kalmak ve kullanıcının sınırların dışına çıkmadan veya korumasız alanlara girmeden ilerlemesine olanak sağlamaktır.
Bunun bir parçası olarak, güvenlik ekiplerinin belirli bir düzeyde esnekliğe izin vermesi, çabanın ve yükün daha fazlasını BT yönetişimi tarafına aktarması ve değişime tepki verme çevikliğini geliştirmesi gerekiyor. Bu uzlaşma, nelere izin verilip nelere izin verilmediğine ilişkin envanter ve politikaların açıkça oluşturulması ve sürdürülmesi konusunda daha fazla sorumluluk yüklemektedir. Bu şekilde, son kullanıcı görevlerine odaklanabilir ve üretken olmak için ihtiyaç duydukları şeye sahip olurken başarılı ve güvenli bir sonuç elde edeceğinden emin olabilir.
Şirketlerin eski sorunlara bakmanın yeni yollarına ihtiyacı var
İşletmelerin değişen zamana uyum sağlaması ve güvenlik önlemlerini buna göre güncellemesi gerekiyor. Yüzey alanlarında görünürlük sahibi olmayanlar, varlıklarındaki değişiklikler ve yönetim altındaki kullanıcılar giderek artan risklere karşı hassastır ve zamanla daha da savunmasız hale gelebilirler.
Günümüz iş dünyasında dijital dönüşümün ve yenilikçi sistem ve hizmetlerin benimsenmesi esas olsa da, bu stratejiler kuruluşlara yeni riskler de sunabilmektedir. Önde kalabilmek için şirketlerin güvenlik süreçlerini sürekli olarak değerlendirmeleri ve ayarlamaları gerekir. Çoğu zaman bu, sürekli denetim fazla mesai sağlamak için otomatikleştirilmesi gereken manuel işlerin incelenmesini ve kaldırılmasını gerektirir.
Ekiplerin kendilerine çeviklik sağlayacak sistemleri ve otomasyonu seçmeleri gerekir; bu da kuruluş için önemli değer ve getiri yaratacaktır. Sürekli denetimin, değişiklik yönetiminin ve güvenlik değerlendirmelerinin yürürlükte olmasını sağlamak, olası dezavantajları en aza indirirken faydaları en üst düzeye çıkaracaktır.
Sonuçta odak noktası, son kullanıcıların mümkün olan en iyi deneyimi alacağı ve kuruluşun modern teknoloji ortamında güvenli bir şekilde gezinirken güvenlik hedeflerine güvenle ulaşabileceği, katılan herkes için bir kazan-kazan durumu yaratmaktır.
yazar hakkında
Vincent Tran, CISSP, Liongard’ın Kurucu Ortağı ve Operasyon Direktörüdür. Pazarlama, tasarım, UX/UI, teknik proje yönetimi, iş zekası otomasyon platformları geliştirme ve güvenli web uygulamaları konularında 25 yılı aşkın deneyime sahip çok disiplinli bir girişimcidir. Liongard ekibine katılmadan önce, çok çeşitli ajans müşterilerini temsil eden çok sayıda profesyonel yönetilen hizmet organizasyonunun sahibi ve işletmecisiydi. Vincent, Lisans derecesini Austin’deki Texas Üniversitesi’nden almıştır ve ISC2 Sertifikalı Bilgi Sistemleri Güvenlik Uzmanıdır.
Vincent’a çevrimiçi olarak https://www.linkedin.com/in/vincenttran/ adresinden ve şirketimizin web sitesi https://www.liongard.com/ adresinden ulaşılabilir.