Borç, bu günlerde büyük bir tartışma konusu – enflasyonist dönemlerde hanehalkı borcu, gelir vergisi beyannamesi son tarihini takip eden vergi borcu, hükümetin borç tavanını yükseltme tartışması. Ancak kuruluşları uzun vadede rahatsız edebilecek bir tür borç, o kadar dikkat çekmez: menkul kıymet borcu.
Yapılması gerekenleri zamanında yapmamak sizi vergilerinizden veya faturalarınızdan ve faiz yığınlarınızdan geride bırakabileceği gibi, kuruluşunuzu kurarken siber güvenliğinizi de bir kenara bırakmak uzun vadede size daha pahalıya mal olabilir. Yapı taşlarını erkenden yerine koymazsanız ve peşin ödeme yapmazsanız, zaman geçtikçe toplam borç büyüyecektir.
Birçok kuruluş, geliştirme yaşam döngüsüne güvenliği dahil etmeden uygulamaları devreye alır. Sonuç olarak, genellikle geri dönüp yazılımı temel yapı taşlarına kadar yeniden yapılandırmak zorunda kalıyorlar, çünkü bu güvenlik kontrollerini erken inşa etmiş olmalarından kat kat daha pahalıya mal oluyor.
Bulut hizmetlerindeki büyüme ve daha fazla operasyonun buluta taşınması bu etkiyi yalnızca büyütüyor. Bulut uygulamaları, kredi kartı olan herkes tarafından başlatılabildiğinden, geliştiriciler potansiyel olarak değerli verileri ve iş varlıklarını riske atabilir. Buluttan önce, eğer bir iş birimi yeni bir uygulama dağıtmak isterse, genellikle bir düzeyde güvenlik gözetimi sağlayarak BT organizasyonuyla bağlantı kurması gerekirdi. Bugün bir iş birimi, BT olmadan herhangi bir bulut platformunda özel bir ortamın geliştirilmesi için dış kaynak kullanabilir. Ek olarak, BT ve bilgi güvenliği ekibi bu varlıklar hakkında bir şeyler öğrendiğinde, genellikle bulut altyapısına ve yapılandırmasına ilişkin sınırlı görünürlüğe sahip olurlar.
Hizmet olarak bulut altyapısı platformlarını kullanarak uygulamaları daha hızlı oluşturmak ve dağıtmak için sürekli çabalayan şirketlerle, güvenlik borcu, çevik olma yolunda kredi kartı ücretlerinden daha hızlı artabilir. Açıkçası, menkul kıymet borcunun en kötü senaryosu bir ihlaldir – fidye yazılımı saldırısı, vandalizm, hırsızlık veya başka bir saldırı – ancak menkul kıymet borcunun ölçülebilecek başka birçok zayiatı da vardır. Örneğin, perakende ve finans gibi yüksek düzeyde düzenlemeye tabi sektörlerde uyumluluk gerçeğinden sonra güvenliğin yeniden yapılandırılmasının maliyeti önemli olabilir. Bu arada, düzenleyiciler, güvenlikleri uyumsuz ve yetersiz olduğu için veri ihlallerine maruz kalan şirketler için para cezaları ve yaptırımlar uygulamaya giderek daha istekli hale geliyor.
Menkul Kıymet Borcu Nasıl Engellenir?
Referans çizgileri oluşturmak ve bazı temel güvenlik çerçeveleriyle uyum sağlamak, menkul kıymet borcunun birikmesini önlemek için yararlı araçlar olabilir. Bir güvenlik programı değerlendirmesi (SPA), güvenlik bilinci, güvenlik açığı yönetimi veya kimlik ve erişim yönetimi dahil olmak üzere birden çok güvenlik alanına bütünsel olarak bakabilir ve sektöre özgü en iyi uygulamalara karşı genel bir değerlendirme yapmak için bu alanlardan herhangi birindeki en iyi uygulamaları değerlendirebilir. Örneğin, İnternet Güvenliği Merkezi (CIS), değerli kontrol ve kıyaslama yönergeleri sağlar.
Bu çerçevelerden biriyle uyum sağlamak, bir bina yönetmeliğinin inşaatta yaptığı gibi siber savunmalar için benzer bir rol üstlenir ve kuruluşu bir felaketi önleyebilecek güvenlik uygulamaları temel çizgisine getirir. Bina yönetmeliği size en gösterişli malikaneyi getirmeyecek ama güvenli bir ev üretecektir; aynı şekilde, bir siber taban çizgisine sahip olmak, güvenlik için temel minimum ölçütü sağlayacaktır.
Tıpkı bina kodlarının coğrafi olarak farklılık göstermesi gibi — kasırgalar Florida’da Maine’den daha büyük bir sorundur — veri güvenliğinin temelleri sektöre göre değişir. Bir perakendeci, Ödeme Kartı Endüstrisi (PCI) Veri Güvenliği Standardına uymakla daha fazla ilgilenirken, diğer endüstriler Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Siber Güvenlik Çerçevesi (CSF) tarafından belirlenen referans çizgisini karşılamakla daha fazla ilgilenebilir. ).
Bir güvenlik çerçevesiyle uyum sağlamak, en iyi uygulamalar hakkında bazı rehberlik sağlar, ancak bir kuruluşun kılavuzlarda kendi benzersiz ortamlarına ve gereksinimlerine göre ince ayar yapması gerekir. Bulutta güvenlik borcunu önlemeye yönelik bazı öneriler şunlardır:
- Güvenliği yazılım geliştirme yaşam döngüsüne entegre edin: Bunu, güvenliği erken ve yaşam döngüsü boyunca entegre ederek yazılım geliştirme sürecini güvence altına almak amacıyla yapın.
- Güvenlik duruşunuzu erkenden ve sık sık gözden geçirin: Güvenlik açıklarının veya güvenli olmayan yapılandırmaların erken keşfedilmesini, değerlendirilmesini ve zamanında düzeltilmesini sağlamak için güvenlik kontrollerini ve bulgularına ilişkin bildirimleri otomatikleştirin.
- Üretime doğru ilerlerken erişimi kısıtladığınızdan emin olun: Gerekli yetkilendirmeler genellikle yaşam döngüsünün başlarında bilinmez ve bu nedenle oldukça müsamahakardır. Bununla birlikte, işlevsel testler tamamlanmaya doğru ilerlerken, yetkilendirmeler bulutta bir çevre oluşturduğundan ve iş yükleri üretime taşınırken genellikle göz ardı edildiğinden, yetkilendirmelerin de değerlendirilmesi gerekir.
- Saldırı yüzeyinizi azaltın: Bunu, yaygın olarak istismar edilen bulut yanlış yapılandırmalarını ve istismar tekniklerini azaltarak ve risk ve anormallikleri tespit etmek için güvenlik açıklarına karşı bulut altyapısını izleyerek yapın.
- Bir siber tehdit profili değerlendirmesi gerçekleştirin: Ulus devletlerden fırsatçı bilgisayar korsanlarına kadar siber tehdit aktörlerinin farklı motivasyonları var. Bazılarının jeopolitik gündemleri varken, diğerleri finansal kazanç peşinde, fikri mülkiyeti hedefliyor veya sadece kaosa neden olmak istiyor. Bulut mimarinize özgü tehditleri ve karşılaştığınız en önemli güvenlik risklerini anlayın.
- Penetrasyon testi yapın: Bulutunuzun risk altında olup olmadığına dair üçüncü taraf doğrulaması almak için bunu yapın. Bu, karmaşık “toksik kombinasyonların” saldırganlar tarafından istismar edilmeden önce tanımlanmasına yardımcı olabilir ve bulut varlıklarınızla ilişkili riskin ölçülmesine yardımcı olacak nicel veriler sağlayabilir.
Güvenlik borcu, geleneksel şirket içi veri merkezlerinde ve daha yeni bulut platformlarında mevcuttur. Bununla birlikte, bulutta birikmesini önlemek, farklı beceriler, süreçler ve araçlar gerektirir. Yukarıdaki tavsiyelere uyulması, bir sonraki büyük ihlalden önce mevcut menkul kıymet borcunun ödenmesine yardımcı olabilir ve yenilerini biriktirmekten kaçınabilir.