Dark Reading ile ortaklaşa geliştirilen Coalfire’ın “2023 State of CISO Influence” raporunda – büyük endüstrilerdeki güvenlik yöneticileri ve her ölçekten şirket çağrıda bulundu iyi yönetişim stratejisi eksikliği bulut geçişini yönetmede karşılaştıkları en büyük zorluklardan biri olarak.
Buluta yapılan herhangi bir geçişle birlikte, kurumsal liderler, BT’nin genellikle hibrit bir ortamda birden çok varlığın yönetimiyle hokkabazlık yapmasıyla birlikte, yeteneklerden yararlanmaya ve sayısız hizmetten yararlanmaya odaklanır. CISO’lar, insanları, süreçleri ve politikaları olabildiğince tutarlı tutmak ve yeni bir şey icat etme ihtiyacını ortadan kaldırmak için mevcut güvenlik programını alıp yeni taşınan sistemlerin etrafına sarmak istiyor. Standartları ve prosedürleri güncellemek ve birleştirmek genellikle listenin son sırasında yer alır.
Tek bir yönetişim modeli tüm kuruluşlar için doğru cevap olmasa da, bulut çağındaki yönetişim, en azından, operasyonel uygulamaların kuruluşun amaçlarına ve risk toleransına uygun hale getirilmesini sağlamak için standartların gözetimini, stratejisini ve uygulanmasını sağlamalıdır.
Güvenlik yönetişimi, iş öncelikleri ile mimari, standartlar ve politika gibi teknik uygulamalar arasında köprü kurar.
Özellikle küçük şirketler için yönetişim işlevi bazen çok geç olana kadar göz ardı edilir. 500 veya daha az çalışanı olan şirketlerdeki üst düzey güvenlik yöneticileri, yönetişim sorunlarını orta ölçekli ve daha büyük kurumsal muadillerine göre 10 puan önde sıraladı.
Marka Güvenini Artırmak için Yönetişimi Optimize Etmek
Rapor, bugün iş esnekliğinin özü olduğuna inandığım şeyi doğruladı: öncelikleri belirlemek, etkin olay müdahale stratejisini iletmek, sistemlerin sürekliliğini önceden planlamak ve sürekli uyumluluğu sağlamak.
İş hedefleri ve risk yönetimi, en iyi güvenlik programı rehberleridir ve çabaların kuruluşun en önemli ilgi alanlarına odaklanmak için optimize edilmesini sağlar. Doğal olarak, yönetişim süreçlerini günümüzün hibrit sunucu ortamlarında etkili bir şekilde çalışacak şekilde optimize etmek görev açısından kritik hale geliyor. Artan altyapı karmaşıklığı, aşağıdakiler gibi zor soruları beraberinde getirir:
- Bulut tabanlı ekosistemimizde üçüncü taraflarca ortaya çıkan operasyonel riski nasıl karşılarız?
- Çalışanlar, müşteriler, satıcılar, uzaktan çalışanlar, Nesnelerin İnterneti vb. için erişim ilkelerini nasıl yapılandırır ve tek tip olarak uygularız?
- Sıfır güven elde edebilir miyiz ve hibrit bir ortama etkili bir şekilde uyacak şekilde uyarlanabilir miyiz?
- Kapsamlı olay tespiti ve müdahalesi ile operasyonel dayanıklılığı sağlamak için stratejimiz ve uygulama planımız nedir?
- Müşterilere ve paydaşlara, bir kesintiden sonra veya hafifletme sırasında işimizin faaliyetlerine devam etme kabiliyeti konusunda nasıl güvence verebiliriz?
Bu soruları ele almak, sürdürülemez olduğu kanıtlanmış modası geçmiş “gök düşüyor/daha fazla harcama” zihniyeti yerine rasyonel, uygun maliyetli bir yaklaşımı kolaylaştırıyor. Hiper ölçekli bulutun sürekli genişleyen saldırı yüzeyiyle, CISO’lar riski ortadan kaldıramazlar ve sonsuz sayıda tehdit tanımlaması ve güvenlik açıkları taraması için dürtüsel harcamaları haklı çıkaramazlar. Bunun yerine, marka itibarını ve müşteri güvenini artırmak için sorunlara yanıt vermeli ve düzeltmeli, maliyetleri düşürmeli ve güvenli ürün yaşam döngülerini geliştirmelidirler.
Çatışmayı Önlemek için Yönetişim Sorumluluklarını Uyumlaştırın
Araştırmamız, sektörler genelinde hizmet sunumunun her yıl buluta doğru ilerlediğini gösteriyor. Tüm şirket içi sistemler nihayetinde geçiş için aday olarak kabul edilse de, eski sistemler yarın ortadan kalkmayacak, bu nedenle genişleyen bir saldırı yüzeyiyle uğraşırken bulut ivmesini devam ettirmek için pragmatik bir yönetim tarzına ihtiyacımız var – diğer “ilk iki” endişe iyi yönetişim eksikliği ile birlikte anketteki CISO’ların sayısı.
Hibrit bulut operasyonları için yönetişim stratejileri geliştirirken, CISO’ların bulut ve SaaS satıcıları tarafından hangi hizmetlerin sağlandığını anlamaları ve sorumlulukların ve yükümlülüklerin nereye düştüğü konusunda netliğe sahip olmaları çok önemlidir. Güvenlik uzmanları bilinen boşlukları daha etkin bir şekilde kapatırken, güvenlik ekipleri sorunlar olduğunda hararetin çoğunu hissetmeye devam eder. Bulut ve şirket içi personel, sorumluluğu saptırma veya parmakla gösterme girişimleriyle sonuçlanan düşmanca bir modele düşebilir.
Bir RACI sorumluluk hizalama matrisi aracılığıyla roller ve sorumluluklar atayan iyi planlanmış bir yönetişim modeli, bu durumlardan kaçınmanın en iyi yollarından biridir. Bu planları önceden geliştirememek, küçük çatışmaların bile etkisini şiddetlendirebilir. İleri görüşlü güvenlik liderleri, ne yapılması gerektiğini ve kimin ne yapacağını önceden çok önceden çizer. Herhangi bir taşıma veya kaldır-kaydır işleminin başlangıcında, anlayışlı CISO’ların “ilk sırada kim var” konusunda net bir anlayışla işe başlaması gerekir. Temel yönetişim işlevlerini proje yönetimi planlama matrisinin en soluna kaydırarak bu önseziye öncelik verin.
Büyük CISO’lar yalnızca güvenlik önlemlerini uygulamakla kalmaz, aynı zamanda iş stratejisini, risk yönetimini, varlık korumasını ve yenilik güvenliğini uyumlu hale getiren temel yönetişim disiplinlerini uygulamak için iş liderliği ile birlikte çalışarak güven oluşturur ve en iyi güvenlik uygulamalarının ve kontrollerinin yürütülmesini sağlamak için rehberlik sağlar.
Genel olarak, her sektördeki ve şirket büyüklüğündeki CISO’lar, yönetişimin genellikle sonradan akla gelen bir şey olduğunu söylüyor. Strateji eksikliği, potansiyel ihlal, kesinti ve politika başarısızlıkları gibi tehlikelerin yanı sıra bulut ve şirket içi ekipler arasında departmanlar arası sürtüşmeler üretir. İster risk yönlendirme komitesi ister Bulut Danışma Kurulu olsun, iyi yönetişim işin ilerlemesini ve tedarik zincirinin akışını sağlar. Bu, tüm güvenlik liderleri için temel bir yetkinliktir.
yazar hakkında
Michael Eisenberg, iki küresel Fortune 250 kuruluşu (Aon ve McDonald’s Corporation), devlet sektörü ve ABD ordusu dahil olmak üzere kamu ve özel sektörde 31 yılı aşkın deneyime sahip deneyimli bir bilgi güvenliği uzmanıdır. Coalfire’da Strateji, Gizlilik ve Riskten sorumlu başkan yardımcısı olan Michael, C düzeyindeki memurların güvenlik stratejileri oluşturmasına ve geliştirmesine ve siber güvenlik programları sunmasına yardımcı olan bir dizi güvenlik danışmanlığı hizmeti aracılığıyla deneyiminden yararlanır. Illinois Institute of Technology’den bilgisayar bilimi alanında yüksek lisans derecesi aldı. Michael, CISSP, CISA, CISM ve CRISC güvenlik sertifikalarına sahiptir.