Veri ihlalleri bir düzine kadardır. Bu ifadeye olumsuz bakmak kolay olsa da olumlu bakış açısı, sonuç olarak siber güvenlik profesyonellerinin bol miktarda öğrenme anına sahip olmasıdır. Neyin yanlış gittiğini ve nedenini öğrenmek, güvenlik hazırlıklarını yeniden gözden geçirmek ve siber güvenlik açığı ile risk yönetimi programlarını üst düzeye çıkarmak isteyen kuruluşlar için iyi bir akıl sağlığı kontrolü olabilir.
Geçtiğimiz günlerde Amerikalı televizyon kanalı ve markası Nickelodeon’un bir veri sızıntısının kurbanı olduğu ortaya çıktı. Kaynaklara göre, ihlal 2023’ün başında meydana geldi, ancak söz konusu verilerin çoğu “uzun biçimli içerik veya çalışan veya kullanıcı verileriyle değil, yalnızca üretim dosyalarıyla ilgiliydi ve (görünüşe göre) onlarca yıllıktı.” Bu muğlak ifadenin anlamı: Veriler eski olduğundan ve bireylerin kişisel olarak tanımlanabilir bilgileriyle (PII) veya halihazırda kamuya açıklanmamış herhangi bir özel bilgiyle ilgili olmadığından, bu bir olay değildir.
Diyelim ki Nickelodeon bu olay nedeniyle maddi bir zarar görmedi; harika! Ancak bilmediğimiz gerçeklerin olması da muhtemeldir. Tescilli veriler olmaması gereken yere ulaştığında, güvenlik profesyonellerinin kafasında uyarı zilleri çalmalı. Eğer “onlarca yıllık” dosyalar PII içerseydi sonuç ne olurdu? Bazı veriler önemsiz olabilir, ancak bazıları çok önemli olabilir. Dosyalar başka korumalı veya özel veriler içeriyorsa ne olur? Ya markanın bütünlüğünü tehlikeye atarlarsa? Tüm kuruluşların “ya olursa”ları düşünmesi ve en kötü ve temel durum senaryolarını mevcut güvenlik uygulamalarına uygulaması gerekir.
Nickelodeon davası, “onlarca yıllık” verileri saklamanın gerekli olup olmadığı sorusunu gündeme getiriyor. Geçmiş verileri saklamak bazı durumlarda kuruluşa fayda sağlayabilirken, saklanan her veri parçası şirketin saldırı yüzeyini artırır ve riski artırır. Nickelodeon neden eski dosyaları kolayca erişilebilecek bir yerde sakladı? Dosyalar ayrı bir konumdaysa, güvenlik ekibi muhtemelen dosyalara erişim için yeterli kontrolleri uygulamamıştır. Teknolojiyi güvence altına almanın maliyetinin ve onun doğası gereği karmaşıklığının zaten astronomik derecede yüksek olduğu göz önüne alındığında, CISO’ların geçmiş, mevcut ve gelecekteki tüm veri koruma projeleri de dahil olmak üzere tüm güvenlik projeleri ve süreçleri için bütçe ve iş gücü tahsisine öncelik vermesi gerekiyor.
Yavaş bir ekonomide sistem güvenliği ile bütçeyi dengelemek beceri ve anlayış gerektirir. Ancak patlama zamanlarında bile soruna daha fazla para harcamak her zaman işe yaramıyor. Güvenlik harcamalarındaki artışın bir kuruluşun güvenlik duruşunu orantılı olarak iyileştirdiğine dair hiçbir kanıt yoktur. Aslında bazı çalışmalar, güvenlik araçlarının aşırı bolluğunun daha fazla kafa karışıklığına ve karmaşıklığa yol açtığını öne sürüyor. Bu nedenle CISO’lar iş riskinin toleransı ve azaltılmasına odaklanmalıdır.
Siber risk yönetimine yaklaşımlar
Hiçbir kuruluş birbirine benzemediği için her CISO’nun kuruluşun hedefleri, kültürü ve risk toleransıyla uyumlu bir siber risk yönetimi yaklaşımı bulması gerekir. Bütçe burada da önemli bir rol oynuyor ancak güvenlik hedefleri işletmenin hedefleriyle uyumluysa daha fazla bütçe sağlamak daha kolay bir iş olacaktır. Bu hususları değerlendirdikten sonra CISO’lar kuruluşlarının risk yönetimi konusunda bir veya daha fazla temel yaklaşıma uygun olduğunu görebilirler.
Risk toleransına dayalı yaklaşım
Her şirketin ve hatta şirket içindeki her departmanın almaya istekli oldukları riskin miktarı ve türü konusunda bir toleransı vardır. Güvenliğe özgü tolerans seviyeleri, istenen iş sonuçlarına dayanmalıdır; Siber güvenlik riski, yalnızca siber güvenlik çabalarına göre belirlenemez veya hesaplanamaz; daha ziyade bu çabaların daha büyük işletmeleri nasıl desteklediğine bakılır.
Siber güvenliği iş riskiyle uyumlu hale getirmek için güvenlik ekiplerinin aşağıdaki soruları dikkate alarak iş esnekliğini ele alması gerekir:
- Bir siber güvenlik olayı meydana gelirse işletme nasıl etkilenir?
- Bir siber olayın veya veri ihlalinin üretkenlik, operasyonel ve finansal sonuçları nelerdir?
- İşletme bir olayı dahili olarak ele almak için ne kadar donanımlı?
- İç yetenekleri desteklemek için hangi dış kaynaklara ihtiyaç duyulacaktır?
Bu tür soruların yanıtları ve bunları destekleyecek ölçümlerle siber risk seviyeleri uygun şekilde ayarlanabilir.
Olgunluk temelli yaklaşım
Günümüzde pek çok şirket, siber risk toleranslarını, siber güvenlik ekiplerinin ve kontrollerinin ne kadar olgun olduğunu algıladıklarına göre tahmin ediyor. Örneğin, deneyimli personelin tamamını destekleyen bir dahili güvenlik operasyonları merkezine (SOC) sahip şirketler, sürekli izleme ve güvenlik açığı önceliklendirmesi konusunda, güvenlik ekibini yeni kuran ve çalıştıran bir şirketten daha iyi donanıma sahip olabilir. Olgun güvenlik ekipleri, kritik güvenlik açıklarını önceliklendirme ve düzeltme ve yakın tehditlerdeki boşlukları kapatma konusunda iyidir; bu da onlara genellikle daha yüksek bir güvenlik riski toleransı sağlar.
Bununla birlikte, birçok SOC ekibi risk azaltmaya odaklanamayacak kadar veriler, uyarılar ve teknoloji bakımıyla boğuşuyor. Olgunluğa dayalı bir yaklaşım benimsemeye karar veren bir şirketin yapması gereken ilk şey, kendi güvenlik olgunluğu, yetenekleri ve etkililik düzeyini dürüstçe değerlendirmektir. Gerçekten olgun bir siber güvenlik organizasyonu, riski yönetmek için daha iyi donanıma sahiptir, ancak olgunluk düzeyi ne olursa olsun, güvenlik ekipleri için öz farkındalık hayati önem taşır.
Bütçe bazlı yaklaşım
Günümüzde bütçe kısıtlamaları işin her alanında yaygındır ve tam kadrolu, tam donanımlı bir siber güvenlik programını yürütmek maliyet açısından pazarlık değildir. Ancak çok sayıda personele ve teknolojiye sahip kuruluşların güvenlik veya risk açısından daha iyi performans göstermeleri her zaman mümkün olmayabilir. Mevcut sistemlere gerçek bir iltifat olacak şey için bütçe konusunda bilgili olmakla ilgili her şey.
Kuruluşu sıfır güvene dayalı bir mimariye doğru taşıyacak, öncelikle güvenlik temeline ve iyi hijyene odaklanacak araçlara yatırım yapın. Siber güvenlik ekipleri, doğru temelleri atarak ve bunları yönetecek yetkin personele sahip olarak, en üst düzey CIS Kontrollerinde uzmanlaşmadan en yeni ve en iyi araçları uygulamak yerine daha iyi durumda olacaktır: Kurumsal ve yazılım varlıklarının envanteri ve kontrolü, temel veri koruması, güvenli yapılandırma yönetimi, güçlendirilmiş erişim yönetimi, günlük yönetimi ve daha fazlası.
Tehdit temelli yaklaşım
Risk yönetimine yönelik tehdit temelli yaklaşımın önemli bir yönü, güvenlik açıklarının ve tehditlerin aynı şey olmadığının anlaşılmasıdır. Açık güvenlik açıkları tehditlere yol açabilir (ve bu nedenle her kuruluşun güvenlik süreci ve programının standart bir parçası olmalıdır). Ancak “Tehditler”, bir güvenlik açığının istismar edilme potansiyeline sahip olduğu kişi/kişiler veya olayı ifade eder. Tehditler aynı zamanda bir sistemin veya kaynağın bağlamına ve kullanılabilirliğine de bağlıdır.
Örneğin, Log4Shell istismarı Log4j güvenlik açığından yararlandı. Güvenlik açığı, yardımcı programın yamasız sürümünü çalıştıran kuruluşlar için bir tehdit oluşturdu. Yamasız sürümleri çalıştırmayan kuruluşlar — tehdit yok.
Bu nedenle kuruluşların aşağıdakileri somut olarak bilmesi zorunludur:
- BT mülklerinde bulunan tüm varlıklar ve varlıklar
- Bu varlıkların güvenlik hijyeni (zamansal ve tarihsel)
- Varlıkların bağlamı (kritik olmayan, iş açısından kritik; internete açık veya hava boşluklu; vb.)
- Bu varlıkların güvenliğini sağlamak için uygulanan ve operasyonel kontroller
Bu bilgi ve bağlamla güvenlik ekipleri kuruluşa ve kurumun risk toleransına uygun tehdit modelleri oluşturmaya başlayabilir. Kullanılan tehdit modelleri, ekiplerin tehditleri önceliklendirip yönetmesine ve riski daha etkili bir şekilde azaltmasına olanak tanıyacak.
İnsan, süreç ve teknoloji temelli yaklaşım
İnsanlar, süreç ve teknoloji (PPT) genellikle teknolojinin “üç direği” olarak kabul edilir. Bazı güvenlik uzmanları PPT’yi bir çerçeve olarak görüyor. PPT’ye hangi açıdan bakılırsa bakılsın, risk yönetimine en kapsamlı yaklaşımdır.
PPT yaklaşımı, bir kuruluşun olgunluğunu, bütçesini, tehdit profilini, insan kaynaklarını, becerilerini ve kuruluşun teknoloji yığınının tamamının yanı sıra operasyonlarını ve prosedürlerini, risk iştahını da dahil ederken güvenlik ekiplerinin riski bütünsel olarak yönetmesine olanak sağlama amacına sahiptir. , ve dahası. İyi dengelenmiş bir PPT programı, her üç temele de eşit şekilde dayanan çok katmanlı bir plandır; Alanlardan birindeki herhangi bir zayıflık teraziyi değiştirir ve güvenlik ekiplerinin başarıya ulaşmasını ve riski yönetmesini zorlaştırır.
Tamamlama
Her kuruluş, kendileri için en iyi risk yönetimi stratejisini belirlemek amacıyla bireysel yeteneklerini, iş hedeflerini ve mevcut kaynaklarını dikkatle değerlendirmelidir. Hangi yol seçilirse seçilsin, güvenlik ekiplerinin işletmeyle uyumlu hale gelmesi ve sürekli destek sağlamak için kurumsal paydaşları dahil etmesi zorunludur.