Veri gizliliğini ve siber riski destekleyen uyumluluk yükümlülükleri neredeyse her yerde bulunur. Sadece bu da değil, genişliyorlar. Gartner’a göre, bu vurgu alanlarını kapsayan hükümet düzenlemeleri, 2023 yılına kadar beş milyar vatandaş ve küresel GSYİH’nın %70’inden fazlası için geçerli olacak.
Tüm kuruluşlar gibi, uyumluluk eylemlerinizden en iyi şekilde yararlandığınızdan emin olmanız gerekir. Her adımın yalnızca bir değil, birden fazla uyumluluk yükümlülüğünü yerine getirmeye yönelik çalışmasını istiyorsunuz. Bu şekilde, yinelenen işleri kaldırarak zamandan ve emekten tasarruf edersiniz.
İnternet Güvenliği Merkezi, uyumluluk çabalarınızı kolaylaştırmanıza yardımcı olmak istiyor. Bu amaçla, CIS Kritik Güvenlik Kontrolleri (CIS Kontrolleri) ekibi, kullanıcılarımız ve gönüllülerimizle görüştü ve CIS Kontrollerinin geleceğine yönelik hedeflerimizi inceledi. Bu bilgileri geri aldık ve CIS Kontrolleri eşlemelerimizi 20’den fazla güvenlik çerçevesine güncellemek için kullandık.
Bu makalede, yaptığımız değişiklikleri tanımlıyor ve bunların CIS Kontrolleri için otomatikleştirilmiş bir geleceği nasıl desteklediğini açıklıyoruz.
İleriye dönük CIS Controls eşlemelerinde nelere dikkat edilmelidir?
Toplamda üç değişiklik gerçekleştirdik.
1. “Şununla kesişir” ilişkisi kaldırıldı
Zamanla, “kesiştiği” bilginin, nesnelliği hedefleyen bir sisteme yalnızca daha fazla belirsizlik kattığı anlaşıldı. Konular birbiriyle bağlantılı olduğu için insan okuyucuya anlamlı gelen eşlemeler için uygundu. Buna rağmen, uygunluk açısından değerli değildir.
Örnek olarak, benzer bir konu etrafında dönen ancak aynı olmayan yazılı politikalar için “kesişen” kullanılmıştır. Olay müdahalesi, felaket kurtarma, veri yedekleme ve geri yüklemenin tümü bu kategoriye girer. Bu politikalardan birini yazıyorsanız, muhtemelen diğerlerini de elinizin altında bulundurursunuz çünkü bunlar sıklıkla birbirlerine atıfta bulunurlar. Ancak bunlardan birini yazmak, yine de bir başkasına sahip olma gerekliliğine uymaya katkıda bulunmaz.
Bu değişiklikle, uyum programınızdaki manuel işleri azaltabilmeniz için bir makinenin ne yaptığınızı anlaması daha kolay hale geldi.
2. Paylaşılan çabayı vurgulayın
“Şununla kesişir” ilişkisini kaldırmamızla aynı nedenle, bir denetim uygulamanın, yalnızca paylaşılan bir konu olmaktan ziyade eşlenmiş bir denetimin uygulanmasına gerçek bir katkısı olacağından emin olmak istedik. Bu nedenle, haritalamalarımız artık ortak çabayı vurgulamaktadır.
3. Eşlenmemiş CIS güvenlik önlemleri sayfası eklendi
Daha önce, eşleme hedefinden eşlenmemiş CIS Kontrolleri içeren bir sayfa ekledik. Daha sonra denetim veya uyum çabalarında çalışan gönüllülerden bunun tersi için talepler almaya başladık. Yukarıda tartışılan diğer değişiklikler gibi, eşlenmemiş CIS Koruma Önlemleri sayfasının eklenmesi, bir makinenin verileri okumasını kolaylaştırmakla ilgilidir.
Bu değişiklik, veri girişi ve analiz açısından yardımcı olur. İlk olarak, CIS Kontrolleri ile zaten uyumlu olan ancak ikinci bir çerçeve hedefleyen bir kullanıcı, bu çabalara sıfırdan başlamadıkları için eşlenen CIS Kontrollerinde başlayabilir. İkincisi, eşlenmemiş bilgiler, hangi bölümlerin çerçevelere dahil edildiğini veya çerçevelerin dışında bırakıldığını görmenin hızlı bir yolunu sağlar.
Örneğin, CIS Denetimleri, CIS Denetimi 16 – Uygulama Yazılımı Güvenliği’ni içerir. Tüm çerçeveler yazılım geliştirmeyi kapsamaz ve tüm bu eşlenmemiş CIS Koruma Önlemlerini görmek, eşleme hedefinin kapsamadığını gösterir. Öte yandan, CIS Kontrolleri fiziksel güvenliği değil, sadece siber güvenliği kapsamaktadır. Bu, bazı çerçevelerin eşlenmemiş bölümlerinde veri merkezi güvenliği gibi konulardaki tüm bölümleri bulabileceğiniz anlamına gelir.
Uyumluluğun geleceği otomatikleştirildi
Özetle, 10 yıl önce, bir çerçeveyi diğerine eşleme işi, her iki çerçeve arasında gezinen ve benzerlikler arayan bir kişiden oluşuyordu. Bu büyük ölçüde bugün yapıldığı şekilde aynı. Ancak bundan beş yıl sonra durum farklı olacak. Bu, güvenlik çerçevelerini ve CIS Kontrollerini geleceğe taşımak için yaptığımız birkaç şeyden biridir.
CIS Denetimleri de dahil olmak üzere CIS’in en iyi güvenlik uygulamalarıyla uyumluluk gereksinimlerinizi nasıl karşılayabileceğiniz hakkında daha fazla bilgiyi burada bulabilirsiniz.
Kendi uyumluluk çabalarınızı geleceğe taşımak ister misiniz? Buradan ayrı bir CIS Controls eşlemesini indirin veya tüm CIS Controls v8’e etkileşimli eşlemeler için CIS Controls Navigator’ı ziyaret edin.