On beş yıl önce “STK Miyopisi” başlıklı bir makale yazdım. O zaman, bilgi güvenliği yönetiminde kritik bir sınırlamayı vurgulamayı amaçladım. Etkili politikalar ve süreçler oluşturmak için gereken tüm yönleri yönetmek için kaç bilgi güvenliği profesyonelinin mücadele ettiğini gösterdim. Vurgulamaya çalıştığım sonuç, bu sorunun esas olarak organizasyona ve olağan kaynaklarına aşırı dar bir yaklaşımdan kaynaklanmasıydı.
Şirketinizi en önemli verileriniz olmadan çalıştırmanın nasıl bir şey olacağı ya da daha da kötüsü, tüm bu bilgilerin yanlış ellere düşebileceğini hayal etmek, bariz, oldukça endişe verici olsa da. Ne yazık ki, bu rahatsız edici gerçeklik, medyada veri sızıntıları, siber saldırılar, gizli ihlaller ve endüstriyel casusluk bildirildiği çok yaygın hale geldi. Bir uçta, siber savaş gibi ulusal güvenliğe yönelik tehditler, veri koruma için acil ihtiyacın da altını çizdi.
Artan risklerin bu çok yeni olmayan senaryosu ile karşı karşıya kalan örgütsel yapıların kendilerini sürekli olarak yeniden keşfetmeleri gerekir. Sadece on yıl önce, STK (Baş Güvenlik Görevlisi) rolü öncelikle tesislerin güvence altına alınması, personel güvenliğini yönetme ve acil durum hazırlığını denetleme gibi fiziksel güvenlik önlemlerinden sorumluydu. Bugün STK’nın rolü, kurumsal risk yönetimi gibi yeni sorumlulukları içerecek şekilde gelişmiştir. STK’ların artık siber, fiziksel, operasyonel ve itibar riskleri de dahil olmak üzere çok çeşitli risklerin önünde anlamaları, azaltması ve önünde kalması bekleniyor. Bu nedenle, bu profesyonelin birçok yeni endişe ve sorumluluk kazandığını söyleyebiliriz, başlıklarına yeni bir mektup: Geleneksel STK yeni, yenilenmiş ve şimdi daha yoğun bir Ciso’ya dönüştürüldü (Baş Bilgi Güvenliği Görevlisi) .
Ciso eski hizmetçi kartını aldı.
Diğer birçok yönetim pozisyonunda olduğu gibi, CISO aynı zamanda bilgi güvenliği alanında yapılacak yatırımların maliyet ve fayda oranlarının belirlenmesinden sorumlu olan profesyoneldir, daha spesifik olarak, güvenlik ve riskler ve maliyetlerin uygulanabilirliği/ maliyetleri/ yatırımlar. Açıkçası, bu kararlar için değerlendirme çok önemlidir, çünkü aşırı veya yanlış yönlendirilmiş eylem iyileştirme çabalarını rayından çıkarabilir.
Aynı zamanda, dünya güvenlik üçlüsünü (gizlilik, bütünlük ve kullanılabilirlik, yani CIA) garanti etmek için çözümler aramaya kararlıdır. Çok sayıda düzenleyici kurum PCI-DSS, ISO/IEC 27001 ve HIPAA gibi güvenlik normları ve standartları ve GDPR gibi mevzuat uygulamıştır.
CISO – Uyum ve Mevzuat.
Aşağıdaki grafikte gösterildiği gibi, yıllar boyunca kaydedilen güvenlik açıkları türleri çok benzer ana kategorilerde yoğunlaşmaya devam etmektedir. Bununla birlikte, saldırı yüzeylerinin genişlemesi nedeniyle oluşum sayısı artmıştır.
Owasp yıla göre zayıflıklar için sıralama – F5 laboratuvarları.
Yukarıdaki gibi bilgiler, bir CISO için analiz ve araçların kritik önemini vurgulamaktadır. Bu araçlar, mantıksal ve fiziksel kontrol mekanizmalarının iyileştirilmesi ve güncellenmesi için gereklidir, zaten tanımlanmış ve kuruluşların politikalarına dahil edilmiş olan güvenlik açıklarıyla ilişkili risklerin azaltılmasına yardımcı olur.
Bununla birlikte, yeni CISO tarafından şimdi kullanılan “kullanılan düzeltici camlar”, temel sorun değişmeden kaldığı için pozisyonu rahatsız eden kronik miyopinin üstesinden gelmek için genellikle yeterli değildir: şirketlerin güvenlik politikalarını geliştirmeye ve yapılandırmaya devam ettikleri yapıcı süreç Hala içsel bir bakış açısı olan ve bu nedenle kapsamı sınırlı bir “gelen kutusu” görünümü kullanır. Bu “yaklaşım” değil, değil ve şirketteki tüm güvenlik açıklarını karşılamak için yeterli değildi.
Şirketler yeni bir yaklaşımı düşünmelidir, çünkü yalnızca organizasyonun günlük çalışmasını deneyimlemeyenler, başka bir perspektiften görmek için sorunun kalbinden yeterince uzağa gidebilir. CISOS, güvenlik politikalarını yalnızca kuruluş hakkındaki bilgilerine ve olağan kaynaklarına dayandırmaya çalıştığı sürece, bu politikaların olası ve akla gelebilecek tüm boşlukları karşılaması mümkün değildir. Bu politikalar tarafından desteklenen birçok kurum sahte güvenliklerinin esirleri haline gelir.
Bu, CISO’nun miyopisidir:% 100 “şirkette yapılmış” bir politikanın inşa edilmesinin tüm güvenlik yönlerini kontrol etmek için yeterli olabileceğine inanmak. Bu miyopi, suçluların CISO’nun kurallarına ve politikalarına uymadıklarını görmezden gelir; Farklı düşünüyorlar ve farklı deneyimleri var ve günün sonunda çok azına karşı.
Ciso – “Gelen Kutusu” görünümü.
Bu şekilde, CISO, güvenlik önlemlerinin ötesine geçebilecek diğer birçok gerçek ve öngörülemeyen tehditleri dikkate almadan yalnızca bu “gelen kutusu” görüşünün kapsadığı yönleri kontrol etme riskini önemli ölçüde artırır.
Sadece CISO ve ekibinin iç politikalarına ve bilgisine güvenmenin sınırlaması, kuruluşların güvenliğini güçlendirmek için dış ve uzmanlaşmış bir perspektife duyulan ihtiyacı vurgulamaktadır. Özel profesyoneller ve şirketler daha tarafsız, daha az önyargılı manzaralar sunabilir.
Örneğin, Pentest Hizmetleri, şirketlerin çevrenizdeki gerçek saldırıları simüle etmesine izin vererek, olumsuz koşullar altında güvenlik önlemlerinin etkinliğini test eder. Suçlular iç politikalar tarafından belirlenen kurallara uymadığından, pentesters gerçek suçluların kullandığı davranışları ve saldırı tekniklerini taklit eder. Bu, şirketin güvenlik politikası tarafından getirilen sınırların dışında ve çoğu zaman yasa dışında faaliyet gösteren dış saldırganlar tarafından kullanılabilecek zayıflıkların belirlenmesine yardımcı olur.
İster iç politikaların yapımını ve güncellenmesini desteklemek veya savunmaları konsolide etmek için bilgi tabanının genişletilmesinde, olağan “gelen kutusu” görüşüne dayanan sorunları hafifletmek için bir “dış kutu” perspektifinin dahil edilmesi, bulunduğumuz bu tehlikeli miyopinin giderilmesine yardımcı olabilir. yıllarca tartışmak.
Yazar hakkında
Jordan Bonagura Baş Güvenlik Araştırmacısı | Bilgi Güvenliği Danışmanı | Siber Güvenlik Uzmanı | Profesör | Konuşmacı.
Başka sorunuz varsa, ona ulaşmaktan çekinmeyin [email protected] Ya da onu LinkedIn’de bulabilirsiniz.