Bu yardımda net güvenlik röportajında, Christopher Kennedy, Grup 1001’deki CISO, siber güvenlik girişimlerinin kurumsal siber güvenlik stratejisini nasıl yeniden şekillendirdiğini tartışıyor. Güvenliğin neden BT, iş hatları ve ürün geliştirme, otomasyon ve risk keşfinin rekabet avantajını nasıl sağlayabileceğini ve güvenlik liderlerinin iş sonuçlarını şekillendirmede neden merkezi bir rol oynamaları gerektiğini açıklıyor.
Geleneksel olarak, siber güvenlik bir maliyet merkezi olarak görülmüştür. Artık iş değerini veya rekabet avantajını sağlayabilmesinin en zorlayıcı yolları nelerdir?
Güvenlik liderleri altyapı güvenlik sorunlarının önüne geçmelidir. Çoğu ihlal zayıf BT hijyeni nedeniyle gerçekleşir. Güvenlik ekibi bir görev olarak hijyeni polislik yapıyorsa, sadece BT hadesi olarak görülecektir. Ne yazık ki, hala bu şekilde düşünen ve teknolojiye örgütsel bağımlılığı tanımayan veya modern tehditleri anlamaya çalışmayan herhangi bir yönetim kurulu veya yönetici liderlik ekibi başarı için konumlandırılmamıştır.
Güvenliği artırmak için, yükselen gelgitler tüm gemileri yükseltmelidir. BT ve iş kolları güvenlik sorumluluklarını anlamalıdır ve güvenlik, tüm iş ve fonksiyonel destek spektrumlarında bu evrimi yönlendirmek için koçluk yapmak için lider olmada etkili olmalıdır.
Riskten kaçınma risk keşfi ve eğitim ile başlar. Müdahale veya stratejik farkındalık ve planların hızı sayesinde, bu tek başına bir kuruluşun daha etkili bir şekilde savunulmasına öncülük etmede rekabet avantajı olabilir. Endüstri tehditlerinden daha iyi kurtulabiliriz.
BT ve BT’ye entegre bulut yapılandırma uyumluluğu, SAST, DAST, SBOM ve SCA teknolojileri gibi otomasyon kullanma ve SDLC, geliştirme yaşam döngüsü yoluyla kusurları tanımlayarak uygulama geliştirmeyi hızlandırabilir. Bu, serbest bırakma sonrası pahalı düzeltmeleri azaltabilir veya en azından, pahalı sömürüden sonra değil, ortaya çıktıklarında maruz kalmanın net farkındalığını sağlayabilir.
Güvenlik ve BT borcu ve bir M&A değeri üzerindeki ilişkili etkisi nihayet gelişmektedir ve anlaşma müzakerelerinde zengin bir şekilde dikkate alınır.
Güçlü bir güvenlik ekibi ve analiz yeteneği, fiziksel, insanların ve içeriden gelen tehditlerin yakınsaması ve bunlarla mücadele yollarını göz önünde bulundurarak bitişik tehditlere hizmet edebilir. Sahtekarlığın devam eden kalıcılığı ile, olgun güvenlik erişim kontrolü ve analitik yetenekleri genellikle kritik bir savunma bileşenidir.
Siber güvenlik girişimlerinin ürün geliştirmeyi, müşteri güvenini veya bugün pazar zamanı nasıl etkilediğinden bahsedebilir misiniz?
Müşteri güveni sigorta işinde çok önemlidir. Demografi genellikle eski müşterilere karşı ya da emekliliğe yaklaşıyor. Bu, güvenlik uzmanları olarak, müşterilerimizin ömür boyu yuva yumurtalarını ve toplamda kritik ulusal finansal altyapımızı koruduğumuz anlamına gelir. Müşteriler, ikimizden de yararlandığımız için hem onların hem de geleceğimizi korumak için harika bir iş yapmamızı bekliyor.
Bir işletmenin hem bir iş kapasitesinde başarılı olması hem de müşterilerimizin emanet edilen fonlarını korumak için, güvenlik bir kuruluşun nasıl çalıştığına dair doku ile kültürel olarak dokunmalıdır. DevOps’taki SEC, ürün yaratma/evrimin masasında bir koltuk ve güçlü bir ürün (teknoloji yönetişim işlevi), doğal olarak daha güvenilir olan ve daha hızlı piyasaya sürülen ürün ve altta yatan sistemler oluşturmanın anahtarıdır. Bunun nedeni, güvenliğin, iyileştirilene kadar riski altında veya daha kötüsü, tasarımdan kaynaklanmasıdır. Ürün, kod veya proses kalitesini sağlamak için sürekli test ve doğal doğrulama kültürü kabul edilmelidir.
İş paydaşlarıyla rezonansa giren en önemli güvenlik metrikleri nelerdir?
Metriklerde en önemli faktör, verileri değil, sonuçları yönetmek için önemli olan ve kullanılacak metrikleri yapmaktır. Kalite metrikleri genellikle birçok katmana sahiptir ve genellikle iyi veri ve teknoloji hijyenine dayanır ve bağlıdır. Olgunluk eğrisi aracılığıyla hangi metrikleri güvenilir bir şekilde benimseyebileceğinizi tanımak önemlidir.
Odakladığım birkaç kişi şunları içerir:
- Altyapı uyumluluğu ve kim sorumlu. Bu sistemler, yapılandırma uygulama, yama eksikliği, üçüncü taraf yazılım kusurları ve daha fazlasında bir BT sorunu nedeniyle güvenli ve güvenli değildir. Temel sistem yönetimi sorunlarında görünürlük panoları inanılmaz derecede operasyonel olarak aydınlatıcıdır (kullanılırsa).
- Geliştirici Kusurunu/Bir Birey, Ekip veya Birim tarafından kötü yazılım uygulamalarını göstermek için Güvenlik Otomasyonunu Kullanma. “En temiz ve en kirli koda” ve neden (acele, özensiz uygulamalar, standartlara bağlılık, eğitim vb.) Bu, güvenlikten daha yönetimsel bir metriktir, ancak temel nedenin çözülmesi odak noktası olmalıdır.
- Otomatik güvenlik testi, ihlal ve saldırı simülasyonu ve penetrasyon testi. Bu, kontrol bağlılığı ve etkinliği (çalışır veya işe yaramaz) ve güvenlik boru hattı onayını içerir (tüm günlük kaydı ve yanıt parkurlarım beklendiği gibi ateşleniyor, MTTR – tespit etmek, yanıtlamak ve iyileştirmek ne kadar sürer). Hız, olay tepkisinin ayrımcısıdır. Dar kapsamlı yıllık kalem testinin günleri geride kaldı. Güvenlik Raporu kartını tanımlamak ve düzenleyici uyumluluğu temiz bir şekilde göstermek için otomatik testi kullanın. Her sürümde her gün yapın.
- Erişim etrafında daha öznel metrikler – “patlama yarıçapı.” Kritik varlıkları tanımlamak ve “radyoaktivite” tanımlamak ve erişilebilirlik eşiklerini tanımlamak için bu varlıklara erişim görünürlüğünü kullanmak için varlık stokları ve BCM verileri oluşturun ve kullanın. Bunu erişim sertifikası kampanyalarına sürün.
- Stratejik üçüncü tarafların risklerinin dosya tabanlı değerlendirmelerini tanımlamak için kritik üçüncü tarafların (sadece internete dönük taramalar değil) kapsamlı değerlendirmelerini kullanın. Bu endişeleri sözleşmeli olarak mümkün olan yerlerde test edin. Stratejik tedarik kararlarını yönlendirmek için bu zekayı kullanın: En stratejik, en yüksek riskli satıcı kimdir? Neden? Bu konuda ne yapıyoruz?
Güvenlik liderleri ürün, mühendislik ve iş stratejisi tartışmalarına daha fazla gömülmeli mi? Eğer öyleyse, bu entegrasyon pratikte nasıl çalışmalıdır?
Evet, birçok yönden. Rafeeq Rehman’ın çalışması, işin gerektirdiği şeylere olgunlaşmamış bir organizasyonu tanıtmanın en iyi yoludur.
Kuruluşun, tüm önemli iş çabalarına, büyük yönetişimle veya büyük yönetişim olmadan katılma doğru yeteneğine sahip olmak için diplomatik bir sorumluluğu vardır:
- Liderlik tablosunda bir koltuk ve büyük iş projelerine güvenlik entegrasyonu/gözlemi ile çalışmak için bir yönetici kültürü ve uygun olduğunda ekleyebilmek için çabalar.
- Çevreyi kapsamlı bir şekilde savunmak için teknik görünürlük ve paydaşları erişimi, verileri ve bağlantıyı yönetmek için taahhüt etti. Güvenlik araçları kendilerini ayarlamaz.
- Kurumsal politikalar, BT mimarisi ve işletme standartları üzerinde güçlü bir etki, hem kuralları ve davranışları değiştirmek için bir kalemi kaldırma hem de sorunları çözmek için kod katma yeteneğine sahip.
- Tüm bu spektrumlara katma değere sahip bir kuruluş yapısı.
Önümüzdeki 3-5 yıl içinde siber güvenliğin kurumsal stratejiyi şekillendirmesinin takdir edilmeyen bazı yolları nelerdir?
Genai, zayıf bir veri koruma stratejisinin risklerini artıracaktır. Evlat edinmeyi iyi yönetenler büyüyecek şekilde konumlandırılacaktır. Diğerleri potansiyel olarak düzenleyici veya IP kaybı sorunlarında çiftliği kaybedecektir.
Miras kalan üçüncü ve dördüncü taraf riskleri risk transferinde bir mücadele olmaya devam etmektedir. Güvenlik, sözleşme, değerlendirmeler ve sürekli gayrette daha büyük bir rol oynayacaktır. İhlal sonrası sözleşme şartları, işletmeniz düştüğünde veya başka bir itibar isabetine maruz kaldığında iyileşmek için yeterli değildir.
Casusluk, DPRK uzaktan işçinin KnowBe4’ten ifşa edilmesinden sonra geri döndüğü kanıtlanmıştır. Aynı taktikler de kullanılmaktadır, ancak yeni tekniklerle. Güvenlik, insan yaşam döngüsünde, daha güçlü bir rol oynayarak veya insanları istihbarat, içeriden tehdit davranış analizi ve daha fazlasını güçlendirecek. Uzaktan çalışma, eski bir stratejide yeni bir fırsat sunar.
Trajik UnitedHealthcare CEO suikast ve siyasi oynaklığı, güvenliğin tehdit zeka yeteneklerinin metalaşmanın ötesine geçmesi gerektiği anlamına gelecektir. Kapsamlı örgütsel duygu analizi ve tüm kamu iş ve yürütme operasyonlarına maruz kalmanın açık kaynakları tablo bahisleri olacak. Güvenlik, bir iş koruma işlevinden yaşam güvenliği olana doğru ilerlemektedir.