İle Kıdemli Başkan Yardımcısı ve CISO,
Verilere yönelik güvenlik tehditleri artmaya ve akmaya devam ederken (çoğunlukla akar!), Yönetmelikleri, kimlik ve erişim yönetimini (IAM) ve Yapay Zekayı (AI) yakından izliyorum ve iş liderlerinin de aynısını yapmasını öneriyorum. Kuruluşların bu en son riskleri ve tehditleri daha iyi ele almasına yardımcı olabilecek üç risk azaltma zorunluluğunu burada bulabilirsiniz.
- Yasal ve düzenleyici yükümlülüklerinizi bilin ve anlayın.
Kuruluşlar, yasal ve düzenleyici uygunluk yükümlülüklerini anlamalıdır. Verilerle ilgili kanunlar ve düzenlemeler, Capitol Hill’den geçmeye çalışan ve uygulama, cezalar ve yükümlülükler konusunda endişelere yol açan birkaç yeni yasa tasarısıyla gelişmeye devam ediyor. Veri tehditlerini ele alan en son yasa tasarısı, aynı zamanda Bilgi ve İletişim Teknolojilerini Riske Atan Güvenlik Tehditlerinin Ortaya Çıkmasını Kısıtlama Yasası olarak da bilinir. Geçilirse, veri hareketini önemli ölçüde kısıtlayacaktır.
Tasarı, teknoloji tabanlı tehditleri ele almayı amaçlıyor ve ABD Ticaret Bakanlığı’na, ABD ile düşmanca ilişkileri olan ülkeler tarafından geliştirilen teknolojileri düzenleme yetkisi veriyor. KISITLAMA Yasası, kişisel verilerin ötesinde geniş bir bilgi yelpazesini kapsayan veri paylaşımına ilişkin yönergeleri ana hatlarıyla belirtir; ve bilgi ve iletişim teknolojisi ürün ve hizmetlerine yönelik yabancı tehditleri belirlemeye ve hafifletmeye yönelik risk tabanlı bir süreç oluşturur.
- Kimliğinizi ve erişim yönetimi çerçevenizi değerlendirin.
Dijital kimlikler, dijital dönüşüm, mobil benimseme, çevrimiçi alışveriş ve uzaktan çalışma ve dijital işbirliğine geçiş nedeniyle son yıllarda katlanarak arttı. Teknoloji ilerlemeye devam ettikçe ve dijital etkileşimler çoğaldıkça, dijital kimliklerin önemi ve yaygınlığı da artacaktır. . Bu, siber suçluların dijital sistemlerdeki güvenlik açıklarından yararlanmak ve dijital kimliklere yetkisiz erişim elde etmek için kimlik avı, sosyal mühendislik ve kötü amaçlı yazılım dahil olmak üzere taktiklerini ve tekniklerini geliştirdiğine dair ikna edici bir kanıt.
IAM dahil sağlam güvenlik önlemlerine ihtiyaç var ve burada bildirilecek iyi haberler var — daha fazla kuruluş, kullanıcı hesapları, uygulamaların ayrıcalık düzeyleri, yönetici rolleri ve hatta müşteri hesapları için kimlik ve erişim yönetimi çözümlerine öncelik veriyor. Geçenlerde Gartner’ın Kimlik ve Erişim Yönetimi Zirvesi’ne katıldım ve kimlik yönetimi tekliflerinin hacminde ve olgunluğunda önemli bir artış gözlemledim.
IAM, veri kümelerine erişimin yalnızca gerekli olanlarla uygun şekilde sınırlandırılmasını sağlayarak en az ayrıcalık (PoLP) ilkesini uygular. Güçlü bir IAM çerçevesi, kullanıcı kimliklerini, erişim ayrıcalıklarını ve kimlik doğrulama yöntemlerini yönetmek ve kontrol etmek için sistematik bir yaklaşım sağlayarak yetkisiz erişimin önlenmesine yardımcı olur ve kimlik risklerini azaltır. IAM, bir kuruluşun siber güvenlik stratejisinin önemli bir bileşeni olduğundan, kuruluşların mevcut IAM çerçevelerini değerlendirmeleri (ve yeniden değerlendirmeleri) ve kimlik yönetişim yönetimi ve ayrıcalıklı erişim yönetimi teknolojilerine odaklandıklarından emin olmaları önemlidir.
Sağlam bir IAM, veri gizliliği ve güvenliği ile ilgili katı düzenleyici gerekliliklere tabi olan endüstrilerde de kritik öneme sahiptir ve uygun erişim kontrolleri, görevler ayrılığı ve denetim izleri sağlayarak kuruluşların uyumluluk yükümlülüklerini yerine getirmelerine yardımcı olur.
Kimlik yönetiminin önemini ve bunun kuruluşlara yönettikleri kimlikler konusunda nasıl daha iyi görünürlük sağladığını yineleyen InfoSecurity uzmanları için yararlı bir kılavuzla karşılaştım: , Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilmiştir. . Daha iyi veri görünürlüğünün daha iyi risk azaltma sağladığını biliyoruz.
- Yapay zeka sohbet robotlarındaki güvenlik açıkları konusunda tetikte olun.
Yapay zeka hızla gelişmeye, entegre olmaya ve ölçeklenmeye devam ettikçe, kuruluşların potansiyel güvenlik açıkları konusunda tetikte olmaları gerekir. ChatGPT ve diğerleri gibi platformlar değerli zaman kazandıran avantajlar sunarken, aynı zamanda fikri mülkiyet kaybı ve otomatik siber saldırılar gibi güvenlik risklerini de beraberinde getirebilir.
Örneğin, yapay zeka sohbet robotları, kimlik avı e-postaları oluşturmak, kötü amaçlı kod geliştirmek veya kişilerin kimliğine bürünmek için kullanılabilir ve bu da fidye yazılımı saldırılarına, siber saldırılara veya dolandırıcılık faaliyetlerine yol açar. Bilgisayar korsanlarının, siber saldırıları önemli ölçüde hızlandırabilen kötü amaçlı yazılım ve şifreleme komut dosyaları oluşturmak için ChatGPT’den yararlandığına dair raporlar var.
Başka bir endişe, hassas verilerin açığa çıkmasıyla ilgilidir. Hasta kayıtları, şirket verileri veya üçüncü taraf bilgileri gibi bilgilerin ChatGPT’ye girildiği ve gelecekte açığa çıkması halinde potansiyel olarak risk teşkil ettiği durumlar olmuştur. Ezber bozan her teknolojide olduğu gibi, yapay zeka modellerinin de muhtemelen hükümet düzeyinde güvenlik ve emniyet standartlarıyla düzenlenmesini bekleyebiliriz. Liderlerin topluca şu soruyu sorması önemlidir: Yapay zeka stratejimiz nedir? Yapay zeka yönetişim modelimize nasıl uyuyor? AI’yı nasıl yönetmeliyiz? AI kullanım yönergelerimiz nelerdir?
İyileştirme Risk Azaltımı Yapılabilir
Risk azaltma çabalarını iyileştirmek göz korkutucu görünebilir, ancak özellikle kuruluşlar siber güvenlik manzarasını daha iyi anladığında bu başarılabilir. Düzenli olarak ortaya çıkan yeni güvenlik tehditleriyle, bunlara acilen ve özenle yaklaşmak çok önemlidir. Bu, kuruluşunuzun güvenlik riskini büyük ölçüde azaltabilen ve verilerinizi ve kuruluşunuzu daha iyi koruyabilen bir stratejidir.
reklam