Victorian çevre gözlemcisinin personel siber farkındalığı, veri sızıntısını önleme ve bulut ortamı kontrollerine yaptığı son yatırımlar, güvenlik programının proaktif risk yönetimi yoluyla düzenleyici kutu işaretlemenin ötesine geçme hedefiyle uyumludur.
Kutu işaretleme ve risk temelli yaklaşım
Çevre Koruma Kurumu (EPA) Victoria’nın CISO’su Vijay Narayan, siber güvenlik programının geçen yılki ilerlemelerini farklı kategorilerde özetledi.
Narayan, “Güvenlik konusunda personel eğitimini iyileştirmek, bulut ortamlarımızın ve son kullanıcı sistemlerimizin güvenlik kontrollerini iyileştirmek ve veri sızıntısını önlemek – bence yatırım bu alanların çoğunda karşılığını verdi” dedi. iTnews.
Narayan, EPA’nın bu alanlardaki savunmasını güçlendirme yöntemlerini sıralarken, her bir yatırımın uyumluluk standartlarını aşmayı amaçlayan risk tabanlı siber güvenlik programına nasıl uyduğunu açıkladı.
Herkesin uyması gereken asgari standardı belirleyen bir yönetmelik var ve yükümlülükleri çok açık ama yine de olaylar olabiliyor” dedi.
“Dolayısıyla sürekli iyileştirme söz konusu; zayıflıklarımızı ve zayıflıklarımızı bulmak; kontrol açıklarımızı ölçmek; bu kontrol boşluklarına öncelik vermek ve onları hedeflemek.”
Farklı ekiplere yönelik siber eğitim
Narayan, EPA’nın kuruluş çapındaki güvenlik eğitimini siber bilgilerini en çok geliştirmesi gereken çalışanları bulmak amacıyla planladığını söyledi.
“Zaten bir bilgi güvenliği eğitim programımız var – ancak bunun ötesinde, kimlik avı simülasyonları gibi şeyler var” dedi.
Narayan, CISO Melbourne 2023’teki bir sunum sırasında, güvenlik farkındalığı programının, personeli ekibin karşılaşma olasılığı en yüksek riskleri yönetmesi için eğiten “birden çok düzeyde masa üstü tatbikatlar” içerdiğini söyledi.
“BT’yi hedefleyen bir tane var, operasyonları hedefleyen bir tane var ve yönetici liderliği için bir tane var.
Onlara ‘İhlal oldu, ne yapacaksınız?’ çalıştırabileceğimiz egzersiz türleridir. Senaryo, kuruluş üyesinin karşılaşması muhtemel iş sorunlarıyla ilgilidir.”
Veri sızıntısını önleme yatırımları
Birkaç yüksek profilli veri ihlali olayından sonra, veri sızıntısıyla ilgili haberler, müşteri veritabanı sızıntılarının itibara verdiği zarara odaklandı.
Narayan, hükümet bekçi köpekleri için tehlikenin daha çok soruşturma ve kovuşturmalardan taviz vermekle ilgili olduğunu söyledi.
Narayan, EPA’nın son zamanlarda veri sızıntısını önlemek için veri yönetişim yeteneklerini geliştirdiğini söyledi.
“Artık Microsoft Purview olarak adlandırılan Microsoft Bilgi Korumasında (MIP) bulunan yetenekleri kullanmaya yeni başlıyoruz.
“Şu anda belge/e-posta sınıflandırması ve etiketleme için MIP kullanıyoruz. Etiketleme, hassasiyete bağlı olarak ek güvenlik kontrolleri uygulamamıza yardımcı oldu ve sınıflandırmaya göre veri sızıntısı izleme kuralları uyguladık.”
Narayan, “MIP platformunu tamamlamak için” EPA’nın “Temmuz ayı başlarında DTEX’i uygulamaya başladığını” ekledi.
“DTEX’i veri sızıntısı ve kullanıcı davranışıyla ilgili belirli senaryoları izlemek için kullanıyoruz ve]sızıntıları önlemek için belirli yeni kullanım durumları geliştirebiliyoruz.
“DTEX yerleşik, kullanıma hazır gelişmiş algılama kurallarına sahiptir ve eyleme geçirilebilir algılamalar üreten ve uyarı yorgunluğunu azaltan durumlar kullanır.”
Bulut ortamlarının güvenliğini sağlama
Narayan, EPA’nın geçen yılki güvenlik programının bir diğer büyük odak noktasının bulut ortamı kontrollerini iyileştirmek olduğunu söyledi.
Narayan, “EPA’nın BT operasyonlarının yaklaşık yüzde 70 ila 80’i bulut tabanlı… Sanırım Microsoft 365 ve Azure bulut güvenlik puanında yüzde 80 civarında bir yerimiz var” dedi.
“Victoria hükümetinden standartlarımız ve karşılamamızı istedikleri tercih edilen ölçütler hakkında rehberlik aldık.”
Narayan, Microsoft bulut güvenliği duruş yönetiminin, EPA’nın bulut güvenliğini nasıl geliştirdiğine rehberlik ettiğini söyledi.
“Güvenliğe öncelik vermek için ne yapmamız gerektiğine dair özel öneriler sunuyor.”