Çoğu insan güvenlik eğitimi beklentisinde inledi. Genellikle gerçek dünya aciliyetini yakalayamayan donuk çevrimiçi videolar veya sönük egzersizler aracılığıyla teslim edilir.
Siber krize hazır olmada gerçek bir fark yaratmak için, personel, gerçek bir saldırı meydana geldiğinde fark yaratacak kas hafızasını ve karar verme becerilerini geliştirmek için krizde büyüklüğünü test etme fırsatına ihtiyaç duyar.
Burası, gerçek bir krizin baskısı altında bilgi hatırlama ve yargılamayı değerlendirme fırsatı sağlayarak siber simülasyonların devreye girdiği yerdir.
Ancak etkili bir siber simülasyon oluşturmak basit bir süreç değildir. Yanlış uygulama, simülasyonların başka bir kene kutusu egzersizi haline gelmesine neden olabilir, hatta olumsuz bir etkiye sahip olabilir, personel zamanlarını hiçbir şey öğrenmedikleri veya başarmadıkları bir egzersize harcadıklarını hissederler.
Peki, kuruluşlar bu simülasyonları mümkün olduğunca gerçek ve değerli hale getirmek için aktif olarak ne yapmalıdır?
1. Adım: Hedefi tanımlayın
Değerli olmak ve sadece başka bir uyumluluk egzersizi olmaktan kaçınmak için beceri geliştirmenin net bir amaca ihtiyacı vardır.
Odaklanmaya karar vermek ve programın teslim edilmesi genellikle en üst düzey güvenlik lideri veya esneklik başkanı olarak CISO’nun sorumluluğu olacaktır. Bununla birlikte, güvenlik, felaket kurtarma ve diğer ilgili ekiplerden gelen girdilerle güçlü bir işbirlikçi yönü olmalıdır.
Gerçek bir fark yaratmak için tehdit liderliğindeki bir yaklaşım olmalıdır. Eşsiz yapısı, endüstrisi ve düzenleyici manzarasına göre şirketinizle ilgili en alakalı tehditleri belirleyin.
Doğrulamak istediğiniz belirli beceri ve süreçler hakkında net bir fikre sahip olmak önemlidir. Bu teknik yetenekler, yönetici karar verme, takımlar arası koordinasyon veya faktörlerin bir kombinasyonu olabilir.
Simülasyonlar, sadece bir denetim raporu için güçlü yönleri güçlendirmekle kalmayıp gerçek zayıflıklara ve stres noktalarına meydan okumalıdır. Bu unsur olmadan, egzersizler bir kene kutusu formalitesi olacak, işgücünün becerilerini geliştirmek veya siber bir olaya hazırlamak için çok az şey yapacak.
Gerçekten de, AB gibi düzenleyiciler ve İngiltere’nin Finansal Davranış Otoritesi, seçilen senaryolar için giderek daha fazla gerekçe talep ediyor. Neden bu saldırı vektörünü seçtiniz? Neden bu tür simülasyon? Kuruluşunuzu ciddiyet ve mantıklılık açısından uygun şekilde zorladınız mı? Kendinize meydan okuduğunuzu ve sadece hareketlerden geçmediğinizi nasıl biliyorlar?
2. Adım: Gerçekçi ama zorlu bir senaryo oluşturun
Bir amaç tanımlandıktan sonra, senaryonun kendisini düşünmenin zamanı geldi. En önemli faktörlerden biri, gerçekçilik ve karmaşıklık arasında bir denge kurmaktır. Çok basit ve kolay bir senaryo fazla değer sağlamaz, ancak çok karmaşık ve zorlu olan bir senaryo öğrenmekten daha fazla karışıklığa yol açacaktır.
Sporcuların antrenmanını düşünün. Kas hafızası oluşturmak için aynı egzersizleri tekrarlamak için çok zaman harcıyorlar, ancak aynı zamanda gelişmek için kendilerini zorlamaları gerekiyor.
Şiddetli ancak makul tehditler için temel yetkinliklerin mevcut olduğundan emin olun ve daha sonra daha da ileriye doğru itin.
Şirketinize aktif olarak vurabilecek felaketli bir Black Swan olayı nedir? Bunun gibi bir krizle uğraşmak, gerçek öğrenmenin gelmeye başladığı yerdir.
Geçmiş egzersizleri tekrarlamak yerine gelişen tehditleri yansıtacak şekilde simülasyonları düzenli olarak güncellemek de önemlidir. Beklenmedik yeni zorluklar atmak katılımcıları ayak parmaklarında tutabilir.
Adım 3: Teknik ortamı kurun
Sonra, bir simülasyon deneyimi yaratmanın fındık ve cıvatalarına bakmanın zamanı geldi.
Amaç, mümkün olduğunca gerçekçi hissettiren ancak asla canlı üretim sistemlerini kullanmayan bir şey yaratmaktır – ağları test etmek için. Tüm katılımcıların bunun bir test olduğunu bilmelerini sağlamak da önemlidir. Onların baskı altına alınmasını istiyorsunuz, ancak gereksiz yere stresli değil.
Kötü bir şekilde yürütülen bir egzersiz, kötü karar vermeyi, bilgilendirmenin ve eğitmenin yollarını bulmak yerine birini utandıracak şekilde maruz bırakarak sürtünme yaratabilir. Bu, hem kaynak hem de zaman açısından değil, aynı zamanda işletmenizde doğru kültürün yaratılmasında da pahalıdır.
Tipik olarak, en iyi yaklaşım, şirketinizin gerçek ortamını yansıtacak şekilde özelleştirilmiş önceden inşa edilmiş bir siber aralıktır. Ne kadar çok işlevselliğe sahip olursa, katılımcılar için deneyim o kadar iyi olur. Bu hem yapıyı hem de beklenen ağ trafiğini içerir.
İdeal olarak, simülasyon sırasında yapılan eylemler, işletmenin gerçek operasyonları üzerindeki etkileri yansıtmalıdır.
Örneğin, bir ekip fidye yazılımı saldırısını durdurabilir, ancak şirketin müşteriye dönük web sitesini bir gün boyunca devirme pahasına. Şirket için bu ne kadar kötü olacak? Maliyet ne olabilir? Bu kesinti ele alma ve müşteriler ve paydaşlarla iletişim kurma planı nedir?
Bir senaryo saldırı dizisinin düzenlenmesi daha kolaydır ve daha az kaynak yoğundur, ancak canlı siber uzmanlar gerçekçiliği artırabilir ve şirket içi bir ekip kullanılırsa kırmızı bir ekip fırsatı sağlayabilir.
4. Adım: Doğru kişileri dahil edin
Simülasyon programının kendisinin ayrıntılarına ek olarak, doğru insanların katılması önemlidir. SOC ekipleri ve BT uygulayıcıları şirketin ilk savunma hattıdır, bu yüzden doğal olarak kilit katılımcılar olacaklar.
Yöneticiler ve diğer kıdemli karar vericiler bir başka önemli gruptur. Fidye yazılımı taleplerine nasıl yanıt verileceği veya paydaşlarla kriz iletişimi stratejisi gibi eleştirel kararlar alacaklar.
Ancak, siber güvenlik uzun zamandır sadece bir BT sorunu olmayı bıraktı. Tüm işi etkiler, bu nedenle siber hazırlık için bölümler arası katılım kritiktir. Bu nedenle, İK, Legal ve PR gibi iş birimlerinden temsilciler de dahil edilmelidir. Bir ihlalin iç ve dış etkilerinin yönetilmesinde önemli bir rolü olacaktır.
Aynı avuç insanla aynı rolleri tekrarlayan yeni bir şey öğrenmeden “egzersiz yorgunluğunu” önlemek için katılımcıları düzenli olarak döndürmeye değer. Asla sadece küçük bir avuç çalışanla bir yangın tatbikatı yapmazsınız, neden aynı sınırlı grupla siber egzersizler yapmaya devam edersin?
Birden fazla üst düzey yönetici programı ile uyumlu egzersizleri sıralamak da çok zor olabilir. Citi’deki zamanımda, aynı anda bir odada en çok kıdemli insanı almak imkansızdı. Bu nedenle, katılımcıların dönen bir listesini önceden planlamak, bunu telafi etmeye yardımcı olabilir.
Ayrıca, rol atamalarını değiştirmek ve sıcak koltukta her seferinde daha fazla genç pozisyon koymak yararlı bir egzersiz olabilir. Sonuçta, CEO’nuz ve CISO’nun ikisi de bir konferanstan bir uçuşta iken bir ihlal meydana gelirse ne olur? Birinin adım atmaya hazır olması gerekiyor.
Adım 5: Sonuçları ölçün ve stratejileri geliştirin
Bir simülasyon egzersizi tamamlandıktan sonra, egzersiz sonrası analiz yürütme kadar önemlidir. “Egzersizi yaptık ve yaptık” zihniyetinin ötesine geçmek ve sonuçları gerçekten değerlendirmek önemlidir.
Burada son derece ayrıntılı veriler önemlidir, departman, ekip ve bireysel performansı araştırmanıza izin verir. Başarı için en önemli metrikler egzersizin hedeflerine bağlı olacaktır, ancak yanıt süreleri ve baskı altında karar verme kalitesi gibi faktörler değerlendirilecek yaygın noktalardır.
Daha sonra bulgular, bireysel çalışanların kalkınma planlarını güncellemekten yeni tanımlanan boşlukları doldurmak için yeni süreçler veya çözümler uygulamaya kadar pratik kullanıma sunulmalıdır.
Sonuçlar aynı zamanda gelecekteki alıştırmalar için bir ölçüt görevi görecek ve sürekli iyileştirme kültürüne yardımcı olacaktır. Sadece bir simülasyon iyi gittiği için kolay dinlenmek kritik bir hatadır. Bir olayın bir kez iyi ele alınması her zaman olacağı anlamına gelmez.
Gerçek siber kriz hazırlığı elde etmek
Siber güvenlik simülasyonları sadece bir uyum egzersizi değildir, aynı zamanda gerçek dünyaya dayanıklılık oluştururlar ve şirketlerin gerçek bir krize hazırlanmasına yardımcı olurlar.
Beceri ve süreçlerdeki boşlukları keşfetme ve botlu bir savunmanın etkisini bulma zamanı, gerçek bir saldırının ortasında değil, güvenli bir simülasyon sırasında. İyi yapılırsa, yanıt sürelerini azaltır, karar almayı iyileştirir ve gerçek bir saldırı meydana geldiğinde kuruluşların hazırlandığından emin olurlar.
Her şeyden önce, her zaman ileriye bakmak önemlidir. Yarın ne olabileceği için tren, sadece ne oldu değil.