İşletmeler büyüme, yenilik ve dijital dönüşümün gelgitlerinde yol alırken, bazı alanların beklemede kalması doğaldır. Özellikle güvenlik liderleri yeni tehditler, güvenlik açıkları ve risk maruziyetini artıran teknolojik gelişmeler karşısında bir adım önde olmak için savaşırken, bu genellikle bir kuruluşun siber güvenlik programının başına gelir.
Ne yazık ki, birçok işletme siber güvenlik stratejilerinde ve mevcut altyapılarında geride kalıyor. Yetenekli insanların gücü, işleyen bir savunma programında genellikle kaçırılır. Hemen önümüzde duran uygulanabilir hızlı kazanımları değerlendirmenin ve halihazırda şirket içinde sahip olduğumuz insan kaynaklarını kullanmanın zamanı geldi.
Sürdürülebilir Siber Güvenlik Bir Süreçtir
Halkın, her işletmenin güçlü bir siber güvenlik programına sahip olduğunu ve korumanın sadece doğru yazılımı seçip onu tehdit aktörlerini izlerine gelen bir güç alanı gibi harekete geçirmekten ibaret olduğunu varsayması kolaydır. 2022’nin siber olaylar açısından kaydedilen en kötü yıllardan biri olmasıyla birlikte – tüm Kosta Rika hükümetinin fidye için tutulması da dahil olmak üzere – birçok güvenlik uzmanı her şeyin bu kadar basit olmasını dileyebilirdi.
Pek çok endüstri – özellikle finans sektöründe – uyum odaklı ve sıkı güvenlik önlemleri talep eden giderek daha karmaşık düzenleyici çerçevelere bağlı olsa da, gerçek şu ki çoğu kuruluş siber dayanıklılıktan yoksundur. Dünya çapındaki büyük şirketlerin yarısından fazlası siber saldırıları durdurmada etkili olamıyor ve istismar edilen güvenlik açıklarını hızlı bir şekilde bulup düzeltemiyor.
İnsanlar, süreçler ve teknolojilerden oluşan en iyi uygulama üçlü tehdidini kapsayan tanımlanmış, olgun bir programa sahip gelişmiş olarak kabul edilen kuruluşlar bile tehdit ortamının hızlı tempolu taleplerine ayak uydurmak için mücadele edebilir. Pek çok şirketin yetersiz kaldığı kritik alanlardan biri, özellikle geliştirme ekibi için rol tabanlı güvenlik farkındalığıdır. Bir kuruluştaki her kişinin saldırı yüzeyini azaltmada oynadıkları rolü anlaması gerekirken, her gün kodlarla boğuşanlar, güvenliğe gerçekten dönüştürücü bir yaklaşımın sürücü koltuğunda olabilirler … becerili
Bütüncül, defansif bir güvenlik programı, sürekli iyileştirme gerektirir ve sağlam temeller atmaya özen gösterilmesini gerektirir. Bu temeller ağırlıklı olarak araçlara dayalıysa, olgunluk düzeylerinin güvenlik liderlerinin beklediğinden daha düşük olma ihtimali yüksektir. Ponemon Enstitüsü tarafından yapılan bir araştırma, işletmelerin %53’ünün güvenlik teknolojisi yığınlarının ihlalleri etkili bir şekilde durdurabileceğinden emin olmadığını ortaya koydu. Büyük ve küçük şirketlere yönelik başarılı siber saldırıların önde gelen nedenlerinden biri olan insan hatasıyla, geliştiricileri stratejik bir güvenlik artışının dışında bırakmak, ateşle oynamaktır.
Geliştiriciler, Yazılım Güvenliği Mükemmeliyetini Artırıyor
Siber saldırıları çevreleyen rahatsız edici gerçek şu ki, neredeyse her durumda saldırganlar, güvenlik olgunluğu yolculuğunun neresinde olursa olsun, hedef kuruluşlarına göre belirgin bir avantaja sahipler. Yararlanacak herhangi bir zayıflığı titizlikle taramak için zamanları, araçları ve motivasyonları var, kendilerini paydirt’i aşmaya ve ulaşmaya adadılar.
Öte yandan kuruluşlar, iş ve müşteri ihtiyaçları arasında hokkabazlık yapıyor ve bir siber saldırıyı durdurma riskini göze alamasalar da, iş operasyonlarının çok sayıda güvenliği barındırmak için sürünerek yavaşlaması pratik değil. performansı engelleyebilecek kontroller. Bu, güvenlik becerisine sahip geliştiricilerin siber savunma sonuçlarında bir X faktörünü temsil ettiği yerdir.
Geleneksel olarak, geliştiricilerin güvenlik sorumluluğunu anlamlı bir şekilde paylaşmaları sağlanmamıştır. Bu değişebilir ve değişmelidir. Kuruluşlar, geliştirme kohortu için uygun beceri geliştirme yolları oluşturabilir, ancak ilgili ders materyalini kendi dünyalarında anlamlı olacak şekilde sunan eğitim seçeneklerini seçmeleri gerekir. En azından, geliştiricilerin aktif olarak kullandıkları dillerde ve çerçevelerde iletilmeli ve kod tabanlarında karşılaşma olasılığı en yüksek olan güvenlik açıklarını ele almalıdır.
Kurslar, geliştiricinin iş akışı göz önünde bulundurularak yapılandırıldığında, yaygın güvenlik açıklarını ve yanlış yapılandırmaları sürdüren zayıf kodlama kalıplarının, zaman içinde yazılım kalitesini önemli ölçüde artıran iyi, güvenli kalıplarla değiştirilme olasılığı çok daha yüksektir. Düşük kaliteli yazılım, yalnızca bu yıl ABD’ye 2,41 trilyon dolara mal oldu ve bu ancak riskli teknik borcu sürdüren hata döngüsünü kırarak çözülebilir.
Daha olumlu, bütünsel bir güvenlik programı oluşturmak için kuruluş çapında bir taahhüt gerekir; insan odaklı konularda bir fark yaratmak için gereken insan gücünden yararlanan biri. Ve yarının manşetlerinden uzak durmak çok önemliyse, kesinlikle bu çabaya değer.