Bir organizasyon içindeki geleneksel güvenlik algısı, bir kolaylaştırıcıdan ziyade bir engeldir ve kaçınılmaz olarak operasyonları yavaşlatan onay süreçleri ve düzenlemeleri uygular. Bu blog yazısında, Knowit Experience’deki arkadaşlarımızla birlikte, yeni bir zihniyetin nasıl büyümeye devam ettiğini araştırıyoruz. Güvenliği kolaylaştırıcı ve iş değeri katkıda bulunan olarak benimseyen biri.
Artık göz mermi yok
Kuruluşların güvenlik departmanları, geleneksel olarak bir kolaylaştırıcıdan ziyade bir engel olarak faaliyet göstererek, diğer ekiplerin karmaşık onay sistemlerinde gezinmesini gerektiren uzun süreçler ve kontroller uyguladı. Bu, birisi “güvenlik” kelimesinden bahsettiğinde genellikle kaçınılmaz iç çekişlere ve göz atmalarına yol açacaktır. Zaman değişti – şimdi çevikliğin çok önemli olduğu ve en ufak bürokrasinin yeniliği ve verimliliği önemli ölçüde engelleyebileceği bir iklimde. Çalışanlar bunu biliyorlar ve bürokrasiyle karşı karşıya kalmaktan kaçınmak için geçici çözümler bulabilirler ve sonuçta tüm orijinal güvenlik amacını baltalayabilirler.
Müşteri değerini her zamankinden daha hızlı ve daha verimli bir şekilde sunmaya odaklanıyor. Sonuç olarak, kuruluşların büyük çoğunluğu üretime sık sık kod bültenlerini benimsemiştir ve SaaS şirketleri en az haftalık yeni sürümleri iterek paketi öne çıkarmıştır. Bu güvenliği nerede bırakıyor? Düzgün entegre değilse, kuruluşlar ya gerekli hızda hareket edemez veya güvenlik duruşlarını feda etmek zorunda kalmazlar.
Anlatıyı kaydırmak
Anlatıyı değiştirmek için, güvenlik ekiplerinin bekçilerden ziyade etkinleştiricilerin rolünü benimsemeleri şarttır. Ama bu tam olarak ne anlama geliyor?
Her kuruluşun iş bağlamında kabul edilebilir bir risk için kendi güvenlik iş akışları ve kriterleri olduğu bir gerçektir. Her şey açık bir güvenlik açığı değildir. Birçok güvenlik ekibi için zorluk, her ekibin bu iç politikalara nasıl bağlı olmasını sağlamaktır. Bu, özellikle kuruluşun saldırı yüzeyi daha büyük ve daha karmaşık hale geldikçe göz korkutucu bir görevdir.
Eylemde Güvenlik
Bir kuruluşun güvenlik ekiplerinin kapı bekçileri yerine etkinleştirici olarak hareket ettiği gerçekçi bir senaryo hayal edelim: Kuruluştaki ekipler, güvenlik ekibi farkında olmadan sürekli olarak yeni varlıklar ve teknolojiler ekliyor. Buna rağmen, güvenlik ekibi bu varlıkların güvence altına alınmasını sağlamaktan hala sorumludur.
Bu görünürlük eksikliği, aylarca hatta yıllarca fark edilmeyebilecek birçok iç politika ihlali yaratacaktır. Ancak bugün, bu ekipler saldırı yüzeylerini proaktif olarak izleme ve kendilarını kurma seçeneğine sahiptir. özel politikalar Bir varlık uymaz en kısa sürede uyarılmak.
Güvenliğin, her eylem için ön onaylar almak yerine proaktif izlemeye odaklandığı bir dünyada, kuruluşlar iş akışlarını kesintiye uğratmadan potansiyel riskleri gerçek zamanlı olarak izleyebilir. Güvenlik, operasyonel verimliliği destekleyen koruyucu bir güç haline gelir.
Kendi Güvenliği Birlikte
Bununla birlikte, güvenlik ekiplerinin etkinleştirici olarak hareket etmesi gerektiğini biliyoruz. Ama burada bitmiyor. Bu zihniyet tüm organizasyon boyunca uzanmalıdır. Herkes ilk bir güvenlik yaklaşımı benimsemelidir. Güvenlik ekipleri ilerlemeyi engellemek yerine desteklemek için çalıştığında ve geliştiriciler ve diğer ekipler başlangıçtan itibaren güvenli bir şekilde inşa etme yetkisi olduğunda, kuruluşlar güvenliği korurken gerekli hızda çalışabilirler.
Güvenlik sonradan düşünülmemeli değil, geliştirme döngüsünün temel bir bileşeni olmalıdır. Kuruluşlar, geliştiricilerin günlük rutinlerine iyi uygulamaları yerleştirerek varlıkları bozulmadan koruyan kesintisiz akışlar yaratabilir.
Getiri
Eşleştiren bir güvenlik yaklaşımı, daha hızlı ve daha güvenli operasyonlara izin verir ve kuruluşlara, artan müşteri güveni, gelişmiş marka itibarı, sürekli iş operasyonları ve daha kolay gezinme dahil olmak üzere ek iş değeri sağlar. Mevcut uyum manzarası.
Uzman alımı
Kuruluşların bir kolaylaştırıcı olarak güvenlik kavramına nasıl geliştiklerini daha net bir şekilde anlamak için, Dennis Adolf – Teknoloji Başkanı Knowit Deneyimikuruluşlara dijital dönüşüm çabalarıyla başarılı olmalarına yardımcı olan küresel bir BT ajansı.
Bir kolaylaştırıcı olmanın anlamı hakkında ne düşünüyorsunuz?
Bir “kolaylaştırıcı” olmak, bir kuruluşun bilinmeyen tehdit korkusuyla felç olmasa da, AI gibi yeni çözümleri keşfetme konusunda güçlendiren koşullar yaratmak anlamına gelir. Güçlü güvenlik süreçleri ve stratejileri oluşturarak, ekipler yenilikçi girişimleri erken kapatmak yerine riskleri sürekli yönetebilir. Başka bir deyişle, sağlam bir güvenlik duruşu aslında onu engellemek yerine bir inovasyon kültürünü geliştirebilir.
Şirketler, güvenliğin kuruluşları için bir kolaylaştırıcı olarak hareket etmesini önleyen hangi yaygın hatalar yapıyor? Ne yapmalılar?
Önemli bir hata, güvenliği yalnızca BT sorunu olarak ele almaktır. Güvenlik belirli bir departmana etiketlendiğinde, kuruluşlar tüm işlerini korumak için gereken bütünsel perspektifi kaybederler. View güvenliği ile çalıştığımız en başarılı kuruluşlar, farklı ekiplerin geliştirme döngüsünün en erken aşamasından (“sola kayma”) işbirliği yaptıkları ve güvenlik hususlarını entegre ettikleri ortak bir sorumluluk olarak.
Hangi eğilimlerin kuruluşların güvenlik stratejisi ve operasyonları üzerinde etkisi olacaktır?
Yapay zeka ve deterministik olmayan diğer sistemler giderek daha merkezi hale geliyor, bu da saldırı yüzeyini öngörmeyi ve daire içine almayı zorlaştırıyor. Bu, tehdit analizine – NIST AI RMF gibi tehdit modellemesi ve çerçeveler gibi – ve tespit gibi beklenmedik güvenlik açıklarını tanımlayabilen araçlar için daha yapılandırılmış bir yaklaşım gerektirir. Kuruluşlar, geniş, kapsayıcı bir güvenliğe, kolektif sorumluluk duygusunu ve tehdit analizi için sistematik yöntemleri birleştirerek, hem inovasyon kapasitelerini artırabilir hem de güçlü bir güvenlik duruşunu sürdürebilir.
Çalışan Güvenlik
Modern organizasyonda etkili güvenliğin anahtarının, algısını bir engelleyiciden bir kolaylaştırıcıya kaydırmak olması şaşırtıcı değildir. Sadece güvenlik, bir engel olmaktan ziyade bir ilerleme kolaylaştırıcısı olarak görüldüğünde, gerçekten kucaklanacak ve etkili olacak.
“Güvenliğin pragmatik olması gerekiyor, ciddiye alınması gereken bir engelleyici olarak olmayan bir iş sağlayıcısı olarak görülmeli. Ancak pragmatizm, güvenliğin önemini zayıflatmak anlamına gelmez. ” Photobox vaka çalışması, güvenliği daha hızlı ürün geliştirme için bir kolaylaştırıcı olarak dönüştürmeyi başaran bir şirketin hikayesi.
Detective hakkında daha fazla bilgi edinmekle ilgileniyor musunuz? 2 haftalık ücretsiz bir denemeye başlayın veya Uzmanlarımızla konuşun.
Müşteriyi zaten tespit ederseniz, Ne var ne yok En son ürün güncellemeleri, iyileştirmeler ve yeni güvenlik açığı testleri için sayfa.