Bu Help Net Security röportajında, Skypher CEO’su Gaspard de Lacroix-Vaubois, güvenlik anketlerinin uygulanmasından ve bunların teknoloji tedarik zincirindeki tüm katılımcılar arasında değerlendirmeleri ve hesap verebilirliği nasıl kolaylaştırdığını, güveni nasıl artırdığını ve hassas verileri nasıl koruduğunu anlatıyor.
Birçok kuruluş, güvenlik anketlerinin risk değerlendirmesindeki kritik rolünü gözden kaçırıyor. Günümüz iş ortamında bunların neden önemli olduğunu açıklayabilir misiniz?
Tüm teknoloji tedarik zincirinin güvenliğini doğru bir şekilde değerlendirmek için güvenlik anketlerinin üçüncü taraf siber risk yönetiminin önemli bir parçası olduğunu düşünüyorum. Avrupa Komisyonu’nun kurum içi düşünce kuruluşuna göre, kişisel verilerin korunması açısından “veri toplayanlardan bu verileri ileten, işleyen, saklayan ve kullananlara kadar her düzeyde siber güvenliğin güçlendirilmesi çok önemli olacaktır”.
KOBİ’ler çoğu durumda daha büyük rakiplerinin veri işleyicileridir; bu da onların son müşterilerle iletişim halinde olmadığı anlamına gelir. Bu son müşteriler çoğu zaman bir satıcıdan satın aldıkları hizmetin diğer tüm sağlayıcıları kullandığının farkında değildir. Bu nedenle, son müşterilerde güven oluşturmak için satıcılarınızın kuruluşunuzla aynı yüksek güvenlik standartlarını koruduğundan emin olmak her zamankinden daha önemli. Güvenlik anketleri, siber tedarik zincirinin her katılımcısının sorumlu tutulmasına yardımcı olur.
Günümüzün birbirine bağlı iş ortamında siber güvenliği ve veri korumasını sağlamak için bütünsel ve risk bilincine sahip bir yaklaşım gerekiyor. Güvenlik anketleri, teknoloji tedarik zincirindeki tüm katılımcılar arasında değerlendirmeleri ve hesap verebilirliği kolaylaştırarak, sonuçta güveni artırarak ve hassas verileri koruyarak bu çabada çok önemli bir rol oynamaktadır.
Kuruluşların siber güvenlik çerçevelerinde güvenlik anketlerini uygularken yaptığı bazı yaygın hatalar nelerdir?
Birçok kuruluş, tedarikçilerine ilişkin kendi risk değerlendirme sürecini yapmak yerine, ortak standartlara veya çerçeveye güvenmeye çalışmaktadır. Kuruluşlar, iç sistemlerine ve verilerine erişim düzeylerine bağlı olarak tedarikçilerini ayrı ayrı değerlendirmelidir. Bu satıcı müşterimizin verilerini işliyor mu? Ayrıca Skypher’da müşterilerimizden aldığımız genel bir geri bildirim, onların çok sık olarak işlerine veya teknolojilerine tamamen uygun olmayan güvenlik anketleri almalarıdır. Örneğin bir bulut SaaS çözümü genellikle AWS, GCP veya Azure gibi büyük bir bulut sağlayıcının sunucularında barındırılır ve kendi sunucularını ve altyapısını yöneten bir lisans türü yazılım olarak denetlenmemelidir.
Bunun bir başka iyi örneği de, kendi kendine barındırılan veya şirket içi bir çözüm satın aldığınızda, ağ veya altyapıyla ilgili tüm soruların alakasız olmasıdır, çünkü bunu satıcılar değil siz yöneteceksiniz. Bu, satıcı tarafında çok fazla hayal kırıklığına yol açabilir çünkü kuruluşla olan ilişkilerine tamamen uygun olmayan 300 soruyu yanıtlamak zorunda kalırlar. Burada iletişim ve geri bildirim çok önemlidir; kuruluşlar ve satıcılar, güvenlik değerlendirmeleriyle ilgili olarak açık iletişim hatlarını korumalıdır. Satıcılar aldıkları soruların uygunluğu konusunda geri bildirimde bulunma konusunda kendilerini rahat hissetmeli ve kuruluşlar bu geri bildirimi zaman içinde değerlendirme süreçlerini iyileştirmek için kullanmalıdır.
Özelleştirme önemli olsa da kuruluşlar, satıcı değerlendirmeleri için temel bir kılavuz olarak standartlaştırılmış çerçeveleri (örneğin, NIST Siber Güvenlik Çerçevesi, ISO 27001) kullanmaya devam edebilir. Bu çerçeveler siber güvenliğe yapılandırılmış bir yaklaşım sağlar ve her tedarikçinin özel ihtiyaçlarına uyacak şekilde uyarlanabilir.
Çok fazla bilginin bir güvenlik anketinin etkinliğini ne kadar tehlikeye atabileceğine dair bazı örnekler verebilir misiniz?
Bir güvenlik anketinin etkinliğini tehlikeye atan üç ana husus vardır:
Her şeyden önce, dahili olarak bunlara yanıt vermek için gereken önemli kaynaklar nedeniyle (bilgi güvenliği profesyonellerinin eksikliğine ek olarak) maliyetli bir süreçtir. İkincisi, bunlar zaman alıcı ve tekrarlanan bir görevdir ve güvenlik ve GRC ekipleri içinde çalışanların değişmesine neden olabilir (yeni güvenlik analistinizden bunu zamanının %100’ünde yapmasını istediğinizi hayal edin). Son olarak, güvenlik anketleri, çok sayıda paydaş nedeniyle tamamlanması bir aya kadar sürebilen güvenlik ve uyumluluk departmanı satış döngüsünün darboğazı haline geldiğinden satış döngüsünde önemli gecikmelere neden olabilir.
Satıcıların güvenlik anketlerini yanıtlarken hangi sorumlulukları vardır ve buna en iyi şekilde nasıl hazırlanabilirler?
Satıcıların müşterilerinden veya iş ortaklarından gelen güvenlik anketlerini yanıtlarken önemli sorumlulukları vardır. Siber güvenliğe olan bağlılıklarını göstermeleri ve müşterileriyle güven inşa etmeleri onlar için çok önemli.
Temel sorumluluklar şunları içerir:
- Doğruluk ve şeffaflık: Satıcılar, güvenlik anketindeki tüm sorulara doğru ve dürüst yanıtlar vermelidir. Halihazırda iyileştirme için bir zaman çizelgesi varsa, bir miktar zayıflığın olmasında sorun yoktur. Müşterileriniz bazı zayıf yönlerinizin farkında olduğunuzu ve bunları düzeltmek için halihazırda bir güvenlik yol haritasının bulunduğunu düşünürse, bu çok daha fazla güven oluşturacaktır!
- Son müşteriye karşı sorumluluk: Birçok son müşteri, kullandıkları hizmetlerin sağlanmasında yer alan hizmet sağlayıcıların karmaşık ağının farkında olmayabilir. Veri güvenliğine duyulan güven, birincil satıcının (kurumun) elindedir; bu da üçüncü taraf satıcıların anketlere doğru şekilde yanıt vermesini ve aynı güvenlik düzeyini sürdürmesini hayati hale getirir.
- Hesap verebilirlik: Satıcılar, güvenlik anketlerinde verdikleri tüm yanıtlardan sorumludur ve söylediklerini kanıtlamamaları halinde sorumlu tutulurlar.
- İletişim: Tedarikçiler, kuruluşun bu değişiklikleri kendi risk değerlendirmesinde dikkate alması için güvenlik değerlendirmesi yanıtlarındaki değişiklikleri mümkün olan en kısa sürede bildirmelidir.
- Hız: Satıcılar güvenlik anketlerine derhal ve belirtilen süre içinde yanıt vermelidir. Gecikmeler satıcının güvenlik taahhüdü hakkında şüpheler yaratabilir.
Satıcıların en iyi şekilde hazırlanmak için uygulaması gereken birkaç en iyi uygulama şunlardır:
- Güvenlikten sorumlu ve lider bir kişiyi atayın: Yeni kurulan bir şirketseniz veya daha büyük kuruluşlarda güvenlik uzmanıysanız bu sizin CTO’nuz olabilir.
- Belgeler: Onaylayanların öncelikle güvenlik belgelerini mevcut ve potansiyel müşterilerle paylaşmaya hazır olmaları gerekir. Bu, bir Gizlilik Anlaşması imzalamak kadar kolay olmalı ve ardından örneğin satıcının en son sızma testi raporuna erişebilmelidir.
- Standartlaştırılmış yanıtlar: Yaygın güvenlik sorularına standartlaştırılmış yanıtlar oluşturun. Bu şablonlar anket yanıtları için bir başlangıç noktası olarak kullanılabilir ve yanıtlarda tutarlılık sağlar.
- İnceleme süreci: Özellikle çok sayıda paydaş varsa, sunulmadan önce yanıtların doğruluğunu doğrulamak için sıkı bir inceleme süreci uygulayın.
- Gelecekteki denetimler için bunların kaydını tutun: Bu geçmiş gelecekteki değerlendirmeler ve denetimler için değerli olabilir.
Siber güvenliğin gelişen manzarasıyla birlikte güvenlik anketlerinin rolünün önümüzdeki yıllarda nasıl değişeceğini düşünüyorsunuz?
Güvenlik anketlerinin rolünün siber güvenlik tedarik zincirinin geleceği açısından merkezi olacağını düşünüyorum. Daha verimli ve dinamik bir şekilde gelişeceğini düşünüyorum.
Yapay zekadaki son ilerleme, satıcıların dahili olarak doğru araçlara ve verilere sahip olmaları durumunda birçok soruya otomatik olarak yanıt vermelerine olanak tanıyacak. Ayrıca kuruluşların, satıcılarının güvenlik anketleriyle başa çıkmaları için daha kolay yollar uygulaması gerektiğine inanıyorum. Örneğin, çözümünüzün bulut tabanlı mı, kendi kendine barındırılan mı yoksa müşterinin tesisinde şirket içi mi olduğu konusunda ilk başta sahip olduğunuz erişim düzeyiyle ilgili birkaç soruyu yanıtlayabilirsiniz. Daha sonra, sağladığınız güvenlik düzeyini doğru bir şekilde değerlendirmek için özel bir anket oluşturulacak ve alakasız bazı sorular ortadan kaldırılacaktır. Böylece herkes için hayal kırıklığı ve sürecin etkisizliği hissi azaltılır.
Kuruluşların satıcı değerlendirmelerinde daha esnek ve işbirliğine dayalı bir yaklaşım benimsemesi çok önemlidir. Bu, değerlendirmeyi kendi özel koşullarına göre uyarlamak, gereksiz veya ilgisiz sorulardan kaçınmak ve değerlendirme sürecini kolaylaştırmak için satıcılarla yakın çalışmayı içerir.