Mevcut yetenekleri kullanma
Birçok kuruluş için, bir siber esneklik stratejisi tanımlamak için başlangıç noktası, kuruluşun mevcut iş sürekliliği planlaması ve felaket kurtarma çerçeveleri, yangın ve aşırı hava olayları gibi fiziksel felaketler karşısında sürekliliği sağlamak için yaygın olarak geliştirildi.
KPMG Avustralya’da eski bir CISO olan Abbas Kudrati’ye göre ve şimdi La Trobe Üniversitesi’nde siber güvenlik öğretim görevlisi olan siber esneklik unsurları sadece teknik kontrollerin çok ötesine geçti.
Kudrati, “Siber esneklik yüzde 100 güvenli olmakla ilgili değil, saldırıya uğradığınızda veya ihlal edildiğinde ne kadar çabuk iyileşebileceğinizle ilgili” dedi.
“Bu, iş ortamınız üzerindeki en az etkisi ile daha hızlı bir şekilde işe geri dönmekle ilgilidir. İnsanlarınız, süreç, teknolojiniz ve mimariniz dengeli bir şekilde hizalanmalıdır.”
Eyalet mütevelli heyetlerinde teknoloji ve dönüşüm için bilgi güvenliği lideri Sandeep Taileng için, siber esnekliğin temel özellikleri sürekli uyanıklık, sağlam inşaat, hızlı hasar kontrolü ve deneyimlerden öğrenme yeteneğiydi.
Taileng, “Saldırılara dayanma, hızlı bir şekilde iyileşme ve iş sürekliliğini sağlamak için olaylardan öğrenme yeteneğini vurguluyor” dedi.
“Avustralya’nın CPS 230 ve küresel standartlar gibi düzenlemeler, sadece önleme yerine iyileşme ve sürekli operasyona odaklanan bu uyarlanabilir yaklaşımı teşvik ediyor.”
Ancak bu basit sunuma rağmen, bu özelliklerin benimsenmesi evrensel olmaktan çok uzaktı.
Taileng, “Birkaç engel, yürütme katılımı ve hesap verebilirlik eksikliği, yetersiz kaynaklar ve finansman, çalışanlardan kültürel direniş, üçüncü taraflar arasında esnekliği yönetmenin karmaşıklığı ve hızla gelişen tehdit manzarası da dahil olmak üzere siber esnekliğin benimsenmesini engelliyor” dedi.
“Diğer zorluklar arasında iş işlevlerini haritalamanın karmaşıklığı, parçalanmış hesap verebilirlik, kurtarma yeteneklerini test etme maliyeti, satıcı esnekliğine sınırlı görünürlük ve tamamen önleyici bir zihniyetten kaymaya karşı direnç sayılabilir.
“Bunların üstesinden gelmek liderlik taahhüdü, sürekli eğitim ve bütünsel bir yaklaşım gerektirir.”
Taileng, siber güvenlik topluluğunun, “sol”, sıfır güven, tehdit avı, siber güvenlik örgü mimarisi (CSMA), operasyonel teknoloji (TO) güvenlik ve tedarik zinciri güvenliği gibi kavramların tartışılmasıyla gösterildiği gibi, saf önleme üzerindeki siber esnekliğe giderek daha fazla odaklandığını gözlemledi.
“Bu değişim iş sürekliliği, finansal etki, operasyonel risk, itibar hasarı ve düzenleyici uyum gibi iş terimleriyle çerçevelendiğinde, teknik olmayan yöneticiler için tamamen teknik siber güvenlik tartışmalarına kıyasla daha erişilebilir ve etkili hale geliyor” dedi.
“Bu, liderliğin siber esnekliği temel bir iş önceliği olarak anlamasına yardımcı olur.”
Kudrati, siber esnekliği iş sürekliliğine dahil etmek için iyi bir başlangıç noktasının, kuruluşlara risk değerlendirmeleri konusunda yardımcı olacak kapsamlı ilkeler ve yönergeler sağlayan ISO 31001 Risk Yönetimi çerçevesi olduğunu öne sürdü. Kudrati, bu çerçevenin siber riski diğer üst düzey liderlerin ve yönetim kurulu yöneticilerinin anlayacağı dile çevirmenin ek faydasını sunduğunu söyledi.
Kudrati, “Bir CISO siber güvenlik stratejilerini ve siber risk yönetimi çerçevesini işletme çapında bir çerçeve ile entegre etmiyorsa, o zaman CISO solo çalışıyor” dedi.
“Ve görünürlüğü yönetim kurulu düzeyinde yaratmanın tek yolu, siber risk kaydını Kurumsal Risk Siciline takmaktır.”
Bir esneklik stratejisinin nasıl uygulanacağı konusunda rehberlik, altı temel işlevi tanımlayan NIST Siber Güvenlik Çerçevesi’nin (NIST CSF 2.0) 2.0 sürümünden de toplanabilir – yönetir, tanımlayın, koruma, tespit, yanıt ve kurtarır.
Kudrati’ye göre, bunların her biri, birçoğu üç prensibe dayanan bir sıfır tröst mimarisi çerçevesi benimseyerek etkinleştirilen mevcut süreçler ve kontroller kullanılarak uygulanabilir.
Kudrati, “İlk prensip en az ayrıcalıklı bir modele sahip olmak, yani gerekli olmayan kimseye erişim sağlamak anlamına geliyor” dedi.
Siber esnekliğe ilgi, onu hayata geçirmeye yardımcı olan araç ve süreçlerin satışlarındaki hızlı büyüme ile gösterilmiştir. Piyasalar ve Piyasalar Araştırmalarına göre, Dayanıklılık Çözümleri Pazarı, veri yedekleme, tehdit algılama ve felaket kurtarma gibi alanlarda özel çözümler sunan çeşitli oyunculardan oluşmaktadır.