[ This article was originally published here ]
Yeni bir yıla başlarken, siber zindeliğimizi geliştirmek ve onu kalıcı bir kültür haline getirmek için nasıl bir plan çizebileceğimizi düşünelim. Siloları yıktığımız, ileriye dönük yeni ekosistem hareketini ve sınır bilgi işlem fenomenini anladığımız yeni bir çağa doğru çalışırken, bunu yapmak için kritik bir zaman.
İletişim, yaratıcılık ve empati, “zorunlu” güvenlik zihniyetinden (“BT öyle söylediği için bu önlemi almalıyım”) “istemek” zihniyetine geçişte çok önemlidir. bir yapılacaklar kutusunu işaretlemenin veya bir eğitim videosu izlemenin ötesinde bir şirketin güvenlik politikasını satın alın.
Önemli hususlar şunları içerir:
- Yukarıdan aşağıya satın almamız var mı?
- Beklentiler etkili bir şekilde iletildi mi?
- Hesap verebilirliği yönlendiriyor muyuz?
- İyi bir CRUST (Güvenilirlik ve Güven) oluşturduk mu?
“Güvenlik kültürü” ve “olumlu bir güvenlik kültürümüz var” dediğimizde bizim güvenlik kültürü olarak algıladığımız şey ile sizin güvenlik kültürü olarak aklınızdan geçen şey çok farklı şeyler olabilir. Bunun nedeni, şirketlerimizin güvenlik hedeflerine ulaşılmasına farklı şekilde öncelik vermesidir. Bazı temel bilgiler, yama uygulama ve kimlik avı saldırılarına maruz kalma olasılığını azaltmayı içerir, ancak bunun olmasının altında yatan neden kuruluşlar arasında farklılık gösterir. Bu makale, bu soruların her birini incelemeyi ve bir siber güvenlik farkındalığı kültürü oluşturmaya yönelik yararlı ipuçları sağlamayı amaçlamaktadır.
Yukarıdan aşağıya yaklaşım
Güvenlik, sadece CISO’ların değil, hepimizin düşünmesi gereken bir şey değil mi? İnsanların bunu düşünmek istememesi ilginç. Birini atarlar, ona bir unvan verirler ve sonra o kişinin artık güvenliği sağlamaktan sorumlu olduğunu söylerler. Ancak gerçek şu ki, herhangi bir kuruluşta doğru olanı yapmak – ister güvenlik, ister parayı takip etmek veya işlerin beklediğiniz gibi gittiğinden emin olmak – tüm kuruluşta paylaşılan bir sorumluluktur.
Bu artık daha fazla alışmaya başladığımız bir şey. Güvenlik alanı, meselenin yalnızca güvenlik görevlilerinin iyi bir iş çıkarması olmadığını fark eder. Bu, tüm kuruluşun daha güvenli olmak için neyin önemli olduğunu anlamasını sağlamak ve bunu mümkün olduğunca kolaylaştırmakla ilgilidir.
Kültür değişikliği ve tüm organizasyonu iyileştirme unsuru var. Davranış, kültür, yönetim ve tutum gibi daha yumuşak yaklaşımların şimdi daha önemli olmasına neden olan şey nedir? Güvenlik teknolojisinde, insanların nasıl düşündüğüne bakmamızı gerektirecek şekilde değişen bir şey var mı? Teknolojinin tüm sorunlarımızı çözmeyeceğini anlamaya başlıyoruz.
Peki yukarıdan aşağıya bir kültürü nasıl yaratırız? En iyi tavsiye, şirketin büyüklüğüne ve yapısına bağlı olarak CEO, COO, BT Pazarlama, Finans veya işletme sahibi dahil olmak üzere birden fazla paydaşın iyi temsiliyle iş hedeflerini uyumlu hale getirmek olacaktır.
Güvenlik için bir “düşen kişi” atamak, siber güvenlik bilincine sahip bir kültür geliştirmeyi zorlaştırır. Bunun yerine, bir CISO, CIO veya güvenlik direktörü gibi bir lider belirlemek ve kuruluş çapında, stratejik olarak uyumlu bir programa ilham vermek, en önemli sonucu destekleyecektir. En azından, kilit paydaşlar tarafından temsil edilen küçük bir güvenlik komitesi oluşturun ve güvenlik liderini iş hedeflerini tam olarak anlaması ve en iyi koruma yöntemlerini önermesi için yetkilendirin.
Güvenlik Kültürünüzü Başlatın
Beklentileri iletin
Katılım sağladıktan sonra, iletişim kurma zamanı. Takip etmesi beklenen insanlar kim, ne, neden ve nasıl olduğunu anlamıyorsa bir siber güvenlik politikasının ne anlamı var? “Politika devletlerine” bağlı kalma fikri ancak bir yere kadar gider. İzleyiciler dikkate alınarak aşağıdakileri kapsayan politikalar geliştirilmelidir:
- Amaç – politikaya neden ihtiyaç var?
- Hedef – hedefi/neyi başarmak istediğimizi belirtin.
- Kapsam – politika neyi/kimleri kapsıyor?
- Roller ve sorumluluklar – kim sorumludur ve görevleri nelerdir?
- Uyumsuzluk için cezalar – neden politika izlenmelidir?
Özetlemek gerekirse – etkinlik nasıl ölçülecek? Referans çizgisini anlayın ve olayları raporlamak için iyi davranışları teşvik edin
Herkes sorumludur
Siber zindeliği uygulamadaki birincil amacımız, bildirilen olaylardaki artış ve olay haline gelmeden önce hafifletilen gerçek olaylardaki azalma ile ölçülen farkındalık ve anlayışı artırmaktır. Hesap verebilirliğin etkililiğini ve örneklerini iletmek esastır.
Bazı kuruluşlar siber güvenlik haber bültenlerinden yararlanırken, diğerleri bunu insan kaynakları veya yukarıdan aşağıya iletişim yoluyla öne çıkarmaya çalışır. Anahtar, bunun başka bir “zorunlu eğitim” olmadığının bilinmesini sağlamaktır. Bu bir standart ve bunda hepimizin payı var.
KABUK yakma
CRUST = Güvenilirlik ve Güven. Bir adım geri atıp sorarsak güvenlik konuşmasını neden umursayalım ki? Güvenlik, güvenin temellerinden biridir. Hangi şirkette çalışıyor olursak olalım, bazı müşterilerimiz, hizmet verdiğimiz birileri var ve müşterilerin bu işlemi işlevsel hale getirmek için güvene ihtiyacı var. Dolayısıyla etkin ve başarılı bir şirket, müşterileri ve özünde çalışanları arasında kurulan bir güvene sahiptir.
Günün sonunda, şirketlerimizde güvenlik oluşturmaktan bahsederken, müşterilerimizle güven oluşturmaktan bahsediyoruz. Kendimize ve harcama alışkanlıklarımıza baksak bile, kaçımız kredi kartı verilerimizi düzenli olarak saldırıya uğrayan veya kişisel bilgilerimize güvenmediğimiz kötü mimari seçimlere sahip bir şirkete vermeyi seçeriz? Biz yapmıyoruz. Ya da çoğu zaman yapmıyoruz.
Bu konuşmayı yapmamızın bile temeli budur. Kuruluşlarımızda güvenlik oluşturmayı düşündüğümüzde, bu her biriniz için farklı şeyler ifade edebilir. Bu, daha iyi mimari seçimler, ürünler, tehdit modelleme, süreçler ve raporlama anlamına gelebilir. Kuruluşumuzda güvenlik kararlarını nasıl aldığımızın kültürel temelidir.
Her düzeyde hesap verebilirliğe sahip olmalıyız ve tutarlılık, güvenilirliği ve güveni sürdürmenin anahtarıdır. Bir zamanlayıcı ayarlamadan veya sürekli izlemeden bir pizza pişirmeye çalışırsanız, kabuğun yanma olasılığı büyük ölçüde artacaktır. Kuruluşunuzla benzer bir yaklaşım benimsemek harika. Çalışanlardan geri bildirim almanın ve iletişim için açık bir kapı tutmanın yollarını arayın. Güvenlik komitenizle geri bildirim paylaşın ve buna göre ayarlayın. İyi davranışı kutlamayı, iletişim kurmayı ve sorumluluk örnekleri göstermeyi unutmayın.
Biz güvenlik duvarıyız
Bir soruyla başlayan şey, “BİZ güvenlik duvarıyız” ifadesiyle biter. Yukarıdan aşağıya katılım, hesap verebilirlik ve iyi bir kabukla inşa edilmiş bir kültür, çalışanların kendilerini daha büyük bir şeyin parçası gibi hissetmeleri ve güvenlik duvarı olmaktan gurur duymaları için temel oluşturabilir. Siber güvenlik kültürü kulağa korkutucu gelse de, liderler artık alternatifin kâr hanelerini tehdit ettiğini anladıkça ilerleme kaydedebiliriz.
Güvenlik, işletmelerin günlük operasyonlarına daha entegre hale geldikçe, CISO’nun yaygın deyimi olan “güvenlik herkesin işidir”i yansıtan olumlu bir kültür değişimi görmeye devam edeceğiz. Siber tehditlere karşı nihai koruma, ‘siber güvenliğe hazır’ ve stratejisinin ve operasyonlarının tüm seviyelerinde riskleri azaltmak için bilgili ve hazırlıklı bir kurumsal kültür aşılamaktır.
reklam