YORUM
Psikoloji profesörü Daniel Kahneman yakın zamanda vefat etti. En ünlü kitabı, Hızlı ve Yavaş Düşünmek, biri anlık tepkilere ve içgüdüye dayalı, diğeri ise daha yavaş, daha mantıklı ve üzerinde düşünülmüş iki düşünme yöntemimiz olduğunu tartışıyor. Bu kitap bizi taktiklerimiz, operasyonlarımız ve stratejik planlarımız aracılığıyla nasıl düşündüğümüze ve bunları psikoloji ve insan anlayışını kullanarak nerede geliştirebileceğimize bakmaya teşvik edebilir. Örneğin, bu düşünme biçimlerini nasıl anlayabiliriz ve bunları stratejik hedeflerimize ulaşmak için nasıl kullanabiliriz? risk yönetimi etrafında? Daha da önemlisi, yaklaşımlarımızı değiştirip her iki düşünce tarzından da en iyi şekilde faydalanabilir miyiz?
Baş bilgi güvenliği sorumluları (CISO’lar) olarak, riskle ilgili uzun vadeli hedeflerimizi her zaman aklımızda tutmalıyız. Kuruluşumuzu güvende tutmak ve şirket verilerini korumak, çeşitli beceriler, öngörü ve planlamayı kapsar. Aynı zamanda, BT güvenlik ekipleri, yeni sorunlar keşfedildikçe tehdit ortamındaki günlük değişikliklerle karşı karşıyadır. yeni fidye yazılımı çeteleri faaliyetlerine başlıyorve eski tehditlerin önemi artıp azalıyor. Potansiyel suiistimal ve silahlanmanın önüne geçmek için yamalara yanıt vermenin hızlı bir şekilde yapılması gerekiyor. araştırmaOrtalama yama süresi yaklaşık 30 gündür.
2023’teki en büyük güvenlik açıklarının silahlandırılmasının ortalama süresi 44 gündü, bu nedenle teoride yavaş bir yaklaşım benimsemek ve işleri doğru yapmak günün sırası olmalıdır. Ancak yamanın yayınlandığı gün silahlı tehditlerin yaklaşık dörtte biri ortaya çıktı. Bu nedenle bu saldırıları önlemek için hızlı düşünme gereklidir, ancak görevlerin departmanlar arasında dağıtıldığı büyük kuruluşlarda bunu başarmak zor olabilir.
Riski yönetmek, uzun vadeli planlama ve hızla değişen parametrelere kısa vadeli yanıt vermeyi içerir. En büyük hata, tepkileri daha kolay ve daha etkili hale getirmek için önceden planlamanın gerektiği yeri gözden kaçırmaktır. Bir CISO bana, sanki bir hamster çarkında sıkışmış gibi hissettiğini, sürekli koştuğunu ancak gitmesi gereken yere varamadığını söyledi. Bunun yerine, doğru kararları bağlam içinde alabilmemiz için riske ilişkin görüşümüzü birleştirmeliyiz.
BT Altyapısı, Hızlı ve Yavaş
İşletmelerin çok farklı BT platformları vardır. Veri merkezi ortamlarındaki geleneksel BT varlıkları, bir konteynerin ortalama ömrünün beş dakika civarında olduğu yeni bulut tabanlı uygulamalar ve konteynerize sistemlerle omuz omuza olacaktır. Tüm bu sistemlerin yönetilmesi ve güvenli tutulması gerekecektir, ancak etraflarında gerçekleşen düşünce ve süreçler genellikle farklı zihniyetler gerektirir.
Geleneksel BT varlıkları genellikle yıllarca yenilenmeyecek yüksek değerli yatırımlardır. Bu sistemler genellikle gelir getirici faaliyetlerden sorumludur ve işletmeler, kesinti ve uygulanacak güncellemeler nedeniyle bunları hizmet dışı bırakmaya istekli olmayacaktır. Bu sistemlerin tehditlere karşı korunması gerekiyor ancak kesintilerden etkilenme tehlikesi işletme açısından daha da büyük bir risk olarak görülüyor. Yamanın kaçırılmasına ilişkin teorik tehdit, gerçek gelir kaybı riskiyle karşılaştırılmalıdır. Bu durumlarda, riski ölçmek için mantıksal ve metodik bir yaklaşımın benimsenmesi gerekli olacaktır.
Modern uygulamalar için daha yavaş bir yaklaşımın benimsenmesi, meydana gelen değişimin hızına ayak uyduramayacaktır. Güvenlik süreçleri gerektiğinde otomatik olarak yanıt vermelidir. CI/CD işlem hatlarımızda herhangi bir değişiklik meydana geldiğinde, güvenlik süreçlerimiz de buna uygun şekilde tepki vermelidir.
Riski Yönetmek, Hızlı ve Yavaş Düşünmek Demektir
CISO’lar için, sola kaydırma güvenliği gibi yaklaşımlar geliştiricilerin kodlarında ve boru hatlarında güvenliği iyileştirmelerine izin vermelidir. Yine de bu yaklaşımlar, güvenlik ve geliştirici ekipleri arasındaki işbirliğine dayanır. Güvenliği sola kaydırdığınızı söylemek bir şeydir; çalışma uygulamalarında değişiklikleri gerçekten yapmak başka bir şeydir. Hızlı bir kazanç ve güvenlik etkinliğini otomatikleştirmenin bir yolu gibi görünen şey aslında işbirliği etrafında yavaş ve metodik düşünmeye dayanır.
Buradaki en büyük zorluk, risk yönetiminin etkili olmak için hem hızlı tepkiler hem de stratejik düşünme gerektirmesidir. Geçmişte yapılan planlar yeni kanıtlara dayanarak değişmek zorunda kalabilirken, hızlı tepki verme yeteneği altyapı gibi alanlarda yıllar önce alınan kararlara bağlı olabilir.
Riskleri azaltmak için CISO’ların sorunları bağlam içinde anlaması ve bunları uygun şekilde puanlaması gerekir. Tek bir puan almak risklerin birbirlerine göre sınıflandırılmasına yardımcı olur. Daha sonra bu sorunları, ister hızlı sipariş yanıtları ister zaman içinde daha stratejik değişiklikler olsun, en etkili önlemi temel alarak çözebilirsiniz. Hamster çarkından çıkıp uzun vadeli sonuçlara odaklanabilirsiniz. Güvenliğe hem hızlı hem de yavaş bir zihniyetle bakarak her iki dünyanın da en iyisine ulaşmaya çalışabiliriz.