YORUM
Yama uygulama ve yapılandırma değişiklikleri gibi güvenlik iyileştirmeleri önemli bir görevdir. Bu, bir tehdit aktörünün bir ağa girmesi ile izinde durdurulması arasındaki farktır. Ama üzerinde değil toplantı odası gündemi. Hiçbir CEO, “Kar ve zarar harika görünüyor, ancak CVE-2021-44228'e nasıl yaklaştığımız konusunda gerçekten uykularımı kaybediyorum” demez. CEO'lar için bunun gibi tek bir konu fazla spesifiktir.
Ama öyle mi? Bunun dışında Apache Log4j için CVE Pek çok kuruluşta yama uygulanmaması ve 2023'te en az 77 istismarın görülmesi nedeniyle güvenlik iyileştirmeleri artık daha geniş çapta gündemde. Neden? Konuştuğum bir baş bilgi güvenliği yetkilisi (CISO), CEO'sundan tüm bekleyen sorunları üç aylık bir süre içinde düzeltme görevi aldı. Eğer hedefe ulaşılamazsa, bu onların yılda milyonlarca dolar değerindeki büyük bir müşteriyle olan işlerini etkileyecekti.
Performansı engelleyen süreçlerin engellerini kaldırarak ve ekipleri birlikte çalışmaya teşvik ederek bu düzeyde bir destek memnuniyetle karşılanabilir. Aynı zamanda sadece bu ilgiyi görmek de yeterli değildir.
İyileştirme Performansını Neler Durdurur?
Bu CISO yalnız değil. Yönetim kurulunun ne yapıldığını anlayabilmesi için, daha fazla güvenlik liderinden iş perspektifinden riski ne kadar iyi yönettikleri konusunda fikir vermeleri isteniyor. Bu, özellikle bütçeler ve bütçelerin nasıl kullanıldığı konusunda zorlu sorulara yol açacaktır. Ve potansiyel olarak “iyi” veya “mükemmel” güvenliğin gerçekte neye benzediği konusunda bazı zor tartışmalara yol açacaktır.
Bu durumda, BT güvenliğinizle ilgili bilgileri (durdurulan sorunların sayısı, dağıtılan güncellemelerin, düzeltilen kritik sorunların sayısı) kullanabilirsiniz, ancak bunu bir bağlama oturtmak zordur. Diğer iş riskleri ve sorunlarıyla kıyaslanmazsa, dikkatinizi toplamak ve amacınıza ulaştığınızı göstermek zor olabilir.
Bu sorunların üstesinden gelmek için riskle ilgili bir hikaye anlatmak amacıyla karşılaştırmaları ve bağlam verilerini kullanmalıyız. Dağıtılan yamaların sayısına ilişkin temel rakamların sağlanması, gelir getiren bir uygulamayı tehlikeye atan kritik bir sorunun düzeltilmesi için harcanan büyük miktardaki çabayı açıklamamaktadır. Ayrıca takımınızın diğerlerine karşı nasıl performans gösterdiğini de göstermez. Temel olarak, yönetim kuruluna iyiliğin neye benzediğini ve zaman içinde nasıl hizmet vermeye devam ettiğinizi göstermek istiyorsunuz.
Yol boyunca, BT'nin göründüğü kadar basit olmamasının bazı nedenleri konusunda yönetim kurulunu eğitmek için metrikleri kullanabilirsiniz. Varlık yönetimini ele alın; her CISO “Güvendeyiz” demek isteyecektir. Ancak tüm BT varlıklarının ve durumlarının doğru bir listesi olmadan bu beyanı taahhüt edemezsiniz. Aynı zamanda, doğru varlık listesini elde etmek ve onu doğru tutmak zahmetli bir iştir. Ağlarının büyüklüğü, varlıklardaki farklılıklar ve modern uygulamalardaki artan karmaşıklık ve değişim hızı göz önüne alındığında, tüm BT varlıklarında her zaman %100 doğru sonuç elde etmek, kurumsal BT dağıtımları için neredeyse imkansız bir iştir.
Karşılaştırma Riski
Bunun çözümü, kurulun herhangi bir sorunun cevabının ikili yanıtlarla özetlenemeyeceğini bilmesini sağlamaktır. Varlık yönetimine bakıldığında hiçbir CISO, envanter listelerinde tam ve %100 doğruluğa sahip olduklarını söyleyemez. Görüştüğüm bir güvenlik lideri, kuruluşunun yaklaşık 8.000 sunucuya sahip olduğunu düşündüğünü ancak gerçekte 9.000 sunucunun çalıştığını gördüklerini söyledi. Buna göre Gartner'ın, %60 doğruluk sektör ortalamasıdır. Aynı şekilde, kaç departmanın hizmet olarak yazılım uygulamalarına kaydolduğu veya daha fazla sistem uyguladığı bulut BT'nin yetki alanı dışında mı? Ancak bu denemememiz gerektiği anlamına gelmiyor.
Ancak doğru şirket içi sponsorluk ve destekle doğruluğun %85 veya %90 görünürlüğe artırılması hızlı bir şekilde gerçekleştirilebilir. Buradaki zorluk, bu görünürlüğü doğru tutmak ve ardından doğruluğu %95 veya %96'ya yükseltmektir. Her yüzde puanlık iyileşme, büyük miktarda çabayı temsil eder. Yönetim kurulunun bu taahhüt düzeyini anlamasını sağlamak, güvenliğinizi sektörünüzdeki diğer kişilerle nasıl karşılaştırdığınıza bağlıdır.
Bunun yanı sıra, BT genelinde tek bir risk görünümü elde etmek, hangi sorunların hemen ele alınmasının en önemli olduğunu, hangilerinin acil ve hangilerinin daha düşük öncelikli olduğunu anlamayı kolaylaştırabilir. Bu, veri merkezinden bulut dağıtımına kadar bu sorunların BT içerisinde nerede mevcut olduğuna bakılmaksızın gerçekleşebilir ve bütünsel bir görünüm sağlamak için diğer iş riski bilgileriyle birlikte kullanılabilir. Hangi risklerin mevcut olduğunu, bunları düzeltmek için hangi adımları attığınızı ve genel olarak riske ilişkin uzun vadeli bir vizyona nasıl sahip olduğunuzu yönetim kuruluna açıkça anlatarak incelemeye dayanabilirsiniz.