İş dünyası ve teknoloji arasındaki kesişme, Wipro’nun küresel siber güvenlik ve risk hizmetleri başkanı Tony Buffomante’yi her zaman büyülemiştir. Yeniliği güvenlikle karşılaştıran dikkatli bir dengeleme eylemi gerektirir.
Teknolojik gelişimin hızlı temposu, kuruluşların sürekli yenilik yapma ihtiyacı duyması anlamına geliyor. Aynı şekilde güvenlik sektörü de sürekli gelişen bir tehdit ortamına sahiptir. Yeni güvenlik açıkları keşfedilip yamalandıkça, kötü niyetli aktörler güvenlik sistemlerini aşmanın yeni yollarını arıyor ve bu güvenlik açıklarından yararlanılmadan önce güncellenmesi gerekiyor. Ancak bu sistemlerin aynı anda sağlam ve güvenli olması gerekir. Güvenliğin her zaman haklı olması gerekir; ancak bilgisayar korsanlarının yalnızca bir kez haklı olması gerekir.
Buffomante, “30 yılı aşkın süredir otomobil yarışı sürücüsüyüm” diyor. “Birçok farklı türde arabayla yarıştım. Hak kazandığınızda, belki bir başkasının saniyenin 10’da biri kadar yakınında olursunuz, ancak gelecek yıl geri gelip aynı şeyi yaparsanız, birinci olmak yerine muhtemelen 10. olursunuz çünkü herkes yenilik yapmış ve gelişmiştir. . Bu, siber güvenlikte yaşadığımız olgunun tıpatıp aynısı.”
Bir ağ ihlalinin neden olduğu kesinti çok büyük olabilir; Wipro’ya göre Siber güvenliğin durumu raporu 2023Bir fidye yazılımı saldırısı genellikle 11 ile 30 gün arasında kesintiye neden olur ve bu da yıkıcı olabilir. Ayrıca, sistemi geri yükleme ihtiyacından kaynaklanan mali maliyetler ve hassas verilerin ifşa edilmesi durumunda olası cezaların yanı sıra saldırıya uğramanın getirdiği itibar kaybı da vardır.
Açık iletişim önemlidir
Güvenlik risklerini yöneticilere anlaşılması kolay bir formatta net bir şekilde aktarabilmek, siber güvenlik ekipleri için önemli bir beceridir. Anlaşılması gereken güvenlik ortamına ilişkin çok büyük miktarda bilgi olabilir. Bu nedenle, bu bilgileri bir kuruluşun endüstrisine ve işine uygun bir şekilde sunmak güvenlik profesyonellerinin görevidir.
“Durdurduğumuz bu devasa miktardaki saldırılar hakkında konuşmayı seviyoruz. Rakamlar büyük olduğu için insanlar bunun etkileyici olduğunu düşünüyor ancak denetim komitesi veya yönetim kurulu düzeyinde iletişim kurmanın etkili bir yolu değil” diyor Buffomante. “Bir şirketin en önemli varlıklarını (müşteri bilgileri, fikri mülkiyet veya finansal bilgiler) izleyen güvenlik programı hakkında bir şeyler söylemeliyiz.”
Buffomante, bir kuruluşun güvenlik duruşu kapsamında ele alınması gereken kilit alanları vurgulamak için bir sıralama sisteminin kullanılmasını savunuyor. Bu, sistemleri kırmızı, sarı veya yeşil olarak sıralayan, renk bazlı bir trafik ışığı sınıflandırması olabilir veya yüksekten düşüğe gibi kademeli olarak derecelendirilebilir.
Her ne kadar güvenlik bilgileri kısaltılmış biçimde sunulurken bazen ayrıntılar gözden kaçırılabilse de bu bir endişe kaynağı değildir. Önemli olan, bir kuruluşun en savunmasız olduğu yerleri, riski azaltmak için neyin gerekli olduğunu ve gerekli bütçeyi yönetim kuruluna vurgulayan bilgilerin açık ve şeffaf bir şekilde sunulmasıdır.
İş ihtiyaçlarına odaklanın
Bir kuruluşun ihtiyaçlarını anlamak, güvenlik duruşunu etkili bir şekilde yönetmek için çok önemlidir; bu da, devam eden iş operasyonları için gerekli hayati altyapıyı anlamak için daha geniş bir kuruluşla bağlantı kurmayı gerektirir.
“Küresel bir havayolu şirketi için güvenlik stratejisi oluşturduğunuzda insanlar hemen kredi kartı verileri hakkında konuşmak istiyor. CEO’nun stratejisine baktığınızda listedeki bir numaralı şeyin yolcu güvenliği olduğunu görürsünüz” diyor Buffomante. “En önemli şey mutlaka kredi kartı verileri değil, bilgisayar korsanlarını hava trafik kontrolünden uzak tutmaktır. Güvenlik stratejisini yalnızca BT stratejisine değil aynı zamanda iş için önemli olan şeylere de bağlayabilmek, eğitimin ve sosyal becerilerin devreye girdiği yerdir.”
“Durdurduğumuz bu büyük hacimli saldırılar hakkında konuşmayı seviyoruz ancak bu, denetim komitesi veya yönetim kurulu düzeyinde iletişim kurmanın etkili bir yolu değil. Bir şirketin en önemli varlıklarını izleyen güvenlik programı hakkında da bir şeyler söylemeliyiz”
Tony Buffomante, Wipro
Buffomante, siber güvenlik ekibinin bekçi olması yerine, proje geliştirme sürecine dahil olarak iş geliştirmenin temel bir parçası olmaları gerektiğine inanıyor. Bu sayede ürün veya hizmet tasarım gereği güvenli hale getirilebilir.
Güvenlik rehberliği ve eğitimi bu katılımın hayati bir parçasıdır. Ekiplere sunulan bilgilerin onların ihtiyaçlarına uygun olmasını sağlamak için departman odaklı eğitim kursları kullanılabilir. Örneğin, finans ekibinin güvenli kodlama tekniklerini anlaması gerekmeyebilir ancak en son kimlik avı tekniklerine ilişkin farkındalık değerli olacaktır.
“Güvenlik eğitiminin kabul edilebilir olması ve amaca uygun olması gerekiyor. Güvenlik testini doğrudan geliştirme hattına getirerek, ‘Bu kodu geliştirdiniz ve işte bu koddaki güvenlik açıkları’ diyen gerçek zamanlı açılır pencerelere sahip olabilirsiniz” diyor Buffomante.
“Üst düzey genel eğitime ihtiyaçları yok. İhtiyaç duydukları şey, rollerine ve tam zamanında ortamlarına uygun özel bir eğitimdir. Kuruluştaki bu belirli sıcak noktaların belirlenmesi, güvenlik kontrollerinin geliştirilmesinde ve uygulanmasında belirgin bir fark yaratacaktır ve kuruluşların odaklanması gereken yerdir.”
Siber güvenlik eğitimi sadece geliştirme veya operasyon tarafına odaklanmamalı, aynı zamanda bir organizasyonun tüm bölümlerine ve her seviyeye odaklanmalıdır. Tehditlerin uygun seviyedeki farkındalığı ve anlaşılması, kuruluşların kendilerine özgü risklerin farkında olan uygun iş stratejileri geliştirmelerine olanak sağlayacaktır.
Buffomante, “Şirketlerin yaptığı simülasyon uygulamalarının yalnızca %27’si yönetim kurulunu içeriyor” diye açıklıyor. “Bir yönetim kurulu üyesi gerçekte olup biteni nasıl daha fazla takdir edebilir ve ihlalde bulunan bir kuruluş olarak buna nasıl tepki verebiliriz? Sadece %27’si katılıyorken? Bunların, kuruluşların sürekli öğrenme yolculuğunda olmaları açısından önemli olduğunu düşünüyoruz.”
Rol odaklı eğitim, odaklanılması gereken eğitim alanlarını vurgulamak için güvenlik değerlendirmelerinden elde edilen geri bildirimlerle birleştirilebilir. Bu nedenle güvenlik eğitimi, iyileştirilmesi gereken alanları hedeflemek için kullanılabilir. Bu hedefe yönelik yaklaşım hem uygun maliyetlidir hem de her rol için daha ilgi çekicidir, dolayısıyla daha sağlam bir güvenlik duruşuna yol açar.
İşbirliğine dayalı ekipler daha fazlasını başarır
Güvenlik ekipleri daha geniş bir kuruluşla işbirliği yaptığında, bu yalnızca iletişime yardımcı olmakla kalmaz, aynı zamanda güvenliğin son aşamada bir kontrol noktası olmaktan ziyade çözümlere entegre edilmesini sağlar. Güvenlik ekipleri başlangıçta geliştirme ekipleriyle işbirliği yaptığında, belirli güvenlik gereksinimlerini karşılamak için maliyetli revizyonlardan kaçınılabilir, böylece zaman ve kaynak tasarrufu sağlanır.
“Güvenlik konusunda sıklıkla ‘hayır’ diyen erkek ya da kız olma riskiyle karşı karşıyayız, ancak asla öyle olmak istemeyiz. Bu işbirliğine erken başlamazsak, genellikle bu ticari girişimlerden ve BT girişimlerinden bazılarını çok geç görüyoruz ve ardından bunun güvenliğini, risklerini ve düzenleyici hususlarını değerlendirmemiz gerekiyor.”
Tony Buffomante, Wipro
“Güvenlik konusunda sıklıkla ‘hayır’ diyen erkek ya da kız olma riskiyle karşı karşıyayız, ancak asla öyle olmak istemeyiz. Bu işbirliğine erken başlamazsak, genellikle bu ticari girişimlerden ve BT girişimlerinden bazılarını çok geç görüyoruz ve ardından bunun güvenliğini, risklerini ve düzenleyici hususlarını değerlendirmemiz gerekiyor,” diyor Buffomante. “İş inovasyonunu yavaşlatma riski olabilir ve uygulayıcılar ve sektör olarak bizim istediğimiz şey bu değil.”
Güvenlik ekiplerinin yeni gelir akışlarını mümkün kılma fırsatları da var. Örneğin, ABD’deki Federal Risk ve Yetkilendirme Yönetimi Programına (FedRAMP) veya İngiltere’nin MoD Siber Güvenlik Modeli çerçevesine uymak, şirketlere devlet daireleriyle çalışma fırsatları sunuyor. Ancak bu yalnızca ürün geliştirmenin güvenlik ekibiyle birlikte çalışmasıyla mümkündür.
Buffomante, “Bu sadece korumayla ilgili değil, ‘Yeni bir gelir akışının açılmasına nasıl yardımcı olabiliriz?’ meselesi” diyor. İşte bu noktada kendimizi gerçekten değerli hissediyoruz.”
Tehdit yanıtını otomatikleştirme
Geçtiğimiz birkaç yılda, çevrimiçi kötü niyetli aktörlerin yanı sıra 5G’den üretken yapay zekaya (AI) kadar yeni ve yıkıcı teknolojilerde dramatik bir artış görüldü. Bu teknolojilerin birçoğu risk taşıyor ancak aynı zamanda benzersiz fırsatlar da sunuyor. Ancak önceden uyarılmak, önceden hazırlıklı olmak demektir ve bu risklerin anlaşılması, bunların hafifletilebileceği anlamına gelir.
Uygun politikaların uygulanmasıyla bu teknolojiler sorumlu ve güvenli bir şekilde kullanılabilir ve tüm avantajları sağlarken hassas verileri ve ağ güvenliğini de korur.
Örneğin, her zamankinden daha fazla ara bağlantı olanağı sunan yeni teknolojilerle birlikte cihazların kötü niyetli aktörler tarafından gasp edilmesi riski artıyor, ancak kabul edilebilir kullanımlarını tanımlayan kullanıcı ve cihaz ağ izinlerinin yanı sıra anormal davranışlara karşı ağ izleme taramasıyla bu durum daha da artıyor. olası tehlike azaltılabilir.
İnternetteki çok çeşitli tehditlere rağmen Buffomante geleceğe dair iyimserliğini koruyor. Örneğin yapay zeka ve makine öğrenimi, güvenlik ekiplerinin iş yükünü azaltan görevleri otomatikleştirmek ve aynı zamanda ortaya çıkan tehditlere daha hızlı yanıt vermelerini sağlamak için kullanılabilir. Benzer şekilde, tüm departmanlarla işbirliği yapan güvenlik ekiplerine sahip olmak ve kuruluşun her üyesi için uygun bir güvenlik eğitim programı geliştirmek, tasarım gereği bir güvenlik kültürü ve bunu yaparken daha geniş ve sağlam bir güvenlik duruşu oluşturacaktır.
“Kötü etkinlikleri görme ve bunlara daha önce hiç olmadığı kadar hızlı tepki verme yeteneğimiz var. Sadece aylar önce, bu teknoloji sayesinde şimdi birkaç dakika süren bir şeyi tespit etmek saatler sürerdi” diye bitiriyor Buffomante. “Silahlanma yarışı devam ediyor, ancak çok fazla umudum var çünkü inanılmaz derecede veri odaklı ve otomatikleştirilmiş güvenlik çözümleri geliştirebilir ve kendi kendini onaran ağlara yol açabiliriz.”
