[ This article was originally published here ]
Bu blog bağımsız bir misafir blog yazarı tarafından yazılmıştır.
Veri uyumluluğu yasaları çağına girdik, ancak düzenlemeler çoğu kuruluşun maruz kaldığı risk düzeyine tam olarak ulaşamadı. Güvenlik ve uyumluluğu birleştirmek, düzenleme standartlarını korumak ve işiniz için güvenli bir ortam sağlamak için çok önemlidir.
Dijital dönüşüm ve yeni dijital araçların kullanıma sunulması, davaların hızından daha hızlı ilerliyor. Örneğin, saldırı vektörlerini önemli ölçüde artıran birçok endüstri vardır. Ancak uyumluluk yasaları, onları büyüyen bir IoT’den korumak için yeterli standartlara sahip değil.
Uyum yasaları yürürlükte olsa bile Gartner, 2025 yılına kadar dünya çapında bir tedarik zinciri saldırısı yaşayacağını tahmin ediyor. Bu bulgular, artan veri düzenlemelerine rağmen saldırılarda üç kat artış olduğunu gösteriyor.
Siber güvenlik hiçbir zaman şimdi olduğundan daha önemli olmamıştı. Bilgisayar korsanlarının yararlandığı sayısız saldırı vektörü var ve Covid-19 salgını bu kadar çok insanı çevrimiçi duruma getirdiğinden daha fazla hedef de mevcut. Bugün herkes risk altında.
Kuruluşlar güvenlik ve uyumluluğu nasıl daha etkili bir şekilde birleştirebilir? Güvenlik duruşunuzu iyileştirmenin ve aynı zamanda uyumluluğu korumanın 5 yolu.
Veri korumasına odaklanın
Mobil uygulamalar için iki faktörlü kimlik doğrulama kullanmak ve evden çalışırken bir VPN uygulamak gibi veri güvenliğini sağlamak için bireysel kullanıcıların atması gereken adımlar vardır.
Ve finansal dolandırıcılıkların 2021’de (1 milyar dolar ile) tüketicilere mal olduğu göz önüne alındığında, verileri şifrelemek de daha önemli hale geliyor. Bu nedenle kullanıcılar, bankacılık detayları gibi hassas bilgilere sahiplerse ve ayrıca gerçekten şifreli kripto cüzdan adreslerinde kripto varlıkları varsa akıllı telefonlarını ve masaüstü cihazlarını kesinlikle şifrelemelidir.
Ancak şirketler güvenlik önlemleri almak için müşterilerine güvenmemelidir. Kuruluşların, çevrelerini korumaya ve bir olay durumunda verileri korumak için bir plan oluşturmaya odaklanması gerekir. Siber güvenlik planı, büyüyen bir IoT’nin veri etkilerinden endişe duyan imalat gibi endüstriler için özellikle önemlidir. Şirketler, operasyonları iyileştirmek ve üretkenliği artırmak için sensörler, tabletler ve diğer sektöre özel araçlar gibi bağlı cihazları kullanır. Ancak bunun, ele alınması gereken ciddi veri güvenliği etkileri vardır.
Veri koruma açısından, şirketlerin alabileceği en iyi önlem, gerekli olmayan verileri işlemekten ve depolamaktan kaçınmaktır. Belirli görevleri tamamlamak için kişisel veya finansal bilgiler gibi düzenlenmiş veriler gerekliyse, şirketlerin bulabildikleri en iyi şifrelemeyi kullanmaları gerekir.
Uyumluluk denetçileriyle arkadaş olun
Güvenlik ve uyumluluk, hem ayrı ayrı hem de birlikte büyüyen sorunlardır. Birçok sektör, sağlık, finans ve üretim gibi yüksek düzeyde uyumluluk ve düzenleme gerektirir. Herkes gibi, bu sektörlerdeki şirketler de hizmetlerini müşteriler ve çalışanlar için daha uygun hale getirmek için yeni araçlardan ve teknolojiden yararlanıyor. Sigorta doğrulama yazılımı gibi üçüncü taraf uygulamalar, PCI-DSS gibi standartlarla güvenilir olabilir.
Denetçilerle iyi bir ilişki, güvenlik ve uyumluluk arasında süreklilik yaratmanın en iyi yoludur. Denetçiler genellikle bölgelerinde çok sayıda şirketle çalışan büyük bir firmadan dış kaynak temin edilir. Sıfırdan başlamak ve güvenlik sistemlerinizi öğrenmek için zamanları yok; bir numaralı endişeleri veri uyumudur.
CISO’ların, denetçilerin, veri uyumluluğunun bir bileşeni olarak şirketin siber güvenlik ihtiyaçlarını anlamalarına yardımcı olmak için zaman ayırması çok önemlidir. Düzenli toplantılar ve ayrıntılı raporlama yoluyla kuruluşunuzun durumu hakkında denetçilerle etkileşim kurmak, ekosisteminizdeki boşlukları kapatmak için zorunludur. Denetçiler siber güvenlik uzmanı değildir. Denetçinin ve şirket hedeflerinin uyumlu olmasını sağlamanın tek yolu, bir çalışma ilişkisi kurmaktır.
Güvenliğin temeli olarak uyumluluğu kullanın
Uyumluluk düzenlemeleri çoğu şirketin siber güvenlik ihtiyaçlarının çok gerisinde olsa da, uyumluluk çerçeveleri güvenlik programları için sağlam bir temel sağlar. Uyumluluk yönergeleri, kuruluşlara ne yapacaklarını, güvenlik süreçlerini nasıl yürüteceklerini ve hatta belirli süreçlerin ne kadar iyi performans gösterdiğini açıklamaz.
Örneğin, bir uyumluluk kontrol listesi size şirketinizin bir güvenlik duvarına ihtiyacı olduğunu söyleyebilir. Ancak CISO’lara kuruluşları için hangi tür güvenlik duvarının en etkili olduğunu söylemez ve hangilerinin uyumluluk standartlarını karşılamak için uygulanacağını da söylemez.
Siber güvenlik ekipleri için daha iyi bir strateji, hava boşluklu bir güvenlik ekosistemi oluşturmak için temel olarak temel uyumluluk beklentilerini kullanmaktır. Bu, özellikle düşük vadeli güvenlik kontrolleriyle ünlü benzer enerji ve enerji şirketleri için kritik öneme sahiptir. Ancak uyum sadece başlangıçtır.
İlk olarak, kuruluşunuzun tüm kutuları işaretlediğinden emin olun. Ardından, uyumluluk denetimlerinden elde edilen bulgulara dayalı bir güvenlik programı oluşturun ve düzenleyici testlere ek olarak düzenli kalem testleri uygulayın. Bundan sonra şirketler, uyumluluk kurallarını aşan ve verilerini daha iyi koruyan güvenliği ve denetimleri desteklemek için güvenlik iş akışları oluşturabilir.
Bulduğunuz güvenlik açıklarını düzeltin
Günün sonunda, bir uygunluk denetimi aslında yapmak güvenlik önlemlerinizi geliştirmek için herhangi bir şey. CISO’lar ve ekipleri, uygunluk testlerinin bulgularını ele almak için politika ve prosedürler uygulamak zorundadır. Eylem olmadan, test anlamsızdır.
Örneğin, diyelim ki kuruluşunuz uyum gereği gereğini yaptı ve bir zafiyet raporu ile geri döndü. CISO artık güvenlik açığının farkındadır. Bundan sonra ne olacağı, para cezası veya daha da kötüsü bir veri olayı arasındaki fark anlamına gelebilir.
Bu örnekte, CISO kalem testini not alır ancak takip etmez. Ertesi yıl, düzeltmek için hiçbir şey yapılmadığı için aynı güvenlik açığı ortaya çıktı. Ve şimdi, şirketinizin başı düzenleyici kurumlarla dertte.
Uyumluluk testi güvenlik açıklarını ortaya çıkardığında, bunları düzeltmek ve gelecekteki güvenlik sorunlarını önlemek için bir süreç oluşturun, işte bu şekilde reaktif siber güvenlikten çıkıp proaktif veri korumasına girersiniz. Ayrıca uyum yetkilileriyle başınızı belaya sokabilecek tekrarlayan sorunlardan nasıl kaçınacağınız da burada.
Güvenlik ve risk duruşundaki iyileştirmeleri ölçün
Ekipler, düzenli testlerini yaptıkları ve uyumluluk dışında yaptıkları siber güvenlik geliştirme aşamasına girdiklerinde, zaman içinde meydana gelen iyileştirmeleri ölçmek çok önemlidir.
Uyum, güvenlik durumunuzdaki gelişmeleri ve risklere maruz kalma olasılığını ölçmek için mükemmel bir araçtır. Yıl boyunca çalışmak için her yıllık uyumluluk testi için belirli bir hedefiniz olsun ve güvenlik ekosisteminizin nasıl performans gösterdiğini takip edin. Sorunlara yaklaştığınızda büyük resmi görmek zor olabilir. Ancak güvenlik risklerini düzenli olarak ölçmek, CISO’ların güvenlik altyapılarını ve bunu geliştirmek için atabilecekleri sonraki adımları görselleştirmelerine yardımcı olabilir.
Bu ölçümler ayrıca BT yöneticilerinin, yöneticilere ve diğer yetkililere maruz kaldıkları riskleri raporlamasına yardımcı olabilir. Şirket liderliği genellikle siber güvenlik uzmanlarından oluşmaz, bu nedenle CISO’lar ihtiyaçlarını anlayabilecekleri bir şekilde onlara açıklamak zorundadır. Ve deyim yerindeyse, “bilmediğin şeyi bilmiyorsun.”
Alt çizgi
Günün sonunda, uyumluluğa odaklanırsanız, muhtemelen olması gerektiği kadar güvende olmayacaksınız. Ancak, güvenliğe odaklanırsanız, sektörünüzün düzenlemelerine göre uyumlu olma olasılığınız daha yüksektir.
Uzun süredir devam eden şirketler ve yeni başlayanlar, uyumluluk faktörlerini ve sektörle ilgili önerileri içerir. Veri kaybını bilgisayar korsanlarından korumak için güvenlik ve uyumluluğun iç içe geçmesi yalnızca mantıklıdır.
reklam