Graylog Bilgi Güvenliği Direktörü Jim Nitterauer
Şirketler genellikle siber güvenliğe bir teknoloji sorunu olarak yaklaşır ve insanların ve süreçlerin de tehditlere karşı savunmanın bir parçası olduğunu unutur. Bu teknolojilerin insanların hayatlarını kolaylaştırmak için var olduğunu ve insanların güvenliğin önemli bir parçası olması gerektiğini hatırlamak önemlidir.
Etkili siber güvenlik, üst düzey liderlikten bireysel katkıda bulunanlara kadar tüm departmanlar arasında amaçlı işbirliği gerektirir. Herkesi güvenlikle buluşturmak, çalışanların düzenli olarak katılımını sağlayan hedefler belirlemeyi, liderliği güncel tutmayı ve kuruluşa değer katmayı gerektirir.
Yeni Bir Manzarada Yeni Zorluklar
Güvenlik – ve güvenlik ekipleri – tüm kuruluşlar için giderek daha önemli hale geliyor.
Günümüzde müşteriler dijital deneyimler istiyor ancak aynı zamanda kuruluşların veri toplamayı sınırlamasını da bekliyorlar. Özellikle veri ihlalleri ve fidye yazılımı saldırıları sıklıkla haberlerde yer aldığından, müşterilerin günümüzde daha yüksek güvenlik ve gizlilik beklentileri vardır.
Bu doğrudan şirketlerin karşı karşıya kaldıkları ikinci zorluğa yol açar. Bu haber başlıklarına yanıt olarak, daha fazla hükümet gizlilik yasasını kabul ediyor. Genel Veri Koruma Yönetmeliği (GDPR) artık yeni olmasa da, düzenleyici ortam üzerindeki etkisini hafife alamayız. Kasım 2020’de Kaliforniyalılar, Kaliforniya Tüketici Gizliliği Yasası’nı (CCPA) güncellemek için oy kullandılar ve bunu birkaç yeni ve daha katı gereksinim içeren Kaliforniya Gizlilik Hakları Yasası (CPRA) olarak yeniden adlandırdılar. CPRA, müşterilere hukuk mahkemesinde dava açma yeteneği verdiği için dikkate değerdir. 2022’de en az dört eyalet daha – Virginia, Colorado, Utah ve Connecticut – muhtemelen yeni gizlilik yasalarını da uygulayacak.
Son olarak, siber suçlar finansal olarak kazançlıdır ve işlenmesi banka soygunundan daha kolaydır. Siber suçlular, özellikle dağıtılması kolay Hizmet Olarak Fidye Yazılımı (RaaS) iş modelleriyle, verileri çalıp satarak veya fidye için tutarak çok para kazanabilir.
Durumsal Farkındalık – Ekip Çalışmasının Yapı Taşı
Güvenliğe işbirlikçi bir yaklaşım oluşturmanın anahtarı, yıllık güvenlik bilinci eğitiminin ötesine geçmektir. Güvenlik liderlerinin uyumluluk onay kutusunu aşması ve insanlara günlük faaliyetlerinde güvenliği düşünmelerini sürekli olarak hatırlatması gerekir.
İnsanlar meşgul olur. İşlerine odaklanırlar. Güvenlik hakkında düşünmeyi bırakırlar. Bu mantıklı ama aynı zamanda problemler de yaratıyor.
Anahtar, bir durumsal farkındalık zihniyeti oluşturmaktır. Çevreyi tanır ve buna göre faaliyetleri değiştirir. İnsanlar boş bir alanda yürürken kalabalık bir şehre göre cüzdanlarına daha az dikkat ederler. Dijital durumsal farkındalık aynı şeydir. Siber güvenlikte durumsal farkındalık, normal görevlerin neye benzediğini ve insanların normalin dışındaki olayları tanıyabilmeleri için günlük iş akışlarının nasıl göründüğünü anlamakla ilgilidir. İnsanlar bir bilgisayarda çalışırken, e-posta okurken, telefonda konuşurken ve diğer insanlarla etkileşime girerken, biraz güvensiz olmaları ve şüpheli görünen etkileşimleri analiz edebilmeleri gerekir.
İşbirliğine Dayalı Siber Güvenlik Oluşturmak İçin En İyi Uygulamalar
Siber güvenlikteki diğer her şeyde olduğu gibi, bir şeyin olması gerektiğini söylemek, onu gerçekleştirmekten çok daha kolaydır. Ancak güvenlik liderleri, kuruluştaki herkesin katılımını sağlayarak bu ekip çalışması zihniyetini oluşturabilir.
Herkesi Dahil Edin
İşbirlikçi bir güvenlik programı oluşturmanın ilk adımı insanlarla konuşmaktır. Teknoloji ve iş kolundaki herkese bu iki basit soruyu sormak, güvenlik liderlerine daha önce sahip olmadıkları bir içgörü sağlayabilir:
- Şirketin ele almadığını gördüğünüz riskler nelerdir?
- Bu sorunu çözmek için ne yapmamızı önerirsiniz?
İlk soru, yeni risklere ilişkin görünürlük sağlayabilir. Farklı rollerdeki insanlar riski farklı görürler. Yeni bakış açıları, güvenlik veya BT ekibinin görmemiş veya anlamamış olabileceği risklere ışık tutabilir.
İkinci soru, dahil olan kişilerin kontrolün uygulanması ve sürdürülmesine katılmalarını sağlayarak riski azaltmaya yardımcı olur. İnsanlar süreç yaratma üzerinde sahiplik hissettiklerinde, ister değişiklik yönetimi, ister kod taahhütleri, geliştirme ekibindeki QA incelemeleri veya pazarlama web sitelerine kullanıcı erişimi olsun, onları takip etme olasılıkları daha yüksektir.
Sorumlulukları iletin
Sorumlulukları insanlara açıkça iletmek esastır. İnsanlar sorumluluklarının tanımını aşağıdakilerden bilmelidir:
- Operasyonel bir bakış açısı
- Bir sahiplik perspektifi
- Uyum perspektifi
- Bir güvenlik perspektifi
Olgun şirketler genellikle bu rolleri ve sorumlulukları açıkça tanımlar. Kuruluşların bu tanımları bir an önce oluşturmaları önemlidir çünkü şirketin “ihtiyaç duyacak kadar büyümesi” teknik borçlara yol açar. Küçük bir şirkette, daha az insan olduğu için uygulanması daha kolaydır, o zaman roller, tanımlar ve sorumluluklar geliştirerek büyüdükçe yinelenebilir.
Kritik Takımları Belirleyin ve Buradan Başlayın
Kritik bir ekip belirlemek, kendilerini bunalmış hisseden güvenlik liderleri için iyi bir başlangıç noktasıdır. Örneğin, bir geliştirme şirketi DevOps ekibini bulabilir ve süreçler en kritik olanlardır.
Şimdi şunları yapabilir:
- İyi tanımlanmış roller oluşturun
- Görevler ayrılığı oluşturun
- Sorumlulukları operasyonel ve uyumluluk açısından açıklayın
Rutin Öz Değerlendirmeye Katılın
Kontrolleri uyguladıktan sonra, bunların etkili bir şekilde çalıştıklarından emin olmak önemlidir. Bu genellikle insanların süreçleri takip ettiğinden emin olmak için rutin öz değerlendirmelerin uygulanması anlamına gelir. Ayrıca genellikle uygunluğu kanıtlamak için bir tür belge içerir.
Örneğin, kullanıcı erişiminin izlenmesi, DevOps ekibi içinde görevler ayrılığı uygulandıktan sonra kontrol zorlamasını kanıtlayabilir. Kullanıcı erişimini izlemek, süreçlerdeki boşlukları ve potansiyel iyileştirme noktalarını gösterebilir. Belgelere sahip olmak, kontrollerin uyum ekibi için etkin bir şekilde çalıştığını kanıtlar.
Güvenlik Elçilerini Bul
Güvenlik programına katılmak ve ekipleri içinde durumsal farkındalığı yaymak için herhangi bir ekipte – hem teknik hem de iş kolu düzeyinde – güvenlik elçileri bulabilirsiniz. Sahiplenme duygusu hissederler ve güvenliğe önem verirler.
Bu, şirketlerin güvenliğin sadece teknolojiyle değil insanlarla ilgili olduğunu sıklıkla unuttuğu başka bir alandır. Tüm kontroller teknik değildir. Güvenlik elçileri, riskleri belirlemeye ve ekipleri içinde kontrolleri uygulamaya yardımcı olabilir. Ardından, BT veya güvenlik ekibi, kontrollerin çalışıp çalışmadığını belgelemek için teknolojiyi kullanabilir.
Erişim yönetimi bunun mükemmel bir örneğidir. Yöneticiler, çalışanlarının ihtiyaçlarını en iyi anlayan ve kimin neye erişebileceğini tanımlamalıdır. Tanımlar ve kararlar teknik değildir. Teknik yönü, erişimin ayarlanması ve izlenmesidir. Birçok küçük şirket, erişim kontrollerinin çalışıp çalışmadığını kanıtlayan kullanıcı erişimini, verilerdeki değişiklikleri ve veri hırsızlığını izlemek için merkezi günlük yönetimini kullanır.
Güvenlik Bir Takım Sporudur
Herkesi güvenliğe dahil etmek, teknik ve teknik olmayan personelin katılımını sağlamakla başlar. Güvenlik insanlarla başlar çünkü teknolojiyi kullananlar onlardır. Teknoloji onları desteklemek için mevcut olmalıdır.
Birçok BT ekibi için güvenlik araçları bunaltıcı gelebilir. Karmaşık ve zaman alıcıdırlar. Çoğu ekip, güvenliği daha etkin bir şekilde yönetmelerini sağlayacak tüm özellikleri ve işlevleri kullanamaz.
Ancak, izleme ve görünürlük araçlarını nasıl kullanacaklarını ve optimize edeceklerini ve onlardan gelen bilgileri nasıl paylaşacaklarını biliyorlar. İnsanları engellemekten ziyade onları mümkün kılan doğru teknolojiyi bulmak, başarılı bir şekilde iletişim kurmanın yoludur, böylece organizasyon içindeki herkes kendi rolünü anlar ve etkin bir şekilde katılır.
yazar hakkında
Jim Nitterauer, Graylog’da Bilgi Güvenliği Direktörüdür. Ursinus Koleji’nden biyoloji dalında lisans derecesine ve Alabama Üniversitesi’nden mikrobiyoloji dalında yüksek lisans derecesine ek olarak CISSP ve CISM sertifikalarına sahiptir. Etik bilgisayar korsanlığı ve sızma testi teknikleri konusunda bilgilidir ve 25 yılı aşkın bir süredir teknolojiyle ilgilenmektedir. InfoSec ve etik hacker topluluğuyla bağlantıda kalıyor ve meslektaşları tarafından iyi biliniyor. Graylog’daki çalışmasına ek olarak, zamanını BT güvenlik bilincini geliştirmeye ve uygun fiyatlı güvenliği uygulamanın yeni yollarını araştırmaya adamıştır.
Jim’e çevrimiçi olarak Twitter @Jnitterauer, LinkedIn üzerinden ve şirketimizin http://www.graylog.com adresinden ulaşılabilir.