İçişleri Bakanlığı, yüzlerce BİT sistemi tarafından işlenen bilgilerin korunması amacıyla ilgili güvenlik kontrollerinin uygulanmasını ve güncel tutulmasını sağlamak için kullandığı süreci dijitalleştirdi.
İçişleri’nden Alex Reale.
Süreç, departmanın koruyucu güvenlik politikası çerçevesini (PSPF) ve Temel Sekiz yükümlülüklerini yerine getirmesini sağlamak açısından kritik öneme sahiptir.
Siber risk yönetimi direktörü Alex Reale, ServiceNow Dünya Forumu Melbourne 2024’te geçen yılın başlarında İçişleri’ne geldiğinde bakanlığın sistem yetkilendirmesini dijitalleştirmek amacıyla ServiceNow’a “zaten yatırım yaptığını” söyledi.
PSPF uyarınca, bir CISO veya benzerinin, ilgili her teknoloji sistemi için bir ‘işletme yetkisi’ sürecini tamamlaması ve “sistemin ilgili güvenlik risklerine göre çalışmasını onaylaması” gerekir.
Ancak Reale, departmanın ServiceNow içindeki mevcut sürecini kopyalamaya çalıştığını fark etti.
Mevcut süreç, elektronik tablolar, Word belgeleri, e-postalar ve güvenlik analistlerinin cihazlarındaki yerel depolama ortamında yürütülüyordu ve değerlendirme süreleri uzun olabiliyordu.
Reale, “Güvenlik kontrollerinin yerinde olduğundan emin olmak için bir sistemin incelenmesi 12 haftaya kadar sürebilir ve departmanın büyüklüğündeki bir ortamda, herhangi bir zamanda yetkilendirme gerektiren yüzlerce sistemden bahsediyoruz” dedi. .
Departmanla çalışmaya başladıktan sonra Reale, ServiceNow’u kullanarak ‘işletme yetkisi’ sürecini dijitalleştirme hamlesini destekledi ancak mevcut yöntemi basitçe kopyalama fikrinden ayrıldı.
Bu değişiklik, departmanın projeyi tamamlanana kadar ilerletmesini sağladı.
Konferansta gösterilen bir slayda göre şirket şu anda “minimum yapılandırma gerekliliğiyle” süreci yönetmek için ServiceNow Sürekli Yetkilendirme ve İzleme modülünü kullanıyor.
Reale, “Artık PSPF ile uyumu ve… Temel Sekiz’in gereksinimlerine ve ACSC’nin Bilgi Güvenliği El Kitabı’na (ISM) uyumu gösterebileceğimiz bir noktadayız” dedi.
“Güvenlik etki değerlendirmemiz aracılığıyla sistemlerimizi tanımlayabiliyor ve bunlara yönelik oluşturmamız gereken güvenlik gereksinimlerini tanımlayabiliyoruz; iş akışlarımız daha iyi otomatik hale geliyor ve herhangi bir sistemin nerede, ne zaman ve değerlendirmenin hangi aşamasında olduğunu takip edebiliyoruz. .”
“Çalışanlarım [level] sahip olmak [also] Hizmetlerimize olan talebi daha iyi gösterebildiğimiz için bu sayı 25 civarına çıktı.”
Reale, ServiceNow’un aynı zamanda uyumluluk raporlaması için çok ihtiyaç duyulan tek bir gerçek kaynak ve temel olarak hareket ettiğini söyledi.
“Kuruluşumuzun güvenlik duruşunun tam bir resmini geliştirmeye çalışmak için birden fazla elektronik tabloyu, izleyiciyi veya diğer bilgi havuzlarını incelemek zorunda kalmak çok sinir bozucuydu” dedi.
Altı adımlı süreç
ServiceNow esas olarak İçişleri kapsamında altı adımlı bir ‘işletme yetkisi’ sürecini kodlamaktadır.
Sistem sahipliğini ve sorumluluklarını belirler, “bir sistem içinde hangi bilgi varlıklarının mevcut olduğunu doğrular ve bu sisteme hangi tehditlerin uygulanabileceğini belirler”.
Daha sonra güvenlik kontrolleri seçilir.
Reale, “Federal hükümet içinde çoğumuz ACSC’nin ISM kontrolleriyle çalışıyoruz, dolayısıyla tüm bu kontrol katmanları zaten orada, ServiceNow’da bizim için önceden hazırlanmış durumda” dedi.
“Ayrıca bunu Temel Sekiz ile de bir araya getirebiliriz, böylece belirli bir sistemdeki Temel Sekiz kontrollerine uyumu özel olarak raporlayabiliriz.
“Ayrıca kendi özel politikamızı ve süreç kontrollerimizi de geliştirebiliriz.”
Siber risk yönetimi ekibi daha sonra sistem sahibine uygulaması ve göstermesi gereken kontrollerin neler olduğunu bildirir.
“ServiceNow, söz konusu sistem için geçerli olan kontrollerin listesini belirledikten sonra, bu paydaşlara araçta geri bildirimde bulunabilecekleri ve söz konusu kontrolleri nerede ve ne zaman uyguladıklarına dair kanıt sunabilecekleri bir doğrulama anketi göndererek bunu yapmamızı destekliyor. İlgili güvenlik kontrolü” dedi.
Uygulama ve doğrulama aşamasında sağlanan bilgiler siber risk yönetimi ekibine iletilir.
Reale, “Bu kontrollerin yerinde ve etkili olmasını sağlamak için sistemli test planları geliştirebiliyoruz” dedi.
“Bunun ardından risk değerlendirmemizi yapabiliriz. Kontrollerimizi, tümü araçta yer alan 12 risk dizisiyle eşleştirdik ve uyumsuz kontrolleri risklerimizle ilişkilendirebilir, ardından herhangi bir sistem için bu duruş hakkında rapor verebilir ve ardından eylem planları geliştirebiliriz. Sistem sahibinin gerçekleştirmesini istediğimiz olağanüstü tedaviler veya eylemler için kilometre taşları.”
Sürecin resmi yetkilendirme kısmı daha sonra devreye giriyor.
“Bir sistemi yetkilendirmek, sistem içindeki kalan güvenlik risklerinin kabul edilmesini gerektirir ve ServiceNow, tüm bu iş akışlarını otomatikleştirerek ve bu bilgi özetini CISO’muza sunarak bunu yapmamızı destekledi. [they are] Reale, sistemin üretimde çalışmaya uygun olup olmadığına ilişkin risk değerlendirmesine dayalı bir tespit yapabileceğimizi söyledi.
“Bir sistem yetkilendirildikten sonra, bu kontrollerin durumunu sürekli olarak izleyebiliyor ve istediğimiz metriklere ilişkin raporlama yapabiliyoruz.”
Reale, ‘işletme yetkisi’ sürecini kolaylaştırmanın yanı sıra, görsel temsillerin departmanın siber ve sistem risk duruşunu yöneticilere iletmesine yardımcı olduğunu belirtti.
“Biz [also] İlgili politikalara ve çerçevelere uyumu kolayca gösterebiliyoruz” dedi.
“Sorumlu yetkililerimizin ihtiyaç duydukları zaman ve yerde bilgiye sahip olmalarını sağlayabiliyoruz ve yapmamız gerektiği gibi Temel Sekiz ve PSPF’yi yakalayıp raporlayabiliyoruz.”
Ry Crozier, ServiceNow’un konuğu olarak ServiceNow Dünya Forumu Melbourne 2024’e gitti.