On yıl önce, 2013 yılında, ihlaller herkesin ilgisini çeken sıcak konulardı. En önemlisi, Snowden’ın Ulusal Güvenlik İdaresi (NSA) sızıntısı tüm haber istasyonlarının, dergilerin ve gazetelerin başında yer alıyordu. Sony, eBay ve Gelir İdaresi Başkanlığı’nın mağdur olması nedeniyle ihlaller önümüzdeki birkaç yılın en sıcak konusu oldu.
Ancak şimdi, kapsam ve boyut olarak yukarıdakilere benzer ihlaller, en fazla bir veya iki gün boyunca manşetlerde yer alacak gibi görünüyor. Bundan sonra, bazı muhabirler belirli sonuçları ele alıp araştırabilir, ancak genel kamuoyunun odağı artık bunlara odaklanmıyor. Psikiyatristler bunun nedeninin insanların daha fazla uyarılmaya ve daha az dikkat aralığına sahip olması olduğunu söyleyebilirler, ancak bence esas olarak ihlaller artık iş yapmanın maliyetinden başka bir şey değil. İhlallerin sıklığı, şirketler üzerindeki etkisini azalttı ancak işletmelerin bu tehditleri önlemek ve çözmek için yine de harekete geçmesi gerekiyor.
Spesifik olarak, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi’nin, işletmelerin bu değişiklikleri yapma konusunda haklı olarak rehberliği takip etmeye çalıştığı yer olduğunu düşünüyorum. NIST bir süredir siber güvenliğe odaklanıyor. İlk çerçevesi, kayda değer ihlallerin halkın gözünde zirveye ulaştığı 2014 yılında yayımlandı. NIST saygın bir yer olsa da, özel sektör henüz bu çerçeveye büyük bir çoğunlukla uymadı; bunun nedeni kısmen şirketlerin bunu yapmamaları nedeniyle cezalandırılmaması ve ayrıca henüz ilgili sertifikaların bulunmaması.
Güçlü, Düzenleyici Değil
NIST özellikle bir otorite değildir. ABD hükümetinin düzenleyici olmayan bir kurumudur ve bu da onu araştırma ve bilgi açısından güçlü kılar, ancak düzenleyici değildir. Konumu, bilimsel ve önyargısız bakış açıları üzerine siber güvenlik çerçeveleri oluşturmasına olanak tanıyor ancak kurum, kuruluşların kendi rehberliğine uymasını zorunlu kılamaz. Bu, NIST’in sürekli olarak tehdit ortamındaki ilerlemeleri, karmaşıklıkları veya değişiklikleri kendi en iyi uygulamalar çerçevesine dahil etmek için aradığı için akıcı bir ortam sağlar.
Kuruluşların, genel çevreyi daha iyi korumak için sistemlerinde NIST Çerçevesini aktif olarak kullanmaya başlaması gerekiyor. NIST Çerçevesini dahil etmedikleri için cezalandırılabilecek federal kurumların aksine, özel işletmelerin onu uygulamaya koyma konusunda daha istekli ve odaklanmış olmaları gerekiyor. Özellikle sürekli olarak güncellendiğinden zaman ve kaynak gerektirir, ancak özel işletmelerin NIST Çerçevesini benimseyerek iyi bir siber güvenlik görevlisi olma sorumluluğunu üstlenmesi gerekir.
NIST tarafından onaylandı mı?
Şirketiniz ister B2B ister B2C olsun, doğru sertifikalara sahip olmak, yeni bir sözleşme veya ortak almanız konusunda fark yaratabilir. Sertifika, şirketinizin yalnızca müşterinin ürününe odaklanmadığını, aynı zamanda daha güvenli, hesap verebilir ve güvenilir uygulamaları destekleyen yönergeleri takip ettiğini gösterir.
Bu nedenle NIST’in özel sektörde daha büyük bir ayak izine sahip olması için, bir kuruluşun rehberliğini ne kadar iyi entegre ettiğine bağlı olarak verilen bir NIST sertifikasının olması gerektiğini düşünüyorum. Hatta Uluslararası Standardizasyon Örgütü’nün (ISO), ISO 9001’in (Kalite Yönetim Sistemi) ISO 27001’den (Bilgi Güvenliği Yönetim Sistemi) bir şirketin belirli uyumluluğuna dayalı farklı sertifikalarla farklı olduğu belirli standartları nasıl beyan ettiğini bile takip edebilir.
Bununla birlikte, NIST’in böyle bir çabayı üstlenecek zamanı ve personeli yok. Ve şirketinizin sisteminin bir kez daha denetlenmesini gerektirecektir. Ancak şirketlerin, üçüncü bir tarafın kendi siber güvenlik çerçevelerini NIST çerçevesiyle karşılaştırmalı olarak derecelendirmesine izin vermek için zaman ayırması durumunda, bunun bir bütün olarak siber güvenlik ortamını iyileştireceğine gerçekten inanıyorum. Şirketler, genel güvenliği korumak için neler yapılabileceği ve yapılması gerektiğine ilişkin araştırma ve tarafsız izleme yapmak için NIST’e daha fazla güvenebilir ve şirketler bu kılavuzu kolaylıkla uygulayabilir.
Sihirli Cevap Yok
Daha fazla işletmenin siber güvenlik çerçevesini sistemlerine dahil etmesi durumunda NIST’in mutlaka ortaya çıkaracağı bulmacanın sihirli, gizli bir parçası yok. Ancak işbirliğinden ve tekliflerini geliştirmek için açık kaynak kullanmaktan bahseden bir teknoloji endüstrisinde, NIST’in talimatlarını takip etmeye açık olmak umut verici görünüyor.
NIST Çerçevesini, gerçek bir yetki veya ceza olmadan bile bir gereklilik gibi ele almak ve onay damgasını son derece saygın bir sertifika olarak görmek, güvenlik sektörünün birlikte ilerlemesini sağlayacaktır.