Bu yardımda net güvenlik görüşmesinde, CISO ve ARMIS baş savunuculuk görevlisi Curtis Simpson, CISO’ların Gölge BT risklerini yönetirken güvenlik ve yeniliği nasıl dengeleyebileceğini tartışıyor. Kısıtlayıcı politikalara odaklanmak yerine, onaylanmamış araçlar için güvenli alternatifleri tanımlamak için iş liderleriyle proaktif ortaklıkların teşvik edilmesi esastır.
Simpson ayrıca ortak yanlış anlamaları, güvenlik uygulamalarını ve AI ve otomasyonun varlık görünürlüğünü sağlamadaki rolünü de tartışır.
CISOS, Gölge BT söz konusu olduğunda güvenliği ve yeniliği nasıl dengelemelidir?
Güvenlik ekipleri, kısıtlayıcı bir yaklaşım benimsemek yerine, gölgeyi yönlendiren ihtiyaçları anlamak ve güvenli, uyumlu alternatifleri belirlemek için iş liderleriyle yakın bir şekilde çalışmalıdır. Proaktif güvenlikten kaynaklanan bir modeli kucaklayarak, kuruluşlar güçlü bir güvenlik duruşunu sürdürebilir ve çalışanların güvenli bir şekilde yenilik yapmasına izin verebilir.
Gölgenin önüne girmenin ve tanıtabileceği potansiyel risklerin çoğunu azaltmak için en etkili araçlar, teknoloji ekiplerini içermeden en büyük olasılıkla veya en yaygın olarak uygulama olan ekipler içinde merkezi temas noktalarına sahip düzenli operasyonel temas noktalarını içerir.
Bu temas noktaları, İK, finans ve satışlar gibi iş ortaklarının karşılaştığı zorluklara ve teknoloji organizasyonlarının (örneğin CIO, CTO veya CISO ofisi) bu zorlukları kendi adına çözme potansiyeline odaklanmalıdır. “Siz olmanız ya da yapmamalıyım” yerine “nasıl yardım edebilirim” yerinden konumlandırıldığında, teknoloji liderleri gerçek ortaklıkların oluşmasına izin verecek ve iş ortaklarına yardım etme fırsatları bulurken, aynı zamanda teknoloji ile ilgili gündemleri paralel olarak ilerleteceklerdir.
Oradan, CISOS ve CIO’ların iş ortamına tam görünürlük sağlayan yetenekleri, kullanılan teknolojileri ve özellikle bu tür teknolojilerde önemli olmayan riskler getiren gelişmeleri sağlayan yetenekleri korumaları da önemlidir. Çalışanlar her zaman verimliliği artırmak için yeni uygulamalar ve araçlar arayacaktır, ancak bu yönetilmeyen varlıklar uygun gözetim ve kontroller olmadan risk getirebilir. Bu nedenle CISOS proaktif bir yaklaşım benimsemeli ve ekiplerinin teknoloji manzarasına gerçek zamanlı görünürlüğe sahip olmasını ve önemli iş yeteneklerine ve hizmetlerine yönelik riski artıran değişiklikleri sağlamalıdır.
Buna ulaşmak, çevredeki tüm varlıklara bağlamsal görünürlük sağlayan ve iş etkisi potansiyeline dayanan en önemli riskleri tanımlama ve önceliklendirme yeteneğini kolaylaştıran süreçlerin ve teknolojinin benimsenmesi anlamına gelir. Gölge BT öğeleri, gerçek riskleri getiren, CISO’lar ve ekipleri, ek kontroller yoluyla bu tür riskleri en iyi nasıl azaltacağını veya işletmeyi aynı iş sonuçlarını sağlayan desteklenen çözümlere yönlendirebileceğini ve/veya tüm tarafların gereksinimlerini karşılamak için mevcut yetenekleri artıracağını belirleyebilir.
Bütün bunlar sadece mümkün olmakla kalmayıp, tüm endüstrileri ve büyüklükleri kapsayan günümüzün işletim ortamlarının çoğunda çok fazla faaliyete geçiyor.
Yönetici liderlik arasında Gölge BT riski ile ilgili en büyük yanılgılar nelerdir?
Yöneticiler arasındaki en büyük yanılgılardan biri, Gölge’nin göz ardı edilebilecek küçük, içerdiği bir konudur. Gerçekte, çoğu kuruluş, sadece ağlarının içerdiği hakkında tam bir anlayışa sahip olmadıkları için, çevrelerindeki yönetilmeyen ve yetkisiz varlıkların ölçeğini önemli ölçüde hafife almaktadır. Sürekli izleme olmadan, bu gizli varlıklar – SaaS uygulamaları, IoT cihazları veya onaylanmamış bulut yazılımı olsun – büyük güvenlik kör noktaları oluşturabilir.
Bir başka yaygın yanlış anlama, çalışanların sadece politikaya aykırı olduğu için gölgeden kaçınacağıdır. Ancak gerçekte, çalışanlar, genellikle ilgili güvenlik risklerinden habersiz, üretken kalmak için onaylanmamış araçlara yönelir. Yetkisiz uygulamaları engellemek de her zaman cevap değildir – çalışanları daha riskli geçici çözümlere yönlendirebilir. Bunun yerine, kuruluşlar gölgeyi dinamik olarak izlemek ve yönetmek için gerçek zamanlı varlık zekasına ihtiyaç duyar ve güvenlik ekiplerinin yeniliğe izin verirken riskleri azaltmasına izin verir.
AI ve otomasyonun varlık görünürlüğü ve gölge BT yönetiminde rol oynadığını nasıl görüyorsunuz?
Yapay zeka ve otomasyon, gerçek zamanlı keşif, risk değerlendirmeleri ve yanıt vererek varlık görünürlüğünü ve gölge BT yönetimini dönüştürmektedir. AI, manuel süreçlere güvenmek yerine, tüm ağı sürekli olarak tarar – hem yetkili hem de yetkisiz varlıkları belirleme, risk düzeylerini değerlendirme ve potansiyel tehditlere dayalı düzeltmeye öncelik verme.
AI beyin olarak hareket eder, kalıpları ve riskleri analiz ederken, otomasyon vücuttır – sorunları derhal işaretlemek ve güvenlik politikalarını tırmanmadan önce tehdit içerecek şekilde uygulamak. Bu proaktif yaklaşım, güvenlik ekiplerinin her zaman saldırı yüzeyleri hakkında kapsamlı, güncel bir görüşe sahip olmalarını ve çalışanların dikkatini en az etkili ve makineler tarafından yönetilen çalışmalara gerçekten odaklayabilmelerini sağlar. Çoğu zaman, bu, personelin riskli davranışlar ve araçlar yoluyla çözmeye çalıştıkları sorunlar hakkında işle daha iyi uyum sağlamasını sağlamak anlamına gelir.
Gölge söz konusu olduğunda, AI güdümlü otomasyon, çevre içinde göründükleri anda yönetilmeyen cihazları ve uygulamaları tespit eder ve bayrak eder. Zengin, bağlamsal zeka – kullanıcı detayları, varlık sınıflandırması ve ağ davranışı ve ilişkileri gibi – AI, güvenlik ekiplerinin sadece ağlarında ne olduğunu değil, aynı zamanda bu varlıkların nasıl etkilediğini anlamalarına yardımcı olabilir. Akış aşağı ve AI keşfi ve tanımlama yeteneklerinin etkili kullanımı yoluyla elde edilen bağlam nedeniyle, otomasyon daha sonra hızlı eylem sağlar, politikaların uygulanması, yüksek riskli varlıkların karantinası veya gerçek zamanlı olarak tetiklenmesi güvenle yürütülebilir. Bu, BT ve güvenlik ekiplerinin yenilik veya iş esnekliğini boğmadan hızla hareket etmelerini ve politikaları uygulamalarını sağlar.
Gerçek risk IoT, SaaS yayılımı ve bulut varlıklarında yattığında CISO’lar geleneksel uç noktalara mı odaklanıyor?
Bilgi güvenliği portföylerindeki çözümlerin tarihsel olarak geleneksel varlıklar ve uç noktalar etrafında tasarlanmış olması nedeniyle, öncelikle geleneksel uç noktalara odaklanmak yaygın olabilir. Bununla birlikte, gerçek şu ki, siber risk IoT, SaaS yayılımı ve bulut varlıklarının çok ötesine uzanıyor – bağlantılı tüm varlıklar bir kuruluşun saldırı yüzeyine ve maruziyetlerine katkıda bulunuyor. Modern saldırı yüzeyi, hem yönetilen hem de yönetilmeyen varlıkları, sanallaştırılmış ortamları ve tedarik zinciri bağımlılıklarını içerecek şekilde genişledi ve çok daha büyük ve daha karmaşık bir risk manzarası yarattı.
İleri düşünen cisos, güvenliğin önceden tanımlanmış varlık kategorileriyle sınırlı olamayacağını kabul eder-tüm bağlı varlıkları ve etraflarındaki bağlamı kapsayan tüm siber risk maruziyetlerinin gerçek zamanlı görünürlüğünü ve proaktif yönetimini gerektirir. İleride kalmak için kuruluşlar, ekipleri gelişmekte olan taktikleri tahmin etmelerini ve bunlara karşı koymalarını sağlayan AI güdümlü güvenlik çözümlerini benimsemeli ve tehditler gerçekleşmeden önce savunmalarını güçlendirmelidir.
Kuruluşlar, çalışanların sürekli olarak yeni SaaS uygulamalarını benimsediği bir dünyada yönetişimi nasıl yeniden düşünmelidir?
Kuruluşların katı yönetişim modellerinden daha dinamik ve proaktif riske dayalı bir yaklaşıma geçmesi gerekmektedir. Yapay zekanın hakim olduğu bir dünyada, çalışanlar üretken kalmak için yeni SaaS uygulamaları sunmaya devam edecekler, yani onları tamamen ortadan kaldırmak gerçekçi değil.
Bunun yerine, kuruluşlar çoğunlukla bir kuruluş içindeki güvenlik, uyum ve gizlilik risklerini olumlu veya olumsuz etkilemesi muhtemel ekipler ve paydaşlarla düzenli hizmet odaklı ortaklıklar ve kadanslar kurmaya odaklanmalıdır. Bu, çevrelerine sürekli, bağlamsal ve kapsayıcı görünürlük sağlayan modern yeteneklerin kurulmasına ek olarak.
En etkili güvenlik programları, tüm kuruluşun dijital ekosisteminin temel ve sürekli anlayışı ile başlar. Oradan, güvenlik ekipleri kapsamlı bir güvenlik programının faydalarını elde etmek için katmanlayabilir-proaktif ve iş odaklı tehdit haritalama, tehdit ve etkiye dayalı güvenlik açığı önceliklendirmesi, cerrahi olarak önceliklendirilmiş azaltma ve iyileştirme çabaları ve ötesi. Etkili yönetişim bir ‘ayarlayın ve unutun’ süreci değildir. Sürekli düşünce ve adapte olma istekliliği gerektirir.