YORUM
Sıfır güveni uygulamak istediğinizi bilmek ve aslında bunu uyguluyor iki farklı şeydir. Bunun en azından bir nedeni var çünkü sıfır güven, kişinin kurup vazgeçebileceği tek bir çözüm değil. Daha ziyade BT ve güvenliğe yönelik bir yaklaşımdır. her bağlantının doğrulanmasını vurgularİster kullanıcıdan uygulamaya, ister uygulamadan uygulamaya, ister işlemden işlenmeye olsun. Ancak avantajları açık: azaltılmış saldırı yüzeyi; Saldırganların ağ üzerinde yanal hareketi engellenir; ve herhangi bir kurumsal kaynağa her erişim, istek başına esasına göre verilir.
Kısacası: Asla güvenme, her zaman doğrula.
Sıfır güven gibi büyük bir girişimle ilgili zorlukların çoğu Bunlar teknik sorunlar değil, daha çok değişime yön vermekle ilgilidir. Bu yaklaşımı benimsemenin dikkatle değerlendirilmesi gereken önemli kişilerarası ve organizasyonel bileşenleri vardır. Kariyerim boyunca – en son GE ve Synchrony Financial’ın baş teknik sorumlusu (CTO) olarak – yapay zeka, bulut ve tabii ki sıfır güven de dahil olmak üzere pek çok “büyük proje” üzerinde çalışma fırsatı buldum. Aşağıda, kuruluşunuzdaki önemli paydaşları etkileyerek siber alanda kazanmanızı sağlamaya yönelik en önemli ipuçlarımdan bazıları yer almaktadır.
Beş Kolay Adımda Siberde Nasıl Kazanılır?
1. Organizasyonel Ortaklık
Sıfır güven bir takım sporudur. Sıfır güven dönüşümünü başarılı bir şekilde yürütmek, ilgili tüm kişilerin anlaşılmasını ve amaçlanan sonuçlara göre uyum sağlanmasını gerektirir.
-
CTO altyapıya odaklanır: tasarım, bakım, konfigürasyon, yürütme ve teknoloji stratejisi.
-
Baş bilgi güvenliği sorumlusu (CISO), güvenlik stratejisini, güvenlik uygulamasını ve izlemeyi bilir ve bunlara sahiptir.
-
Bilişim şefi (ClO), organizasyonun teknolojilerine ve uygulamalarına odaklanır ve dönüşümün ve günlük operasyonların insanları ve süreç yönünü denetler.
-
Risk lideri, teknoloji grubunun kuruluşa ve son kullanıcıya yönelik tüm riskleri karşıladığını doğrular.
CTO ve CISO’yu sıfır güven ortak hedefi doğrultusunda bir araya getirmek ve ardından risk liderini yolculuğa davet etmek, başarınızda büyük bir adımdır. Bu liderlerin CIO ile ritmini oluşturmak hepsini bir araya getiriyor. Bu roller kuruluşunuzda biraz farklı olabilir, ancak her bir paydaşın rolünü anlamak ve proje başlamadan önce bunları birbirine bağlamak çok önemlidir.
2. İletişim ve Yönetim Kurulu Düzeyinde Metrikler
Kilit liderler sıfır güven girişiminizin arkasında yer aldıktan sonra yönetim kurulunuzun desteğine ihtiyacınız var. Bu, uygulamayı umduğunuz temel teknolojiye ilişkin uzun ve riskli tartışmalarla gerçekleştirilmeyecektir. Bunun yerine yönetim kurulları kuruluşunuzun maruz kaldığı riskleri ve bunu nasıl yönetmeyi planladığınızı anlamak ister.
Kapsamlı bir şekilde gösterme yeteneği risk puanı çok adımlı, çok yönlü bir sıfır güven dağıtım yolculuğu olması muhtemel süreç boyunca bir temel oluşturmak ve ilerlemeyi raporlamak için güçlü bir varlıktır. Bu puanı belirledikten sonra, ortamınızdan gelen gerçek dünya verileriyle desteklenen olgunluğu göstermek için girişiminizin her aşamasında bu puanı tekrar gözden geçirmeye devam edin.
3. Aşamalı Dağıtım Planı
Sıfır güvenden nadiren düz bir çizgide ilerleyen bir yolculuk olarak bahsetmemiz tesadüf değil. Dönüşüm girişimleri genellikle bir teşvike yanıt olarak başlar (örneğin, bir VPN değişiminin uygulanması veya yeni bir satın almanın mevcut BT sistemlerine dahil edilmesi) ve ardından zamanla olgunlaşır.
Ancak önemli olan bir şey var: Bireysel kullanım örneklerini kapsamlı bir dağıtım stratejisine dahil eden bir plan geliştirin. Aşamalı bir dağıtım, paydaşların bir gecede sıfır güveni “başarma” ihtiyacı hissinden kaçınmasına olanak tanır. İlk proje şüphesiz en zoru olacaktır; oradan daha kolay oluyor.
4. Pragmatik Teknik Teslimatlar
Kariyerim boyunca, kusursuz stratejik içgüdülere sahip, ancak yine de bunları pragmatik çıktılara dönüştürmekte zorlanan çok sayıda CIO ile karşılaştım. Yapay zeka, bulut veya sıfır güven gibi karmaşık, bazen belirsiz kavramlarla uğraşırken yabani otların arasında kaybolmak kolaydır.
VPN değişimi gibi taktiksel eylemlerin, çözdüğü iş sorunlarına göre çerçevelenmesi kritik önem taşıyor. VPN örneğine dönüyorum çünkü bu, güvenliği ve kullanıcı deneyimini geliştirmenin mükemmel bir örneğidir ve onu bir iş sorunu için model bir BT çözümü haline getirir. Kullanıcılar daha üretken hale gelir ve daha sorunsuz bir deneyimden yararlanır, yanal hareket fırsatı azalır ve muhtemelen maliyet tasarrufu sağlanır.
5. Temelleri Düzeltin
Kulağa basit gelebilir ama çoğu zaman gözden kaçtığını gördüğüm kritik bir nokta. Alçakta kalan meyvelerle mücadele edin, yoksa tehdit aktörleri bunu sizin için yapacaktır. Peki temel bilgiler nelerdir? Kimlik avı çoğu kuruluşun karşı karşıya olduğu bir numaralı tehdit vektörü olmaya devam etmekle kalmıyor, aynı zamanda yalnızca kuruluşunuzda bir güvenlik kültürü oluşturarak çözülebilir. Yüksek teknolojili çözümler anlamında değil, kuruluş çapında temel siber güvenlik okuryazarlığının teşvik edilmesini kastediyorum. Yapay zeka destekli bahane yaratmanın ortaya çıkışıyla birlikte bu durum yakın gelecekte daha da kritik hale gelecektir.
Sıfır güven, kuruluşunuzun güvenliğini üst düzeye çıkaracak olgun bir yaklaşımdır. Henüz başlamadıysanız veya yalnızca daha eksiksiz bir uygulama arıyorsanız, bu tavsiyeyi yararlı bulacağınızı umuyorum.
Son gelişmeleri kaçırmayın Dark Reading Gizli podcast’i, NIST’in kuantum sonrası kriptografi standartları ve siber güvenlik uygulayıcıları için sırada ne olacağı hakkında konuştuğumuz yer. General Dynamics Bilgi Teknolojisi (GDIT) ve Carnegie Mellon Üniversitesi’nden konuklar her şeyi ayrıntılı olarak anlatıyor. Şimdi dinle!