Johnson & Johnson’da uzun süredir bilgi güvenliği uzmanı olan Mike Wagner, Fortune 100 şirketinin güvenlik yaklaşımının ve güvenlik yığınının şekillendirilmesine yardımcı oldu. Wagner kısa süre önce, daha önce J&J’nin tüketici sağlığı bölümü olan, J&J’nin bir yıllık yan kuruluşu Kenvue’nun ilk CISO’su oldu. Bu görevinde, J&J’nin en iyi yönlerini, yeni bağımsız şirkete uygun, verimli ve modern bir yaklaşımla birleştirmeyi hedefliyor.
Wagner, “Maksimum güvenlikle birlikte modern ve uygun maliyetli bir mimari oluşturmak istedik” diye açıklıyor.
İlk adım, etkili bir güvenlik programı oluşturmak için gereken anahtar rolleri tanımlamaktı. Buna araçları uygulayacak mimarlar ve mühendisler de dahildi; güvenli kimlik doğrulamayı etkinleştirmek için kimlik ve erişim yönetimi (IAM) uzmanları; güvenliği iş öncelikleriyle uyumlu hale getirmek için risk yönetimi liderleri; olaylara müdahale için güvenlik operasyon personeli; ve her siber fonksiyon için özel personel.
Yeni oluşturulan siber ekip, siber mimarinin maksimum etkinliğini ve gelecekte ölçeklenebilirliğini sağlamak için makine öğrenimi ve yapay zekayı entegre etmek istediğini biliyordu. Bu dahil IAM’yi otomatikleştirmeOtomatik anketler aracılığıyla tedarikçi değerlendirmelerini kolaylaştırmak, Davranış analizi için yapay zekave tehdit algılamayı iyileştirmek için makine öğrenimini kullanma.
Hangi Siber Araçlar Saklanmalı ve Hangileri Değiştirilmeli
Temel hususlar netleştikten sonra, bir sonraki adım hangi araç ve süreçlerin J&J’den alınacağını ve hangilerinin değiştirilmesi gerektiğini seçmekti. J&J’nin siber güvenlik mimarisi sağlam olsa da onlarca yıllık satın almalar sonucunda oluşturulan sistemlerden oluşan bir parça parçaydı.
Wagner’in ekibi, neyin tutulacağını ve neyin değiştirileceğini belirlemek için önce J&J’nin araçlarının envanterini çıkardı, bunları Kenvue’nin işletim modeliyle eşleştirdi ve Kenvue’nin ihtiyaç duyacağı yeteneklere sahip olanları seçti. Çoğu durumda ekip, J&J’nin güvenlik araçlarının ihtiyaç duyulan daha küçük yan üründen daha tam özellikli olduğunu buldu. Diğer durumlarda J&J’nin teknolojisi kopyaydı. Bazılarında ise mevcut J&J teknolojisi uygun fiyatlı değildi veya Kenvue’nun misyonu için maksimum güvenlik kapsamını sağlayamıyordu.
Bazen de mesele J&J’nin güvenlik mimarisinin ne kadar iyi entegre olduğuyla ilgiliydi.
Wagner, “Uç nokta tespiti ve yanıtı (EDR) gibi bir şeyi ele alın” diyor. “Zaman içinde farklı satın almalar nedeniyle J&J’nin bu görevi gerçekleştirmek için uç noktada iki ila üç yazılım parçasına sahip olabileceği yerlerde, bunu daha modern bir çözümde birleştirdik.”
Her bir güvenlik işlevi türü için nihai kararlar aynı zamanda bağımlılıkların sayısına ve türüne de bağlıydı. Örneğin, uygulamalar IAM’e bağımlı olma eğilimindedir; bu da Kenvue’nun şimdilik J&J’nin IAM sistemlerine sadık kalacağı anlamına geliyordu. Ancak zamanla Wagner daha modern bir IAM sistemine geçmeyi planlıyor.
Sonunda Kenvue, teknoloji yığınının yaklaşık yarısını J&J’den almayı seçti.
S&P Global Market Intelligence’ın 451 Araştırma Bilgi Güvenliği kanalı araştırma direktörü Scott Crawford, neyin tutulacağını ve neyin değiştirileceğini seçmenin zor olabileceğini belirtiyor. Ancak tipik olarak bu, aracın işlevselliğinin ve yeni şirketin mimarisine daha iyi uyum sağlayabilecek diğer seçeneklerle ne kadar iyi uyum sağlayacağının tartılmasıyla ilgilidir. Bazı durumlarda yeni yatırımlar gerektirebileceğini, diğerlerinde ise abonelik veya lisans koşullarının bölünme maliyetlerinin bir parçası olarak belirlenmesi gerekebileceğini söylüyor.
Doğru İnsanlar Birlikte Çalışıyor
Wagner’in karşılaştığı bir diğer zorluk da siber ekibi için doğru uzmanlık kombinasyonunu bir araya getirmekti. Mevcut J&J çalışanlarının yeteneklerini harici adaylarla birlikte değerlendirdikten sonra, derin iş bilgisine sahip eski J&J çalışanları ile modern teknik ve siber becerilere sahip yeni işe alınanlardan oluşan bir kombinasyon seçti. Bunlar arasında savunma kontrollerini uygulayacak mimarlar ve mühendisler, IAM uzmanları, risk yönetimi liderleri ve SecOps personeli yer alıyordu.
Wagner ayrıca ekibine bir tür personel daha eklemeyi seçti: iş bilgi güvenliği görevlileri (BISO)Siber organizasyon ile farklı iş birimleri arasında aracı görevi gören. Wagner, BISO rolünün ekibinin başarısı açısından kritik öneme sahip olduğunu söylüyor.
“Yenilikleri, gittiği yönü ve işin güvenli bir şekilde ilerlediğinden nasıl emin olabileceğimizi araştırmaya odaklanıyorlar” diye açıklıyor.
Araçlar ve ekip hazır olduğunda, son zorluk, geçiş sırasında hem J&J hem de Kenvue için güvenliği sağlamaktı. Her şeyin yolunda gitmesini sağlamak için J&J liderlerinin, Kenvue liderlerinin ve tedarikçilerin dahil olduğu günlük toplantılarla farklı işlevler arasında sürekli iletişim kurulması gerekiyordu.
Temel atıldığında Kenvue’nun güvenlik ekibi sorunsuz bir şekilde çalışıyor ancak Wagner yapılacak daha çok şey olduğunu söylüyor. Daha sonra sıfır güvenin benimsenmesi ve teknik kontrollerin geliştirilmesi dahil olmak üzere modern güvenlik stratejilerine yönelmeyi planlıyor.
Crawford, siber güvenlik programlarını geliştirmeye devam etmenin uzun vadede ölçeklenebilirlik ve uyarlanabilirliği sağlamaya yardımcı olmak açısından kritik öneme sahip olduğunu söylüyor. Bu, çok yüksek miktarda veriyi hızlı ve uygun ölçekte işlemek için otomasyondan daha fazla faydalanmak anlamına geliyor. “Ölçek ve ayrıntı düzeyindeki sorunları ele almak için otomasyonun daha da güvenilir hale gelmesi gerekecek” dedi. “İleri görüşlü CISO’lar şüphesiz bu fırsatları ciddiye alıyor.”