Bu Help Net Security röportajında Virginia Tech’in CISO’su Randy Marchany, farklı büyüklükteki kuruluşlarda CIS Kontrollerinin uygulanmasıyla ilgili zorlukları ve stratejileri tartışıyor.
Marchany, üst düzey yönetim desteğini güvence altına almanın, veri silolarını ortadan kaldırmanın ve projenin tamamlanması için gerçekçi zaman çizelgeleri belirlemenin önemini araştırıyor. Tartışma aynı zamanda envanter yönetimi için temel kontrollerin önceliklendirilmesini, uygulama etkinliğini ölçmek için ölçümlerin kullanımını ve CIS Kontrollerinin farklı organizasyonel ölçekler için uyarlanmasını da vurgulamaktadır.
Kuruluşların CIS Kontrollerini uygularken karşılaştığı en yaygın zorluklar nelerdir ve bunlar etkili bir şekilde nasıl ele alınabilir?
En büyük zorluk, CIS Kontrolleri uygulama projesini yetkilendirmek ve desteklemek için üst düzey C düzeyindeki yönetimin sağlanmasıdır. Uygulama ekibinin/ekiplerinin a) belirli bir kontrolü uygulamak için hangi verilere ihtiyaç duyulduğunu belirlemeleri, b) organizasyon içinde bu verilere erişimi kontrol eden birimi bulmaları ve c) bu bilgileri bu birimlerden almaları gerekir.
Ekip(ler) bu verilerin bir kopyasını alırken bazı bürokratik dirençlerle karşılaşabilir ve bu nedenle C düzeyinde destek çok önemlidir. Diğer bir zorluk ise projenin tamamlanması için uygulanabilir bir zaman çizelgesinin belirlenmesidir. Bu, organizasyonun büyüklüğüne göre değişen, uzun vadeli, 3-5 kişilik bir çalışmadır. Küçük şirketlerin genellikle projenin tamamlanma tarihini belirlerken büyük şirketlere göre bir avantajı yoktur. Bunun bir nedeni, daha küçük kuruluşların, doğaları gereği, zamanları zaten büyük oranda başka projelere ayrılmış olan daha küçük BT ekiplerine sahip olmasıdır.
Çoğu kuruluşta ihtiyaç duyulan bilgilerin bir kısmı zaten mevcuttur. Buradaki zorluk, bu veri unsurlarını bir doğruluk kaynağında birleştirmek için veri “silolarını” kırmaktır.
CIS Kontrolleriyle başlayan kuruluşlar hangi kontrollere öncelik vermeli ve neden?
CIS, kontrollerin uygulanması için belirli bir sıra önermese de donanımınızı, yazılımınızı ve en önemlisi hassas veri envanterlerinizi belirleyen 1-3 numaralı kontrollerle başlamanızı öneririm. Üç kontrol aşağıdaki gibi soruları yanıtlamanıza yardımcı olur:
- Bir IP adresi verildiğinde 5 “W” sorusunu cevaplayabilir miyiz?
- Varlık nerede bulunuyor?
- Bu varlık tarafından hangi yazılım ve veriler depolanıyor ve/veya işleniyor?
- Varlığın bakımından, bakımından, depolanmasından ve güvenliğinden kim sorumludur?
- Varlığa nasıl erişilir ve kullanılır?
- Şirketin işleyişi açısından neden kritik?
Güvenilir bir donanım, yazılım ve veri envanteri, uygulanabilir bir güvenlik mimarisi oluşturmak için kritik öneme sahiptir.
Kuruluşların uygulanan CIS Kontrollerinin etkinliğini ölçmek için hangi ölçümleri veya göstergeleri kullanmasını önerirsiniz?
Uygulamanın durumunu gösteren bir dizi ölçüm oluşturmak için kullanabileceğiniz çeşitli değerlendirme araçları vardır. Bir değerlendirme anketi oluşturmak için ticari GRC araçlarını kullanabilirsiniz. Örneğin, kontrol 1 (Kurumsal Varlıkların Envanteri ve Kontrolü) için beş önlem vardır. Bu kontrollere yönelik bir değerlendirme soruları seti aşağıdakileri içerebilir:
- Ayrıntılı bir donanım varlık envanteriniz var mı ve bunu sürdürüyor musunuz?
- Yetkisiz varlıkları nasıl ele alıyorsunuz?
- Tüm varlıklarınızda aktif bir keşif aracı kullanıyor musunuz?
- DHCP kullanıyor musunuz?
- Donanım varlıklarınızı bulmak için pasif bir keşif aracı kullanıyor musunuz?
Bu sonuçlar CIS kontrollerine göre mevcut durumunuzu gösterir.
CIS Kontrolleri küçük işletmelerden büyük işletmelere kadar farklı büyüklükteki kuruluşlara nasıl uyarlanabilir?
BDT, büyüklüğü ne olursa olsun herhangi bir şirket tarafından uygulanması gereken minimum kontrol önlemlerini tanımlayan Uygulama Grupları (IG’ler) oluşturdu.
Uygulama Grubu (IG1) 1 korumaları, kuruluşların yaygın saldırılara karşı savunma yapmak için uygulaması gereken minimum adımlardır. IG1’de 56 adım vardır.
Orta ölçekli işletmelerde IG1 adımlarına ek olarak IG2 önlemleri (56) uygulanmalıdır. En büyük işletmeler IG3 adımlarını uygulamalıdır (23). CIS Kontrollerini tam olarak uygulamak için toplam 153 adım vardır. IG2, IG1’i içerir ve IG3, IG1 ve IG2 adımlarını içerir.
CIS Kontrolleri diğer siber güvenlik çerçeveleri ve standartlarıyla nasıl entegre olur?
BDT Kontrolleri çeşitli ulusal ve uluslararası çerçeveler ve standartlarla eşleşir. NIST 800-53a Rev 5 Orta/Düşük, NIST 800-171, PCI 4.0, Avustralya Sinyal Müdürlüğü’nün Essential Eight’i, UK NCSC Cyber Essentials v.2.2, CMMC 2.0, HIPAA, NERC-CIP, COBIT 5, SWIFT standartlar arasında yer almaktadır. CIS Kontrolleriyle eşleşebilir.
Devamını oku: Bilmeniz gereken 10 siber güvenlik çerçevesi