Amerika Birleşik Devletleri’nde, özellikle devlet hatlarında iş yaparsanız, muhtemelen ABD devlet veri gizlilik yasalarına uymanın ne kadar zor olduğunu bilirsiniz. Federal hükümet ve birçok ABD eyalet hükümeti, veri ihlali bildirimini ve müşterilerinizin veri gizliliğini nasıl ele aldığınız konusunda “makul” siber güvenlik kontrolleri uygulamanızı gerektirir. Ancak bu görevler, siber güvenlik çabalarınızda mantıklılık standardını nasıl karşılayabileceğinizi tartışmaz. Daha spesifik olarak, kontroller uygulama programınızı hizalayabileceğiniz çerçeveleri tanımlamazlar.
Siber güvenlikte mantıklılık konusundaki bu belirsizlik, sağlam bir siber savunma programı oluşturma çabalarınızı düzenler. Nasıl ilerleyeceğiniz konusunda netlikten yoksun, farklı ABD devlet veri gizliliği yasalarının gereksinimlerini karşılamaya çalışırken uygulama görevleriniz etrafında yanlışlıkla çaba sarf edebilirsiniz. Bu, zaman, para ve kaynaklar harcayabilir – hepsi yasaların niyetini yerine getirmeden. Bu nedenle, siber savunma programınızın bir ihlal durumunda mantıklılık standardını karşıladığını, kuruluşunuzu davalara ve diğer zararlara maruz bıraktığını gösteremeyebilirsiniz.
Bu belirsizliği gezmek için ne yapabilirsiniz?
Bu makalede, Siber Güvenlik Programınıza mantıklılık standardını karşılayan çeşitli politika unsurlarını tanımlayıp tartışacağız.
Mantıklılık politikası kontrol listenizin 7 adımı
1. Adım: Kuruluşunuzun misyonunu, paydaşlarını ve yükümlülüklerini anlayın
Siber güvenliğin bir boyutu olarak daha genel olarak, makul siber güvenlik, işletmeden işletmeye uygulanmasında değişir. Sizin için nasıl görüneceği, kuruluşunuzu benzersiz kılan şeyi yansıtacaktır. Neye benzemesi gerektiğini düşündüğünüze göre makul siber güvenlik uygulamaya çalışmayın. Bunun yerine, kuruluşunuzun misyonu, paydaşlarınızın satın alınması ve uyumluluk hedefleriniz hakkında netleşmeye zaman ayırın. Takip eden adımları nasıl yerine getireceğinizi bildirmek için bu perspektifi kullanabilirsiniz.
2. Adım: Bir Siber Güvenlik Programı Geliştirin ve Uygula
Bu adım, aşağıdakiler de dahil olmak üzere diğer birkaç destekleyici öğeyi uygulamanızı gerektirir:
- Roller ve Sorumluluklar: Kuruluşunuzda kim makul siber savunma programınızı yönetmenize yardımcı olacaktır? Bu girişimi nasıl destekleyecekler?
- İç Politika ve Uygulama Gereksinimleri: Hangi politikalar makul bir siber güvenlik programı uygulamanızı destekleyecektir? Bu politikalar kime başvuracak? Bu politikaların gereksinimlerini nasıl uygulayacaksınız?
- Personel için düzenli siber güvenlik eğitimi ve farkındalığı: Tüm çalışanlarınız için bir genel siber güvenlik farkındalığı eğitim programı kullanıyor musunuz? Yoksa birkaç rol tabanlı program mı uyguluyorsunuz? İş gücünüzle ne sıklıkla eğitim veriyorsunuz?
Adım #3: Fonlar, personel, dış kaynaklı roller ve otomatik araçlar dahil olmak üzere kaynakları belirleyin
Zaman ve çabalarınızdan en iyi şekilde yararlanmanıza yardımcı olacak kaynakları belirlemeniz gerekir. Bu, makul siber savunma programınızı büyütme momentumunu sürdürmenize yardımcı olacaktır.
CIS SecureSuite üyeliği, aşağıdaki infografikte gösterildiği gibi bu adımda ve takip edilecek adımlarla size yardımcı olabilir.
CIS SecureSuite size CIS Build kitlerine erişim sağlar. Linux/UNIX için Windows ve Bash kabuğu komut dosyaları için Grup İlkesi Nesneleri (GPO) olarak kullanılabilir CIS Build Kitleri, CIS kıyaslamalarının güvenli yapılandırma yönergelerini hızla dağıtmanızı sağlar. Bunu yaparken, CIS Build kitleri güvenli yapılandırma yönetimi programınızı otomatikleştirmenize yardımcı olur, böylece sistem sertleştirme çabalarınızı düzene sokar.
4. Adım: Endüstrinin tarafından tanınan bir siber güvenlik çerçevesini veya standardı takip edin
Makul siber savunma programınızı almak istediğiniz bir rotaya ihtiyacınız var. Bu rotayı kendi başınıza planlayabilirsiniz, ancak diğer kuruluşların bu süreçte öğrendiği önemli dersleri kaçırabilirsiniz.
Bu nedenle, CIS kritik güvenlik kontrolleri (CIS kontrolleri) ve CIS kriterleri gibi sektörde tanınan bir siber güvenlik çerçevesini takip etmenizi öneririz. Aşağıdaki bu güvenlik uygulamalarının bu setlerinin her birini keşfedelim.
CIS kontrolleri
CIS kontrolleri, siber güvenlik duruşunuzu güçlendirmek için uygulayabileceğiniz kuralcı, önceliklendirilmiş ve basitleştirilmiş güvenlik önlemleridir. Kontroller, HIPAA, NIST CSF 2.0 ve diğer çerçeveler ve düzenlemelerle eşleşen 153 bireysel eylem veya CIS korumalarından oluşur.
CIS Kıyasları
CIS kriterleri, 25+ satıcı ürün ailesinde sertleştirme işletim sistemleri, mobil cihazlar, bulut hizmet platformları ve daha fazlasını tahmini kaldırmanıza yardımcı olan güvenli önerilerden oluşur. CIS kriterleri kontrollere geri döner ve PCI DSS de dahil olmak üzere diğer bazı standartlar, kriterleri özel olarak sistem sertleştirme için etkili bir araç olarak referans alır.
Adım #5: Çerçeveye uygunluğu ölçün ve programına devam eden uyumluluğunuzu sağlamak için bulguları azaltın
CIS SecureSuite üyeliği, kontrol ve kriterleri uygulamanızı sürekli olarak değerlendirmenize yardımcı olmak için tasarlanmış faydalar, araçlar ve kaynaklarla birlikte gelir. Bu araçlar arasında CIS CSAT Pro ve CIS-CAT Pro’dur.
CIS CSAT Pro
CIS CSAT Pro ile, basitleştirilmiş bir puanlama yöntemi kullanarak CIS kontrollerini uygulamanızı izleyebilir ve önceliklendirebilirsiniz. Kontrollere karşı birden fazla değerlendirmeyi aynı anda izleyebilirsiniz ve tüm bu değerlendirmelere konsolide bir ana sayfa kullanarak erişebilirsiniz. CIS CSAT Pro, kuruluşunuzdaki uygulama görevlerini düzenleyebilmeniz için ekibinizin üyelerine farklı roller atamanızı sağlar.
Mevcut kullanıcılar ve rolleri de dahil olmak üzere bir demo kuruluşunu gösteren CIS CSAT Pro’nun bir ekran görüntüsü.
Cis-Cat Pro
CIS-CAT Pro Değerlendiricisi ile, CIS kriterlerinin güvenli önerilerine karşı sistemlerinizin ayarlarının otomatik taramalarını çalıştırabilirsiniz. Değerlendirici, sisteminizin uygunluk puanını ilgili CIS kıyaslamasına gösteren bir rapor döndürecektir. Bu rapor aynı zamanda sistemlerinizin sonuçlarını CIS kontrolleriyle eşleştirerek sistem sertleşminizin sonuçlarını siber güvenlik programınızın daha geniş bağlamında konumlandırmanıza yardımcı olacaktır.
Toplam uygunluk skoru kırmızıya dönük bir CIS-CAT Pro Değerlendirme Raporunun ekran görüntüsü.
Ek olarak, CIS-CAT Pro, sertleştirme çabalarınızın son zamanlarda etkisini grafiksel olarak göstermek için kullanabileceğiniz bir gösterge paneli bileşeni içerir. Bu bileşeni, sonuçlarınızın ilerlemesini liderlikle iletmek ve bir sonraki sertleştirme görevlerinizi planlamak için kullanabilirsiniz.
Cis çalışma tezgahı
CIS Securesuite üyeleri CIS CSAT Pro, CIS-CAT Pro ve diğer üye kaynakları CIS Workbench’ten indirebilir. Bu merkezi platform, üyelerin diğerleri arasında yukarıda tartışılan araçlara erişmelerini sağlar. Ayrıca, benzersiz ihtiyaçlarına göre bir cis kıyaslama önerilerini uyarlamalarına ve revize edilmiş belgeyi kendi kullanımları için ihraç etmelerine yardımcı olur. Son olarak, platformun kendisi dahilinde üyeler, yalnızca üyelere yönelik tartışma alanlarındaki diğer kuruluşlarla bağlantı kurabilir ve öğrenebilirler.
Adım #6: Siber güvenlik programınızda tanımlanan metodolojiye uygun periyodik risk değerlendirmeleri yapın ve bulguları azaltın
Bu risk değerlendirmelerinden en iyi şekilde yararlanmak için nicel risk analizinden yararlanmanız gerekir. Bu metodoloji, sizin ve paydaşlarınızın risk önceliklendirme konusunda daha objektif karar verme için kullanabileceği sayısal veriler sağlar. Kantitatif risk analizini kendi başınıza kullanarak değerlendirmeler yapmak her zaman kolay değildir.
CIS Risk Değerlendirme Yöntemimiz (RAM) yardımcı olabilir. CIS SecureSuite üyeliğinin dışında ücretsiz olarak sunulan CIS RAM, CIS Securesuite üyeleri de dahil olmak üzere tüm kuruluşların, siber güvenlik duruşlarını kontrollere karşı değerlendirerek bir mantıklılık standardına uymasına yardımcı olur.
Makul siber güvenliği tanımlamak için bir rehberde tartışıldığı gibi, birçok eyalet veri ihlali davalarında makul siber güvenlik güvencelerini tanımlamak için CIS RAM kullanmıştır. Bir ihlale karşı savunmada uyguladığınız önlemleri değerlendirmek için bu yöntemle proaktif bir yaklaşım benimseyebilirsiniz.
7. Adım: Siber güvenlik programınızın periyodik bağımsız değerlendirmelerini yapın ve bulguları azaltın
Son adım olarak, makul siber savunma programınızı sürekli olarak geliştirmek için dış partilerin uzmanlığını yaklaşımınıza getirmeniz gerekir. Bunu, penetrasyon testleri, güvenlik açığı değerlendirmeleri ve/veya diğer katılımlar yapmak için güvenilir kuruluşlarla çalışarak yapabilirsiniz. Bu tür hizmetler, programınızda kaçırmış olabileceğiniz boşlukları ortaya çıkarmak için kasıtlı testler kullanır.
Makul bir siber savunma programı oluşturmanın ilk adımını atın
CIS Securesuite ile makul siber savunmalarınızın kilidini açmak
Yukarıda tartışılan adımlar, siber güvenlik programınızı mantıklılık standardına hizalamanıza yardımcı olacaktır. Bu öğelerden en iyi şekilde yararlanmak için, bu öğelerin her birini ele almak, uygulamak ve sürdürmek için attığınız adımları belgelemeniz ve bu etkinlikleri tekrar eden bir temelde gerçekleştirmeniz gerekir. CIS SecureSuite, bu süreci basitleştirmenize yardımcı olabilir, size makul bir siber savunma programını geleceğe sürdürmek için ihtiyacınız olan faydalar, araçlar ve kaynaklar sağlar.
İlk adımı atmaya hazır mısınız?