BT güvenliği alanında her şeyi önemsemeliyiz. Ne kadar küçük olursa olsun herhangi bir sorun, uzaktan kod yürütme aracı haline gelebilir veya en azından tehdit aktörlerinin karadan geçinip kendi araçlarımızı bize karşı kullanmaları için bir iniş noktası haline gelebilir. BT güvenlik personelinin tükenmişlik ve stresle karşı karşıya kalması şaşırtıcı değil. Buna göre Kurumsal Strateji Grubu tarafından yapılan araştırma ve ISSA’ya göre BT güvenliği uzmanlarının yaklaşık yarısı, önümüzdeki 12 ay içinde mevcut işlerinden ayrılacaklarını düşünüyor.
Güvenlik ekipleri profesyonel olarak sorumludur ve artık baş bilgi güvenliği görevlileri (CISO’lar), Şahsen sorumlu — kuruluşlarının güvenliği için. Ancak BT ve teknolojinin diğer alanlarında tamamen farklı bir zihniyet var. Mark Zuckerberg’in mantrasından “hızlı hareket et ve bir şeyleri kır” Eric Ries’e kadar Yalın başlangıç ve minimum uygulanabilir ürün (MVP) modelinde, bu alanlardaki düşünce hızlı hareket etmek ama aynı zamanda kuruluşun ilerleyebilmesi ve gelişebilmesi için yeterli olanı sunmaktır.
Artık BT güvenlik ekipleri bu modeli benimseyemiyor. Dikkate alınması gereken çok fazla düzenleme var. Ancak minimum uygulanabilir uyumluluk (MVC) ile ilgili zihinsel bir egzersizden ne öğrenebiliriz ve bu bilgiyi yaklaşımımızda bize yardımcı olması için nasıl kullanabiliriz?
MVC Neleri İçerir?
MVC, etkili bir şekilde güvenli olmak için gerekenlerin karşılanmasını içerir. Bunu başarmak için, neyin mevcut olduğunu ve neyin güvende tutulmasının kritik olduğunu ve hangi kurallara veya düzenlemelere uyduğunuzu göstermeniz gerektiğini anlamalısınız.
Varlık yönetimi için ideal olarak kurduğunuz tüm varlıkları bilmeniz gerekir. Bu düzeyde bir gözetim olmadan kendinizi nasıl güvende sayabilirsiniz? Bir MVC yaklaşımı için sahip olduklarınıza ilişkin %100 bilgiye mi ihtiyacınız var?
Gerçekte, konfigürasyon yönetimi veritabanları (CMDB’ler) gibi varlık yönetimi projeleri şunları sağlamayı amaçlamaktadır: BT varlıklarına ilişkin tam görünürlükancak bunlar hiçbir zaman %100 doğru değildir. Geçmişte varlık doğruluğu %70 ila %80 civarında seyrediyordu ve günümüzün en iyi dağıtımları bile tam görünürlük elde edemiyor ve bunu orada tutamıyor. Peki MVC bütçemizi bu alana mı harcamalıyız? Evet, ama tam olarak geleneksel olarak düşünebileceğimiz şekilde değil.
Bir CISO yardımcısı bana tam haber alma idealini anladığını ancak bunun mümkün olmadığını söyledi; bunun yerine kuruluşun kritik altyapısının (toplam varlıkların yaklaşık %2,5’i) tam ve sürekli görünürlüğünü önemsiyor, diğer iş yükleri ise mümkün olduğunca sık takip ediliyordu. Bu nedenle, BT güvenlik programları için görünürlük hâlâ gerekli bir unsur olsa da, öncelikle en yüksek riskli varlıkların korunmasına yönelik çaba gösterilmelidir. Ancak bu kısa vadeli bir hedeftir, çünkü düşük riskli bir varlığın yüksek riskli bir varlığa dönüşmesine yalnızca tek bir güvenlik açığı açıklaması kadar uzaktasınız. Bu süreçten geçerken uyumluluğu güvenlikle karıştırmayın; bunlar aynı şey değildir. Uyumlu bir işletme güvenli olmayabilir.
Mevzuat Planlama
MVC’nin bir parçası olarak düzenlemeleri ve bunlara nasıl uyacağımızı düşünmeliyiz. Güvenlik ekipleri için zorluk, bu kurallar etrafında nasıl ileriyi düşünecekleridir. Tipik yaklaşım, mevzuatı almak, ardından uygulamalarımızın neresinde geçerli olduğunu görmek ve ardından sistemlerde gerektiği gibi değişiklikler yapmaktır. Ancak bu, her yeni düzenleme getirildiğinde veya önemli bir değişiklik yapıldığında değişimi ve dolayısıyla masrafı içeren, oldukça dur-başla yaklaşımı olabilir.
Ekiplerimiz için bu süreci nasıl kolaylaştırabiliriz? Her bir düzenlemeye ayrı ayrı bakmak yerine, ilgili düzenlemelerde ortak olan noktalara bakıp bunu hepsine uygun olarak gereken iş miktarını azaltmak için kullanabilir miyiz? Sistemleri uyumlu hale getirmek için ekibi büyük alıştırmalara tabi tutmak yerine, altyapıyı güvenli bir şekilde sağlamak için neyi kapsam dışına çıkarabilir veya hizmet olarak kullanabiliriz? Benzer şekilde, her soruna ayrı ayrı bakmak yerine, tüm sorun kümelerini ortadan kaldırmak için bulut kontrolleri gibi yaygın en iyi uygulamaları kullanabilir miyiz?
Bu yaklaşımın temelinde güvenlikle ilgili yükü azaltmamız ve işletmelerimiz için en büyük riskleri temsil eden şeylere yoğunlaşmamız gerekiyor. Belirli teknolojiler hakkında düşünmek yerine, bu sorunları süreç ve insan sorunları olarak inceleyebiliriz çünkü piyasa ilerledikçe düzenlemeler her zaman gelişecek ve değişecektir. Bu zihniyeti benimsemek, güvenlik planlamasını kolaylaştırır, çünkü gerçekte sorunun ne olduğuna dair pratik risk terimleri yerine, CVE’lere ve tehdit verilerine bakmak için süreçler oluşturulduğunda ekiplerimizi rahatsız edebilecek bazı ayrıntılara takılıp kalmaz.
Pazar taleplerini karşılamak veya bir dizi kuralı geçirmek için gereken minimumu yapma fikri, görünüşte çekici olabilir. Ancak MVP’nin zihniyeti sadece belirli bir seviyeye gelip oraya yerleşmek değildir. Bunun yerine, bu minimum standarda ulaşmak ve ardından durumu daha da iyileştirmek için mümkün olduğunca hızlı bir şekilde yinelemekle ilgilidir. Güvenlik ekipleri için sürekli iyileştirme ve riski azaltmanın yollarını arama zihniyeti, geleneksel BT güvenlik modeline faydalı bir alternatif olabilir. Hangi iyileştirmelerin en kısa zaman diliminde en fazla risk etkisi yaratacağına odaklanarak, etkinliğinizi artırabilir ve genel olarak riski azaltabilirsiniz.