Bilgi güvenliği politikaları, günümüzde önemli ölçüde büyük bir organizasyon için temel bir gerekliliktir ancak çoğu zaman hazır politikaları tanımlayan onay kutusu listelerinden oluşan bir karmaşadır. CISO’lar artık bir güvenlik politikası belgesinin yalnızca anlaşmaları kazanmak için bir referans veya bir denetim sürecinden geçmek için bir geçiş belgesi olarak öneminin farkındadır. İyi bir politika belgesi en iyi uygulamaları yönlendirebilir, tutumları keskinleştirebilir ve gerçek değer katabilir.
Ortalama bir güvenlik politikası belgesi, üzerine yazıldığı kağıttan biraz daha değerli olabilir, ancak aynı derecede sıkıcı da olabilir. Genellikle standart bir şablon kullanılır ve ton, teknik konuşma ve hukuk diline doğru eğilim gösterir. Çok az kişi bunları düzgün okur ve ilgili bilgiler kolayca keşfedilemez.
Tüm gerekli materyalleri bir araya getirmek zor olabilir. Unit4’ü ele alalım. Bir zamanlar, birleşmeler ve satın almalar yoluyla güvenlik yönergelerine yönelik çeşitli yaklaşımlar biriktirmiş olan diğer büyük ve büyüyen kuruluşlarla karşılaştırıldığında muhtemelen o kadar da istisnai olmayan birden fazla ve farklı politikaları vardı. ISO27001 ve diğerleri gibi standartlara uyum yaklaşımı iyi yapılmıştı, ancak farklı bir şekilde, çünkü kuruluşun farklı bölümlerinin sınırlı kapsamla kendi sertifikaları olacaktı ve bu da karmaşık bir duruma yol açacaktı. Ancak, yol boyunca işbirliği ve iyi niyetle, ekibim sertifika kapsamlarını basitleştirip birleştirerek mümkün olduğunca sade İngilizce ile 21 özlü politika noktasına ulaşabildi. Her kapsam, bilgilerin hızlı bir şekilde bulunup anlaşılmasını sağlayacak şekilde tasarlanmış küresel liderlik ekibinden bir sponsor tarafından desteklendi.
Oluşturduğumuz şey siber güvenlik politika belgeleri için mantıksal bir yapıdır. Bunlar, Politikaların istenen sonuçlarına nasıl ulaşılacağına dair yönergelerle desteklenen verimli süreçler, prosedürler, standartlar tarafından desteklenen Unit4’ün küresel stratejisiyle uyumludur. Diğer kuruluşlar risk iştahlarına ve toleranslarına göre farklı bir yaklaşım benimseyebilir. Bazıları sektöre, kültüre ve diğer faktörlere bağlı olarak diğerlerinden daha fazla risk kabul edecektir: örneğin, Ar-Ge güç kullanıcılarına yeni teknolojileri keşfetmeleri için daha fazla dizgin veriyoruz çünkü inovasyon kültürümüz ve müşteri başarısını sağlamak için kritik öneme sahiptir.
Ancak kuruluş ne olursa olsun, Bilgi Güvenliği Çerçevesi, temel güvenlik politikası ve destekleyici belgeler kritik öneme sahiptir. Güvenliğe yönelik tutumu, yönetim süreçlerini ve insanların bir şeyler olduğunda veya bir uzmana danışmaları gerektiğinde nereye gideceklerini gösteren basit bir haritayı ortaya koyar. Benzer şekilde, liderlerin personeli eğitmek, bilgi yaymak ve işler ters gittiğinde tırmanma planları uygulamak için araçları olmalıdır.
Bu yolculuk boyunca, güvenlik politikalarını uyumlu hale getirme konusunda bazı dersler çıkardık ve bunlardan bazılarını sizinle paylaşmak istedim:
Bir yetkiden daha fazlası
Elbette, bir politika belgesinin bir organizasyonun yasal taleplere, standartlara veya düzenleyici zorunluluklara nasıl uyduğunu göstermesi gerekir… ancak bu onu sıkıcı hale getirmez. Güçlü bir güvenlik politikasının, bu talepleri karşılanma biçimlerine bağlamak için destekleyici yönergeleri, süreçleri ve prosedürleri olmalıdır. Tüm belgeler okunabilir bir biçimde sunulmalı ve vergi beyannamesi gibi dosyalanmak yerine gerçek dünyada uygulanabilir olmalıdır.
ISO9001 veya ISO27001 gibi standartlar önemlidir, ancak bir organizasyonun bunlara uyduğunu söylemek politika belgesinin her şeyi ve sonu değildir. Bilgi Güvenliği Yönetim Sistemi, onu uygulayan işletmeye gerçek değer katmalıdır.
Sertifikasyon kritik öneme sahiptir ancak iyi yapılandırılmış ve ifade edilmiş bir politika belgesinde, aldığınız eylemlerin otomatik bir sonucu olmalıdır. Bu nedenle, bir politika belgesi, istenen sonuçlara giden bir rehber ve iyi fikirleri uygulama aracı olarak görülmelidir.
Böl ve fethet
İnsan faktörüyle başlayın. Herkese uyan tek bir yaklaşım olmamalıdır. Bir organizasyonda çeşitli bilgi seviyeleri ve uzmanlık alanları ve ayrıca bireylerin bilmesi gereken farklı bilgi türleri olacaktır. Bu nedenle, politikaların bölümlere ayrılması ve aranabilir olması faydalıdır. Gerçeklerin gizlenmemesi için sade bir dil kullanılmalıdır. Bir organizasyonun şifrelemeyi nasıl yönettiği gibi karmaşık bir konu biraz daha fazla jargon gerektirebilirken, Kabul Edilebilir Kullanım Politikasının anlaşılması kolay olmalıdır.
Sadece politika yeterli olmayacak
Unit4’te süreçler, Prosedürler, standartlar ve yönergeler tarafından desteklenen genel politikalar oluşturmak istedik. Süreçler departmanlar arasıdır ve uçtan uca bir sonuca ulaşılmasını sağlamak için takip edilmesi gerekir – örneğin Unit4’teki bir çalışanın tüm yaşam döngüsünü açıklayan Joiners, Movers and Leavers (JML) Süreci. Departmanların, kod test etmek için geliştirmede kullanılanlar gibi, işleri halletmek için kullandıkları prosedürlere sahip olması gerekir. Tüm bunlar, organizasyonun insanların nasıl hareket etmesini veya bir prosedürün veya uçtan uca sürecin nasıl oluşturulacağını açıklayan yönergeler tarafından desteklenir. Bu, yaptığımız her şeyde kalite olmasını ve tüm etkileşimlerin güvenli bir şekilde yapılmasını sağlar.
Yaşayan dokümantasyon
Belgeler, sürekli iyileştirme ilkeleri doğrultusunda, uygun şekilde ve her şey değiştikçe güncellenmelidir. Örneğin, Unit4, yapay zekanın uygun kullanımı için yeni politikalar ve yönergeler uygulamaktadır. Bazı popüler araçların gerektirdiği güvenlik haklarını inceledikten ve bazılarının eksik olduğunu gördükten sonra, güvenli olmayan araçlara erişimi kısıtlamak için politikalarımızı hızla geliştirdik. Ve elbette, bir politika, olayların kaydedildiğinden ve planların yürürlüğe konduğundan emin olmak için sürekli izleme süreçleriyle desteklenmelidir – bu, dahili denetim sürecimiz tarafından yapılır. Bu nedenle, üç ayda bir kimlik avı testleri gerçekleştiriyoruz ve personelimizin yüzde beşinden azının yakalandığını ve kendilerine takip eğitimi verildiğini biliyoruz.
Yenilik yapmaya devam edin
Politika, insanlara ne yapıp ne yapamayacakları konusunda tavsiyelerde bulunmak, çalışanların kullandıkları araçlarda kuralları uygulamak ve bunların uygulanmasını sağlamak ve daha sonra yalnızca gerekli olduğunda bireysel olarak müdahale etmek için kullanılabilir. Ancak CISO’lar olarak her zaman yenilik yapmaya çalışmalıyız. Teknolojiler artık kullanılabilir hale geldiğinden, insan hatasının kapsamını azaltmak ve güvenlik stratejilerinin optimum performansını sağlamak için mümkün olan her yerde otomasyonu sağlama misyonunda olmalıyız.
Güvenlik politikası belgesini düzenleyici bir taahhüt veya angaryadan daha fazlası olarak değerlendirdiğinizde, aslında rekabetçi farklılaşma için bir silah olduğunu keşfedebilirsiniz. Belki de o belgeyi bulup yeni bir bakış açısıyla incelemenin zamanı gelmiştir.
Reklam