Paychex Başkan Yardımcısı ve Bilgi Güvenliği Direktörü Bradley J. Schaufenbuel, The Cyber Express ile yaptığı röportajda, benzersiz veri koruma zorluklarını ele alma konusundaki incelikli yaklaşımına ilişkin içgörülerini paylaştı.
Konuşma sırasında, 2024 için gelecek siber güvenlik trendlerini tartışarak üretken yapay zekanın, sıfır güven mimarilerinin ve fidye yazılımı tehditlerinin dinamik evriminin önemini vurguladı.
Siber güvenlikle ilgili ‘Yeni Başlayanlar İçin’ kitaplarının yazarı olarak katkılarıyla tanınan Schaufenbuel, sürekli iyileştirmeyi, çalışanların rolünü vurgulayarak ve güvenlik zihniyetini teşvik ederek işletmeler için temel ilkeleri özetledi. Ayrıca yasal uyumluluk ve karmaşıklıkların yönetilmesi konusunda değerli bakış açıları da sundu.
Benzersiz Veri Koruma Zorluklarına İlişkin Uzman Görüşleri
Siber güvenlik yatırımlarına risk temelli bir yaklaşımı vurgulayan Schaufenbuel, dinamik siber güvenlik alanında bilgili ve etkili kalmak için temel stratejiler olarak akran işbirliğinin ve sektör katılımının muazzam değerini vurguladı.
Bir CISO olarak hassas verilerin korunmasında benzersiz veri koruma zorluklarını aşmak için hukuk, finans ve sağlık sektörlerini kapsayan hukuk, BT ve siber güvenlik alanındaki uzmanlığınızdan nasıl yararlanırsınız?
“Gerekli özen” standardını karşılayan bir siber güvenlik programı oluşturmaya gelince, mahkemelerin bu teknik terimin hangi faaliyetleri ve kontrolleri kapsadığını (ve bu standardın zaman içinde nasıl değiştiğini) nasıl belirlediğini bilmek yardımcı olur. Bilginin dijital formda güvenliğinin sağlanması söz konusu olduğunda bu bilgiyi üretmek, depolamak ve işlemek için kullanılan teknolojinin anlaşılmasına yardımcı olur.
Güvenlik programınız için emsal yöneticilerden destek almak, içinde bulunduğunuz işi iyice anlamanıza yardımcı olur. Her bir bakış açısı diğerini güçlendirir ve geliştirir.
2024’te ön plana çıkması beklenen siber güvenlik trendleri nelerdir ve kuruluşlar gelişen siber tehditlere karşı stratejilerini ve savunmalarını nasıl uyarlamalıdır?
Geleceği tahmin etme konusunda pek iyi değilim. Öyle olsaydım siber güvenlik uzmanı değil, kumarbaz ya da yatırımcı olurdum. Ancak işte üç güvenli bahis:
- Üretken yapay zekadaki ilerlemeler hem saldırıların hem de savunmanın evrimini yönlendirmeye devam edecek. Saldırganların daha karmaşık kimlik avı saldırıları ve derin sahtekarlıklar oluşturmak için büyük dil modellerinden yararlandığını zaten görüyoruz. Savunmacıların bu saldırıları tespit edip durdurmak için üretken yapay zekadan yararlanmaları gerekecek.
- Daha fazla kuruluş sıfır güven mimarilerini benimsemeye çalışacak, ancak sıfır güven çözümleri olgunlaşmamış kimlik teknolojisi yığınlarının temeli üzerine inşa edildiğinden ilerleme yavaş olacaktır.
- Fidye yazılımı saldırıları gelişmeye devam edecek ve hem olgun hem de olgunlaşmamış siber güvenlik programlarına sahip kuruluşları tuzağa düşürecek. Verilerin şifrelenmesi dışındaki kesinti tekniklerinin daha yaygın hale gelmesiyle, çifte gasp standart hale gelecektir (eğer halihazırda değilse).
‘Yeni Başlayanlar İçin’ kitaplarınızda karmaşık siber güvenlik kavramlarını basitleştirdiniz. İşletmelerin veri koruma zorluklarını ele almaları için hangi temel ilkelerin gerekli olduğunu düşünüyorsunuz?
Vurgulayacağım üç temel prensip şunlardır:
- Bir kuruluşun siber güvenlik duruşunu iyileştirmek ve sürdürmek “tek ve bitmiş” bir proje değildir. Değişen tehdit ortamına göre yeteneklerinizi sürekli geliştirmelisiniz. İş asla yapılmaz.
- İnsanlar bir siber güvenlik programının ya en büyük varlığı ya da en büyük sorumluluğu olabilir. İyi eğitimli çalışanlar, kurumu siber saldırganlardan koruyan bir “insan güvenlik duvarı” görevi görebilir. Yetersiz eğitimli insanlar, bir saldırganın bir kuruluşun teknik kontrollerini bozmasının en kolay yolu haline gelir.
- Siber güvenlik bir takım sporudur ve kültür her zaman stratejiyi yener. Gezegendeki en iyi bilgi güvenliği ekibine ve en gelişmiş araçlara sahip olabilirsiniz, ancak kültürel olarak yerleşik bir güvenlik zihniyeti olmadan yine de saldırıya uğrayabilirsiniz.
Yasal çerçeveler konusunda derinlemesine bilgi sahibi bir siber güvenlik uzmanı olarak, yasal uyumluluğu siber güvenlik önlemleriyle uyumlu hale getirmenin doğasında olan karmaşıklıkları nasıl yönlendirir ve dengelersiniz?
Yüzlerce benzersiz yargı alanında ve düzinelerce gönüllü güvenlik çerçevesi ve standardında siber güvenlik ve veri korumasıyla ilgili binlerce yasal ve düzenleyici gereklilik bulunmaktadır. Bu kaynakların gereksinimlerinin çoğu örtüşüyor. Bu karmaşıklıkla etkili bir şekilde başa çıkmanın bulduğum tek yol, kuruluşunuz için hangi gereksinimlerin geçerli olduğunu belirlemek ve ardından bunları kuruluşunuzun kontrolleriyle eşlemektir.
Kontrollerinizin bir veya daha fazla yasal veya düzenleyici gerekliliği karşılamada yetersiz kaldığı durumlarda bu boşluğun kapatılması gerekir. Bu haritalama çalışması zaman alıcı olabilir ancak veri koruma zorluklarını bütünsel olarak ele aldığınızdan emin olmak için gereklidir.
Ayrıca, deneyiminize göre, siber güvenlik stratejilerinin yalnızca yasal gereklilikleri karşılamakla kalmayıp aynı zamanda gelişen dijital tehditlere karşı etkili bir şekilde koruma sağlamasını sağlarken karşılaştığınız temel zorluklar nelerdir?
Yasal ve düzenleyici gereklilikler, aşağıya inemeyeceğiniz bir temel çizgiden başka bir şey değildir. Bu temel gereksinimleri karşılamanın ötesine geçen tüm siber güvenlik yatırımları risk temelli olmalıdır. Bununla demek istediğim, risk iştahını anlamak ve risk eşiklerini belirlemek için kuruluşunuzun yönetim organıyla birlikte çalışmanız gerektiğidir.
Daha sonra düzenli (sürekli olmasa da) siber güvenlik risk değerlendirmeleri yapmalısınız. Siber güvenlik risklerinin risk eşiklerini aştığı durumlarda, bu riski kabul edilebilir bir düzeye indirecek kontrollere yatırım yapmalısınız. Siber güvenlik yatırımına risk temelli bir yaklaşım, karşılaştığınız her “parlak nesneyi” satın alıp dağıtmaktan çok daha etkilidir (ve uygun maliyetlidir).
Hızla gelişen siber güvenlik alanında kişisel olarak nasıl zinde kalırsınız ve becerilerinizi sürekli olarak geliştirirsiniz? Özellikle değerli bulduğunuz belirli kaynaklar veya uygulamalar var mı?
Şans eseri, yaptığım işte tutkuluyum. Siber güvenlik uzmanı olmayı kesinlikle seviyorum. Bir şey hakkında tutkulu olduğunuzda (siber güvenlik, futbol, siyaset veya maliyet muhasebesi olsun), o şeyle ilgili her şey hakkında doyumsuz bir merak duyma eğiliminde olursunuz. En sık başvurduğum kaynak akranlarımdır. Sizinle aynı zorluklarla karşılaşan insanlardan çok şey öğrenebilirsiniz. Bu, birçok CISO yuvarlak masa toplantısına ve zirvesine katıldığım anlamına geliyor. Büyük etkinliklerin (örn. RSA ve Black Hat) değeri vardır, ancak yerel CISO yemekleri ve yuvarlak masa toplantıları gibi daha samimi mekanlarda daha da fazla değer vardır.
Bir etkinliği bekleyecek zamanım olmadığında siber güvenlik dünyasındaki en son ve en büyük gelişmelerden haberdar olmak için bloglara ve podcast’lere yöneliyorum. Burada listelenemeyecek kadar çok şey var ama Dark Reading, Güvenlik konusunda Krebs, Güvenlik konusunda Schneier ve elbette The Cyber Express favorilerimden birkaçı.
Dijital ortamın birbirine bağlı doğası göz önüne alındığında, bilgi güvenliği konusunda sektörler arası işbirliğine katılıyor musunuz ve eğer öyleyse bu işbirliği bakış açınızı nasıl şekillendirdi?
Evet. Temel olarak bilgi güvenliği bir sektörden diğerine çok da farklı değildir. “Kraliyet mücevherleri” bir sektörden diğerine farklılık gösterebilir ve farklı bilgisayar korsanlığı grupları farklı sektörleri hedefleyebilir. Kuruluşunuzun sektörü açısından ISAC ve ISAO’ya üye olmanın çok değerli olmasının nedeni budur.
Ancak saldırganların kraliyet mücevherlerinin peşine düşmek için kullandıkları temel yöntemler ve kuruluşların bu saldırılara karşı savunmak için kullandıkları yöntemler sektörden sektöre çok da farklı değil. Ayrıca, tehdit aktörleri arasında hâlihazırda mevcut olan iş birliğine karşı koymak için tüm savunucuların iş birliğine ihtiyacı var. Tüm endüstri sektörlerindeki kuruluşlar, kolektif savunmaları için bir araya gelmelidir. Endüstriler arası işbirliği yaparak kaybedilecek hiçbir şey yok ve kazanılacak çok şey var.
Sonuç olarak Schaufenbuel’in uzmanlığı, sürekli gelişen siber güvenlik ortamına ışık tutuyor. Yaklaşan trendler, işletmeler için pragmatik ilkeler ve işbirliği zorunluluğu hakkındaki görüşleri, dijital çağda hassas verilerin korunmasının dinamik doğasını vurgulamaktadır. Kuruluşlar gelişen tehditlerle boğuşurken, Schaufenbuel’in bütünsel yaklaşımı etkili siber güvenlik stratejileri için değerli bir pusula sağlıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.