Yazan: Craig Burland, CISO, Inversion6
Kuruluşunuzun siber güvenlik duruşunu güçlendirmek için bir sonraki hamlenizi mi planlıyorsunuz? Bir dakikanızı ayırıp gözlerinizi bu yeni ve parlak aletten ve son teknolojiden uzaklaştırın. “O” kadar etkileyici (XDR, yapay zeka destekli tespitler, orkestrasyon) ne kadar etkileyici olsa da teknoloji, kuruluşunuzun savunmasının tamamı ve sonu değildir. Sınıfının en iyisi araçlardan oluşan bir koleksiyonun uygulamaya konulması yönetim kurulunu rahatlatabilir ancak olayların yaşanmadığı bir yılı garanti etmez. Siber güvenlik kontrollerinizin karışımı ne olursa olsun, teknoloji tek başına kötü karar alma sürecinin üstesinden gelemez, siber güvenlik konusunda köklü cehaleti düzeltemez veya kullanıcılarınızı siber güvenlik uzmanlarına dönüştüremez. Rahatsız edici mi? Aslında. Beklenmedik mi? Hiç de bile.
Gerçek şu ki, siber güvenlik duruşunuzun özü yalnızca teknolojik değil, çoğunlukla hafife alınan ve gözden kaçırılan bir faktördür: politika. Politikası olmayan bir örgüt, 19. yüzyılın sonlarındaki Amerika’nın vahşi batısına benzer.o yüzyıl. Kanunlar vardı ama çok az kişi bunları biliyordu; uygulama kasabadan şehre ve durumdan duruma büyük ölçüde değişmektedir.
Politikalar, karar vericileri bilgilendirerek oldukça merkezi olmayan bir sistemin kaosuna düzen getirmeye yardımcı olur. Bilgili kuruluşlar bu gerçeği kavrar ve siber güvenlik ortamına net bir bakış açısıyla yaklaşır. Kapsamlı politikalar oluşturmanın bürokratik bir zorunluluk değil, stratejik bir yatırım olduğunun farkındalar.
Bir siber güvenlik lideri olarak şimdi politikaları savunmanın tam zamanı. CEO’lar ve CFO’lar ekonomik durgunluktan endişe ederken, politika oluşturmayı 2023 için en önemli yatırımınız haline getirin. “Güvenlik odaklı bir kültür” ve “proaktif, insan odaklı yönetişim” gibi ilkeleri benimseyerek, diğerlerinden daha sağlam, uyarlanabilir ve uygun maliyetli olduğunu kanıtlayan savunmalar geliştirin. yalnızca teknolojiye bağımlı olanlar.
Politikaların Vazgeçilmez Rolü
İyi yazılmış politikalar bir dizi yapılması ve yapılmaması gerekenlerden daha fazlasını temsil eder. Siber güvenliğin karmaşık ortamında kuruluşunuza rehberlik eden bir yol haritası görevi görürler. Kuruluşun düzenleyici gerekliliklerini ve arzu edilen siber güvenlik duruşunu belgeliyorlar. Herkesin izleyeceği rotayı çizerek normlar ve beklentiler oluştururlar. Yaygın uygulamanın aksine politikalar siber güvenlik stratejisinin temeli olmalıdır. İster çok faktörlü kimlik doğrulamanın zorunlu kılınması, ister gizli verilerin işlenmesi veya olay müdahale protokollerine uyulması olsun, politikalar netlik, yönlendirme ve gerekçe sağlar.
Karar Almada Yol Gösterici Bir Güç
“İnsan, süreç, teknoloji” üçlüsü siber güvenliğin temel kavramlarından biridir. Birinci sınıf teknolojiye ve süreçlere sahip olmanıza rağmen, “insanlar” bileşeni potansiyel olarak savunmanızı zayıflatabilir. Ancak geçerli politikalarla bu potansiyel güvenlik açığını güce dönüştürebilirsiniz. Politikalar bireyleri sağlam karar almaya yönlendirir ve savunmanın güçlendirilmesinde herkesin rol oynadığı bir kültürü teşvik eder. Kullanıcıların bu karmaşık alanda gezinmesine yardımcı olacak bir dizi ilke sunarak, karmaşık siber güvenlik durumlarını ele almada güvenilir rehberinizdirler. Politikalar, her kararın kuruluşunuzun savunmasına zarar vermek yerine, ona olumlu katkıda bulunmasını sağlar.
Farkındalık Merkezindeki Politikalar
Yön belirlemenin ötesinde politikalar eğitim araçları olarak da hizmet eder. Dikkatle tasarlanmış politikalar iyi uygulamaları teşvik eder ve uyumluluğun önemini vurgular. Her ekip üyesinin siber güvenlik uzmanı olmasına gerek yoktur. Ancak onları bilgisiz bırakmak ciddi bir hatadır. Politikalar yazıldıktan sonra geniş çapta ve tutarlı bir şekilde paylaşılmalıdır. Sürekli çapraz referanslar ve takviyelerle farkındalık kampanyalarınızın temel taşı olmalıdırlar. Yeni işlevler sunmak için yüksek hızda çalışan bir DevOps ekibini düşünün. Çözüm geliştirme yaşam döngüsü politikasının farkındalığı, bir geliştiricinin korumasız bir bulut iş yükünü internete açması ile daha akıllı bir seçim yapması arasındaki farkı yaratabilir.
Liderlik ve Politika Uygulama
Liderliğin politika uygulamadaki rolü çoğu zaman hafife alınmaktadır. Yönetim, siber güvenlik kurallarına uyum ve saygı ortamı yaratarak politikaya uymanın tonunu belirler. Liderler yalnızca bu kurallara uymakla kalmamalı, aynı zamanda güvenlik konusunda düzenli tartışmalar yapmalı, ihlalleri derhal ele almalı, uyumu ödüllendirmeli ve sürekli öğrenmeyi teşvik etmelidir. Ayrıca liderler, politikaların hızla gelişen siber güvenlik ortamına ayak uydurmasını sağlamalıdır. Bu, en son tehditleri ve en iyi uygulamaları yansıtan düzenli incelemeleri ve güncellemeleri içerir.
Teknoloji Politikayı Takip Ediyor
Ekipler sıklıkla teknolojinin kendi stratejilerini belirlemesine izin veriyor ve esasen düşünme süreçlerini satıcının koruma yöneticilerine devrediyor. MFA’yı neden açmalısınız? Yanlış cevap, sağlayıcınızın aniden bunu teklif etmesidir. Doğru cevap, düzenleyici ortamın ve tehdit profilinizin analizinden kaynaklanan politikanızın bunu gerektirmesidir. İzleme, şifreleme ve yamalama işlemlerinin tümü benzer bir yol izler. Teknoloji politikayı yönlendirmek yerine etkinleştirmeye ve uygulamaya hizmet etmelidir. Uygulama sonrasında analiz araçları, uyumluluk eğilimlerini ve istisnaları izleyerek ek eğitim veya daha güçlü kontrollere ihtiyaç duyulduğunu gösterebilir.
Görünmeyen Şampiyon: Politikalar
Sonuç olarak, iyi bir siber güvenlik yalnızca en son teknolojiyle ilgili değildir. İnsanlara, onların anlayışlarına, kararlarına ve eylemlerine odaklanır. Tüm bu unsurlara rehberlik eden şey, politikalarınızdır: Siber güvenlik savunmanızın görünmeyen şampiyonu. Bir kurallar listesinden çok, davranışları şekillendirir, kararlara bilgi verir ve savunmaları güçlendirir. Gelişen bu dijital çağda insanlar değişmezdir. En yeni siber güvenlik cihazının demosunu izlerken sessiz nöbetçi politikaları hatırlayın ve daha akıllı yatırım yapın.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, bir Fortune 200 Şirketi için bilgi güvenliği operasyonlarına liderlik eden en son rolü de dahil olmak üzere onlarca yıllık sektör deneyimini Inversion6’ya taşıyor. Aynı zamanda Kuzeydoğu Ohio Siber Konsorsiyumunun eski Teknik Eş Başkanı ve Çözümsel MSSP, NTT Globhttp://www.inversion6.comal Güvenliği ve Oracle Web Merkezi’nin eski Müşteri Danışma Kurulu Üyesidir. Craig’e çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi http://www.inversion6.com’dan ulaşılabilir.