Bu yardımda net güvenlik röportajında, Ensora Health’teki Ciso Henry Jiang, DevSecops’un sağlık hizmetlerinde çalışması için gerçekten ne gerektiğini tartışıyor. Hız ve güvenliği dengelemenin nasıl kolay olmadığını ve düzenlemelerle uyumlu olmanın neden anahtar olduğunu açıklıyor. Jiang ayrıca mühendislik ekipleriyle çalışma ve otomasyonun Devsecops’ta nasıl yardımcı olduğu hakkında ipuçlarını paylaşıyor.
Sağlık hizmetleri gibi yoğun bir şekilde düzenlenmiş bir endüstride, CISOS’un DevOps iş akışlarına entegre edilmesinde hangi özel zorluklarla karşılaşıyor?
Sağlık hizmetlerinde, güvenliği genellikle Devsecops olarak adlandırılan DevOps’a entegre etmek, verilerin yüksek bahisli doğası ve düzenleyici gereksinimlerin karmaşıklığı nedeniyle benzersiz bir dizi zorluk sunar. Temel konulardan biri, ürün özelliklerinin hızlı bir şekilde sunulması ve sağlam güvenlik önlemleri gömme arasındaki doğal gerginliktir. Güvenlik girişimleri genellikle kullanıcı deneyimi, pazar hızı ve özellik hızı gibi iş odaklı sonuçlarla rekabet eder.
Diğer zorluklar, ürün tasarımından dağıtıma kadar güvenlik kapsamının eksiksiz olmasıdır. Elektronik korumalı sağlık bilgilerinin (EPHI) korunmasını yöneten HIPAA gibi düzenlemeler uyumluluk için bir çerçeve sağlar. Ancak, tüm güvenlik uygulamaları düzenleme ile açıkça zorunlu değildir. Bu, güvenlik ekiplerinin gerçek risk azaltmayı sağlamak için uyumun ötesine geçmesi gerektiği anlamına gelir. Sağlık hizmetlerinde etkili bir devsecops stratejisi, güvenli ürün tasarımı ve mühendislik uygulamalarından başlayarak bulut altyapı güvenliğini, güvenlik açığı yönetimini ve olgun bir olay yanıt yeteneğini korumaya kadar kapsamlı olmalıdır.
Güvenlik, geliştirme yaşam döngüsü boyunca erken ve tutarlı bir şekilde gömülmeli ve bu, çapraz işlevsel hizalama ve liderlik desteği gerektirir. Düzenlemelerin pratik, eyleme geçirilebilir güvenlik kontrollerine nasıl dönüştüğünü anlamadan CISOS, hızlı ilerleyen geliştirme ortamlarında çekişe ulaşmak için mücadele edebilir.
Cisos’a mühendislik ve ürün ekiplerinden satın almak için ne tavsiye edersiniz? DevSecops girişimlerinizin başarısını ölçmek için hangi metrikleri veya KPI’ları kullanıyorsunuz?
Mühendislik ve ürün ekiplerinden satın almak için CISOS aynı dili konuşmalı ve bu ekiplerin kullandığı benzersiz planlama metodolojilerini anlamalıdır. Örneğin, ürün ekipleri üç aylık hedeflerle program artış (PI) planlama döngülerini takip edebilirken, mühendislik ekipleri daha kısa sprint tabanlı sürüm döngülerinde çalışır. Güvenlik hedefleri bu ilgili döngülerle eşleştirilmelidir – sprintler sırasında güvenlik açığı iyileştirilmesi gibi taktik konular yapılırken, daha büyük teknik ve güvenlik borcunu ele almak için PI planlama döngüleri kullanmalıdır.
Güvenliği bir engelleyici yerine iş sürekliliği ve güvenini sağlayan olarak konumlandırmak da kritiktir. Güvenliği daha sonra cıvatalamak yerine mevcut iş akışlarına yerleştirmek şerefiye oluşturur ve daha sürdürülebilir bir evlat edinme sağlar.
Metriklere gelince, temel risk göstergeleri (KRI) özellikle değerlidir. Pratik olanı, hem niyeti hem de yürütmeyi yansıtan söz konusu oranı – kararlı ve teslim edilen güvenlik görevlerinin karşılaştırılmasıdır. Diğer anlamlı KRI’lar şunları içerir:
- Şiddete dayalı güvenlik açıklarını düzeltme zamanı
- Üretim veya altyapıdaki çözülmemiş kritik/yüksek sorunların sayısı
- PI veya Sprint Döngüsü Başına Adreslendirilen Güvenlik İş Listesi Yüzdesi
Devsecops’larınızda otomasyon hangi rolü uyguluyor ve en çok etkisi nerede oldu?
Otomasyon devsecops stratejimizde temel bir rol oynar. Manuel hataları azaltarak ve geliştirme iş akışlarında tutarlılığı artırarak hem güvenlik hem de verimliliği artırır. Genellikle AI özellikleri ile zenginleştirilmiş otomatik kod analiz araçları, CI/CD boru hattının başlarında güvenlik açıklarını tespit etmeye yardımcı olur. Bu araçlar, OWASP Top 10 gibi çerçevelerle uyumlu sorunları işaretleyebilir ve geliştiricilerin üretime ulaşmadan önce sorunları yakalamalarına yardımcı olur.
Bir olay tepkisi açısından, otomasyon da önemli gelişmeler getirdi. AI odaklı araçlar, uzlaşmış sistemleri izole ederek, kimlik bilgilerini sıfırlayarak veya enfekte olmuş varlıkları ağdan özerk olarak kaldırarak araştırma ve sınırlama zaman çizelgelerini kısaltabilir. Bu eylemler bekleme süresini azaltır ve potansiyel hasarı en aza indirir.
Alet yayılımı ve geliştiricilerinizin araç zincirinizin etkili ve yönetilebilir kalmasını nasıl sağlıyorsunuz?
Araç yayılımı devsecops ortamlarında yaygın bir zorluktur. Özel araçlar belirli amaçlara hizmet ederken, koordine edilmemiş bir yaklaşım verimsizliklere, örtüşen işlevlere ve zayıf benimsemeye yol açabilir.
Anahtar kasıtlı konsolidasyondur. Birden çok kullanım durumuna hizmet eden ve hem DevOps hem de güvenlik işlevlerinde genişletilebilir araçlara öncelik veriyoruz. Örneğin, aynı ekosistem içinde kod güvenlik taraması, bulut duruş yönetimi ve uygulama güvenlik açığı algılamasını destekleyebilecek çözümlerin seçilmesi.
Geliştirme ve operasyonlar arasındaki araçları standartlaştırmak sadece genel giderleri azaltmakla kalmaz, aynı zamanda ekipleri eğitmeyi, iş akışlarını entegre etmeyi ve birleşik görünürlük kazanmayı riske sokmayı kolaylaştırır.
Devsecops’taki bir sonraki sınır veya en büyük boşluk olarak, özellikle sağlık cisosları için ne görüyorsunuz?
Sağlık cisosları için en acil boşluklardan biri, eyalet ve federal düzeylerde tanımlanmış ve uygulanabilir veri koruma standartlarının olmamasıdır. Zorunlu MFA ve şifreleme standartları gibi güçlü kontrollerin iyi kurulduğu finansal hizmetlerin aksine, sağlık düzenlemeleri genellikle yorumlama için çok fazla yer bırakır.
Bu düzenleyici belirsizlik, yönetim kurulu genelinde temel güvenlik önlemlerinin uygulanmasını zorlaştırmaktadır. HIPAA temel rehberlik sağlarken, belirli modern kontrolleri zorunlu kılmaz, bu da CISOS’un politika veya müşterilerden açık bir destek olmadan daha katı önlemleri haklı çıkarmasını ve uygulamasını zorlaştırır. Tehditler gelişmeye devam ettikçe ve hasta verileri daha değerli hale geldikçe, düzenleyiciler sağlık ekosisteminde tutarlı koruma sağlamak için yetişmelidir.