Güvenlik stratejinizi iş için iyi hale getirin.
David Weisong, Energy Solutions’ta CIO
Kamu hizmeti şirketleri, hemen hemen tüm sektörlerde olduğu gibi, siber güvenlik konusunda giderek daha fazla endişe duyuyor ve bunun iyi bir nedeni var. Yardımcı sistemlere başarılı bir şekilde sızan kötü niyetli bir aktör, potansiyel olarak güç dağıtımını veya kritik süreçleri kesintiye uğratabilir ve sektördeki liderlerin kabus gördüğü türden maliyetli hasarlar verebilir. Aynı zamanda, kamu hizmetleri, müşterilerin hassas kişisel olarak tanımlanabilir bilgilerinin (PII) ve konum verilerinin potansiyel ihlalleri dahil olmak üzere daha sıradan ancak daha az tehdit edici olmayan siber güvenlik riskleriyle karşı karşıyadır.
Miktardaki son artışlar ve daha da tehlikelisi, kalite kamu hizmetlerine yönelik olgunlaşan siber saldırılar, liderlerin ekosistemlerinde güvenliği sıkılaştırmasına neden oluyor. Bu, harici iş ortaklarının üçüncü taraf doğrulama yoluyla en iyi güvenlik uygulamalarını kanıtlaması gereken gereklilikleri içerir. Kamu hizmetleri, haklı olarak bu gereksinimler konusunda çıtayı her yıl yükseltiyor: güvendikleri işletmelerin güvenlik rejimlerindeki herhangi bir eksiklik, nihayetinde kendi sistemlerini ve verilerini açığa çıkarabilir. Danışmanlık firmamız, kamu hizmetleriyle yakın çalışan ve genellikle hassas verilerini piyasaya yönelik enerji verimliliği ve talep enerji yanıt programlarını uygulamak için işleyen şirketlerden biridir. Müşterilerimizin sürekli artan gereksinimleri karşısında, yalnızca gerekli uygulamalara ayak uydurmak yerine güvenliğe derinlemesine eğilme kararı aldık.
Bulduğumuz şey, modernize edilmiş siber güvenlik taahhüdünün, bütünsel korumaları gösterme, doğrulama testlerindeki her kutuyu işaretleme ve kamu hizmeti liderlerinin kafalarındaki şüpheleri ortadan kaldırma becerimiz sayesinde işletmemiz için önemli bir rekabet farklılaştırıcısının kilidini açtığıdır. seçebilecekleri en güvenli ortak sizsiniz.
Güvenliğe (örneğin, yinelenen teknolojilere) fazla harcamak istemezsiniz, ancak sağlam bir güvenlik stratejisinin uygulanmamasının riskleri göz ardı edilemeyecek kadar büyüktür. Bir veri ihlalinin finansal maliyeti vardır ve daha sonra genellikle daha büyük bir maliyet vardır: uzun vadeli itibar kaybı. Bu faktörler tek başına şirketimizde güvenlik modernizasyonu için gerekli olan C-suite katılımını sağlamak için yeterliydi, ancak diğer büyük değişken, yenilenmiş bir siber güvenlik yığınının daha fazla müşteri kazanmamızı sağlamasıydı. Bu her kuruluş için doğru olmasa da, bizim için açık bir yoldu ve kesinlikle siber güvenlik değişikliklerinin yatırıma değeceğini daha da net bir şekilde ortaya koydu.
İşte şirketimiz için ticari büyümeyi yönlendiren siber güvenlik uygulamalarını uygulamaya koyma yolunda attığımız üç önemli adım.
1) Mevcut ve kanıtlanmış bir siber güvenlik çerçevesiyle başlayın.
Bütünsel koruma sağlayan bir siber güvenlik yığını yapılandırma söz konusu olduğunda tekerleği yeniden icat etmek yerine, çerçevemiz olarak SOC 2 Tip 2 sertifikasını kullanarak başlamanın çok daha etkili olduğunu gördük. SOC 2 Tip 2 sertifikası, bizim gibi hizmet kuruluşlarının müşterilerinin verilerine ve sistemlerine erişimini uygun şekilde güvenli hale getirmesini gerektirecek şekilde tasarlanmıştır. İstemci verilerinin güvenli, erişilebilir ve özel olmasını sağlarken aynı zamanda işlem bütünlüğünü ve kullanıcı gizliliğini dikkatli bir şekilde koruyan güvenlik kontrollerini belirtir. SOC 2 Tip 2 uyumluluğunu kendi standartımız olarak uygulayarak, kamu hizmeti müşterilerimizin ihtiyaç duyabileceği her türlü güvenlik korumasını metodik olarak sağlamak için organize bir yapıya sahibiz.
2) Çerçevenizle uyumlu şifreleme ve erişim kontrollerini tanıtın.
Bizim durumumuzda, mevcut şifreleme ve erişim kontrol araçlarımız ve uygulamalarımız modern standartlara uygun değildi; bu, sektörümüzdeki ve ötesindeki çoğu satıcı için geçerli olan bir gerçektir. SOC 2 Tip 2 sertifikasını almak, Microsoft BitLocker ve Apple FileVault şifreleme anahtarı yönetimi araçlarımızın uygulamalarını değiştirmek anlamına geliyordu. BitLocker ve FileVault, atıl durumdaki verileri etkin bir şekilde koruma yeteneğine sahipken, yönetim seçenekleri görece eksiktir ve çalıştırılması için yüksek derecede manuel çaba gerektirir.
Güvenlik korumalarımızı daha proaktif ve etkili hale getirmek için daha hassas kontrol ve sağlam otomasyon sağlayabilecek bir şifreleme ve erişim kontrolü arayışı başlattık. Bizim durumumuzda, şifreleme ve erişim kontrolü sağlama konusunda sıfır güven yaklaşımı benimseyen BeachheadSecure’a ulaştık. Artık ortaya çıkabilecek sayısız risk koşuluna otomatik yanıtlar hazırlıyoruz, böylece halihazırda yürürlükte olan bir eylem planımız var. Örneğin, müşterilerimizin verilerini tutan herhangi bir PC, Mac, telefon, tablet veya USB cihazı, onaylı bir coğrafi çitle çevrili konumdan çıkarsa veya önceden belirlenmiş sayıda başarısız oturum açılırsa erişim otomatik olarak kaldırılacaktır. Daha da önemlisi, artık güvenlik uygulamalarımız her denetlendiğinde otomatik uyumluluk raporlamasına sahibiz.
3) Uç noktaları modern korumalarla güvenli hale getirin.
Müşterilerimizin uç noktalarına yönelik hem dosya tabanlı hem de dosyasız komut dosyası saldırılarını yenmek için Webroot SecureAnywhere dahil olmak üzere birçok Webroot güvenlik ürününden yararlandık. Gelen kötü amaçlı yazılımları ve diğer DNS tabanlı saldırıları önlemek için, riskli etki alanı isteklerini engelleyen tehdit istihbaratı ve filtreleme otomasyonu sağlamak için Webroot DNS korumasını seçtik. Son olarak Datto RMM, bizi bulut genelinde verimli uzaktan cihaz izleme ve yönetimi ile donatıyor. Uzak uç nokta güvenlik yetenekleri artık daha etkili güvenlik yönetimi ve desteği sunmamıza olanak tanıyor.
Daha iyi güvenlik işinizi büyütebilir
Doğru güvenlik stratejisi uygulandığında, birçok kamu kuruluşunun bizden talep ettiği güvenlik zorunluluklarını karşılayabiliyor ve daha da önemlisi aşabiliyoruz. Kamu hizmetleri, en son protokolleri ve sürekli değişen bir BT ortamını hesaba katmak için siber güvenlik gereksinimlerini ve anketlerini düzenli olarak günceller. Bir satıcı olarak kabul edilmek üzere herhangi bir müşteri gereksinimlerini değiştirmek için çok az etkimiz var. Ya yükseltilmiş güvenlik standartlarının tüm kapsamını kabul etmeli ve karşılamalı ya da başka bir yerde iş aramalısınız. Siber güvenlik yatırımlarımız, bizi birincisi ile tamamen aynı hizaya getirdi ve bunu yapmak için yatırım getirisi durumu yıldız oldu.
Rekabeti geride bırakmak, bize yeni müşteriler kazanmada belirgin bir avantaj sağladı ve bizim yolumuz başkalarının izleyebileceği bir yoldur. Bunu yaptığınızda müşteriler, işletmenizi eksiksiz teknoloji ve güvenlik gereksinimleri için tek bir kaynak ve uzun vadeli bir ortaklığa layık bir kaynak olarak görecektir.
yazar hakkında
David Weisong, bir temiz enerji çözümleri firması olan Energy Solutions’ta CIO’dur. Energy Solutions, büyük etkiler yaratan piyasaya dayalı, uygun maliyetli enerji, karbon ve su yönetimi çözümleri aracılığıyla iklim değişikliğiyle mücadele ediyor. Energy Solutions, 25 yılı aşkın bir süredir Kuzey Amerika’daki kamu hizmeti, devlet ve özel sektör müşterilerimize güvenilir, büyük ölçekli ve uygun maliyetli enerji tasarrufu ve karbon azaltımı sağlayan uçtan uca, pazar odaklı çözümlere öncülük ediyor. . David’e LinkedIn (https://www.linkedin.com/in/davidweisong/) ve https://energy-solution.com/ adresinden ulaşılabilir.