Uyumluluk gereksinimlerinin siber güvenlik şeffaflığını ve hesap verebilirliğini artırması amaçlanmaktadır. Siber tehditler arttıkça uyumluluk çerçevelerinin sayısı ve bunların içerdiği güvenlik kontrolleri, politikaları ve etkinliklerinin özgüllüğü de artıyor.
CISO'lar ve ekipleri için bu, uyumluluğun, güvenlik uzmanlığının yanı sıra güçlü organizasyon ve iletişim becerileri gerektiren, zaman alıcı ve riskli bir süreç olduğu anlamına gelir.
Veri güvenliği ve gizlilik uyumluluğu gerekliliklerine yaklaşmanın en iyi yollarını almak için CISO beyin güveninden yararlandık. Bu blogda, risk yönetimi ve paydaş uyumu da dahil olmak üzere uyum süreciyle uğraşmanın getirdiği sıkıntıyı azaltmaya yönelik stratejiler paylaşıyorlar.
Uyumluluğu “gerekli bir kötülükten” siber riski değerlendirmenize, bütçe kazanmanıza ve destek almanıza, müşteri ve hissedar güvenini artırmanıza yardımcı olacak stratejik bir araca dönüştürmeye yönelik öneriler için okumaya devam edin.
Hangi CISO'lar uyumluluğa en çok önem veriyor?
CISO'ların siber güvenlik uyumluluğuna bakış açısı, şirketlerin büyüklüğüne, coğrafyasına, sektörüne, veri hassasiyetine ve program olgunluk düzeyine bağlı olarak büyük ölçüde değişebilir. Örneğin, Amerika Birleşik Devletleri'nde halka açık bir şirketseniz, birden fazla düzenlemeye uymanın yanı sıra risk değerlendirmelerini ve düzeltici eylem planlarını sürdürmekten başka seçeneğiniz olmayacaktır.
Bir devlet kurumuysanız veya bir devlet kurumuna satış yapıyorsanız, karşılamanız gereken belirli kamu sektörü gereksinimlerine uymanız gerekir. Bankaların, sağlık kuruluşlarının, altyapının, e-ticaret şirketlerinin ve diğer işletmelerin uyması gereken sektöre özel uyumluluk kuralları vardır.
Güvenlik, uyumluluğa eşit değildir.
Bu kategorilerden birine girmeseniz bile, SOC sertifikası almak veya siber güvenlik sigortasına başvurmak gibi en iyi güvenlik uygulamalarını göstermeniz için birçok neden vardır. NIST CSF ve ISO gibi geniş siber güvenlik uyumluluk çerçeveleri, tüm kuruluşlar için izlenecek modeller ve sonuçların iletilmesine yönelik yapılar sağlar.
Bununla birlikte, “güvenlik uyumluluğa eşit değildir” CISO'lar arasında sıklıkla duyulan bir mantradır. Elbette uyumlu olmanız güvende olduğunuz anlamına gelmez. Son derece olgun siber güvenlik kuruluşları, uyumluluğu minimum düzeyde değerlendirebilir ve kuruluşlarını korumak için gerekli bileşenlerin çok ötesine geçebilir.
İşi mümkün kılan bir faktör olarak uyumluluk
Bir CISO, uyumluluk gereksinimlerini karşılamak için siber güvenlik yatırımları ve uygulamaları önerebilir ancak nihai karar verici değildir. Bu nedenle, bir CISO'nun temel sorumluluğu, uyumsuzluk riskini iletmek ve hangi girişimlere öncelik verileceği konusunda diğer şirket liderleriyle birlikte çalışmaktır. Bu bağlamda risk, yalnızca teknik riski değil aynı zamanda iş riskini de içerir.
Levi Strauss'un eski CISO'su Steve Zalewski, “havuç ve sopa” metaforunu kullanmayı seviyor. “Denetim ve uyumluluk tarihsel olarak sizi bir şeyler yapmaya zorlayan sopa olmuştur.“Derinlemesine Savunma podcast'inde paylaşım yapıyor”ama yapmak [you] bunu yapmak, işin bunu yapmanın değerine uygun olduğu anlamına gelmez.” Anlaşmazlıkları önlemek için insanlara uyumlu siber güvenliğin ticari değerini göstermeyi öneriyor. “Onlara bu konuda bir seçim hakkına sahip olduklarını hissettirecek bir havuç bileşeni olmalı,” diyor.
Liderlik, uyumsuzluğun potansiyel maliyetleriyle uyumluluğu sağlamanın maliyet ve faydalarını tartmalıdır
Bir kuruluşun ayrıcalık yönetimine yönelik en iyi güvenlik uygulamalarını tam olarak karşılamadığını varsayalım. Uyumsuzluk, düzenleyici para cezaları ve hissedar davalarıyla sonuçlansa da, altta yatan güvenlik açıkları, kesinti, fidye yazılımı ödemeleri ve gelir kaybı da dahil olmak üzere işletme üzerinde daha da büyük bir etkiye neden olabilir. Öte yandan uyumluluk gereksinimlerinin karşılanması, daha hızlı satışlar, daha güçlü ortaklıklar veya daha düşük siber sigorta oranları gibi iş değerleri sağlayabilir.
Kapsamlı bir risk yönetimi programının bir parçası olarak, yönetim kurulları ve üst düzey liderlik, uyumsuzluğun potansiyel maliyetlerine karşı uyumu sağlamanın maliyet ve faydalarını tartmalıdır. Bazı durumlarda belirli bir risk düzeyinin kabul edilebilir olduğuna karar verebilir ve ek koruma önlemleri uygulamamayı tercih edebilirler. Diğer durumlarda ikiye katlanabilirler.
CISO'lar siber güvenlik yol haritalarını planlamak için uyumluluk çerçevelerini nasıl kullanıyor?
Bazı CISO'lar, siber güvenlik programlarına dahil edilecek teknikler ve süreçler için bir metodoloji olarak uyumluluk çerçevelerini kullanır. Temel olarak, program önceliklerini bildirirler ve oluşturmaya çalıştıkları programla uyumlu, mutlaka sahip olunması gereken çözümler için bir alışveriş listesi oluştururlar.
Audience First podcast'inde eski Fortune 500 CISO'su Brian Haugli, uyumluluğa bağımlı olmak ile bilinçli risk yönetimine rehberlik etmek için uyumluluk çerçevelerini kullanmak arasında bir fark görüyor.
“Siyah ve beyaz olamayız. Riske dayalı kararlar alabilmemiz, 'Bu riski kabul edeceğim çünkü şu anda kapatmaya gücüm yetmiyor' diyebilmemiz gerekiyor. Ancak riski, kabul etmemi sağlayacak kadar düşük bir düzeye indirmek için bunları yapacağım.“
CISO'ların uyumluluk konusunda ortaklara ihtiyacı var
CISO'lar uyumluluk teknesinde tek başına yer almıyor. Değişen uyumluluk gerekliliklerini anlamak ve bunların nasıl ele alınacağına karar vermek için hukuk ekipleri, gizlilik görevlileri ve denetim veya risk komiteleriyle ortaklıklar kurmaları gerekir.
Bazen bu dahili ortaklar, güvenlik ekiplerinin daha güçlü kontroller uygulamasını gerektirir ancak onlar da ara verebilirler. Hızla büyüyen bir teknoloji tedarikçisinin CISO'sundan birinin bize söylediği gibi, “Açıkçası haftanın her günü Hukuk bana ağır basıyor. Bana ne yapıp ne yapamayacağımı söylüyorlar. Herkesin davranışını izleyebilmeyi çok isterdim ama gizlilik yasaları bunu yapamayacağımı söylüyor.“
Uyumluluk ekipleri, güvenlik mühendislerinin ve analistlerin yapacak zamanı veya kaynağı olmayan birçok şeyi yapar. Kontrollerin beklendiği gibi çalışıp çalışmadığını tekrar kontrol ederek güvenliği sorumlu tutuyorlar. İster manuel güvenlik anketleri yoluyla ister teknoloji entegrasyonları yoluyla kanıt toplamak anlamına gelse de, uyumluluğu göstermek için güvenlik ekipleri, düzenleyiciler ve denetçiler arasında aracı olarak hareket ederler.
Örneğin, bir kamu sektörü sertifikasyonu için, güvenlik kontrollerinin izlenmesi, günlüğe kaydedilmesi ve yapacaklarını söyledikleri şeyi yaptıklarını kanıtlayacak verilerin en az altı ay boyunca saklanması gerekir.
Uyumluluğu destekleyen araçlar ve kaynaklar
Risk kayıtları, tüm riskleri belgeleyerek ve bunları öncelik sırasına göre düzenleyerek tüm paydaşların uyumlaştırılmasına yardımcı olur. Herkesin aynı bilgiye bakmasıyla uygun eylemler üzerinde anlaşabilirsiniz. Risk yönetimi programının bir parçası olarak politikalar, standartlar ve prosedürler düzenli olarak gözden geçirilir ve her türlü değişiklik uygulamadan önce onaylanır.
Kuruluşlar, GRC sistemleri ve sürekli uyumluluk izleme gibi araçları kullanarak devam eden güvenlik faaliyetlerini izleyebilir ve sonuçları raporlayabilir. GRC sistemleri, kontrollerin tamamlandığını gösteren günlükleri ve güvenlik açığı tarayıcılarını toplamak için SIEM'lere bağlanabilir. “E-tabloları karıştırmak yerine, uyumlu olduğumuzu kanıtlamak için GRC platformumuzla entegre olan çeşitli konektörler oluşturduk.“Teknoloji CISO'su açıklıyor.”Sertifikaları tek bir cam panelde haritalandırıyorlar, böylece bir denetçi geldiğinde onlara 'İşte kanıt' yazan bir ekran gösteriyoruz.'”
Çoğu şirket, araçlara ek olarak uyumluluk değerlendirmeleri yürütmek için üçüncü taraflara güveniyor. Düzenleyicilerin gelmesi durumunda sürpriz olmayacağından emin olmak için harici bir denetimden önce bir iç uyumluluk denetimi gerçekleştirebilirler.
Bir kez uyun, birçok kişiye uygulayın
Çoğu kuruluşun yanıt vermesi gereken çok sayıda uyumluluk kurumunun yanı sıra siber sigorta sağlayıcıları, müşterileri ve ortakları vardır. Uyumluluk bir yük olsa da iyi haber şu ki değerlendirme sürecini kolaylaştıracak teknikler var. “Tüm büyük uyumluluk kuruluşlarına baktığınızda gereksinimlerin yaklaşık %80'inin aynı olduğunu görürsünüz.” diyor SaaS sağlayıcısının CISO'su.”NIST gibi bir çerçeveye uyum sağlayabilir ve hepsine aynı uygulamaları uygulayabilirsiniz.“
Örneğin, parola yönetimi, Çok Faktörlü Kimlik Doğrulama (MFA) ve Rol Tabanlı Erişim Denetimleri gibi Ayrıcalıklı Erişim Yönetimi (PAM) gereksinimleri uyumluluk çerçevelerinde yaygındır. PAM'in Delinea.com'daki çeşitli uyumluluk gereksinimlerinde nasıl göründüğünü görmek için ayrıntıları inceleyebilirsiniz.
Ortaya çıkan uyumluluk gereksinimleri
Uyumluluk, değişen risk modellerine ve iş koşullarına yanıt verecek şekilde gelişen gereksinimlerin olduğu değişken bir alandır. CISO'lar, Yapay Zeka gibi ortaya çıkan siber risklerin yönetimi konusunda rehberlik için uyumluluk kuruluşlarından yardım bekliyor.
CISO'lar ileriye dönük olarak uyumluluğun sağlanmasının işlerinin daha da büyük bir parçası haline gelmesini bekliyor. Sektör giderek büyüyen tehditlerle karşı karşıya olduğundan uyumluluk, siber güvenlik risk yönetimine yönelik stratejik ve kapsamlı yaklaşımın önemli bir parçasıdır.
Bu konu hakkında daha fazla bilgi için Delinea'nın 401 Erişim Reddedildi podcast bölümüne göz atın: Uyumluluğun Güvenliğini Sağlama: Steven Ursillo ile Uzman Görüşleri
Ayrıcalıklı erişim güvenliğine giden stratejik yolculuğunuzu planlamak için adım adım bir kılavuza mı ihtiyacınız var?
Ücretsiz, özelleştirilebilir bir PAM Kontrol Listesiyle başlayın.