Bu Help, Net Security röportajında, eski CISO ve kitap yazarı Michael Oberlaender, güvenlik ile operasyonel verimlilik arasında doğru dengeyi nasıl kuracağınızı ele alıyor.
Oberlaender, siber güvenlik yolculuklarına başlayan şirketlere tavsiyelerde bulunuyor ve çeşitli çerçevelerle uyum sağlamanın önemini vurguluyor. Ayrıca, CISO rolü ve etkili siber güvenlik liderliği hakkında içgörüler sağlayan son kitabını da tanıtıyor.
Bir organizasyonun siber güvenlik stratejisinde güvenlik ihtiyacı ile operasyonel verimlilik ve esneklik arasında nasıl denge kurarsınız?
Herhangi bir şirket için güvenliğin gerçekten de çok önemli olduğunu anlamak önemlidir, ancak aynı zamanda genel iş süreçleri ve operasyonel verimlilikle de bütünleşmesi gerekir – bu nedenle, her bir girişimde bir engel olmaktan ziyade, güvenliğin sürecin bir parçası haline geldiğinden emin olun. Üç şeritli bir yol hayal edin: en soldaki (İngiltere veya Avustralya’da değilseniz hızlı şerit) herhangi bir güvenlik kontrolü olmadan işin üzerinde olduğunu hayal edebileceğiniz şerittir, hızlı ama risklidir. Herhangi bir kaza, bir kaza meydana geldiğinde otoyolda uzun süreler boyunca yalnızca bir kesintiye değil, aynı zamanda tam bir kesintiye yol açacaktır.
Karşı tarafta, en sağ şerit (tekrar ediyorum, soldan akan trafikte değilse kamyon şeridi) güvenliğin aşırı yüklendiği, birçok kontrolün mantıklı olmadığı, kötü uygulandığı ve tüm takip eden trafiği yavaşlattığı yerdir. Şimdi, orta şeridi hayal edin: burada, daha hızlı hareket etmenize olanak tanıyan ve yine de kontrollü bir şekilde hareket etmenizi sağlayan güvenlik kontrolleriniz var; gerektiğinde daha hızlı hareket edebilir ve gerektiğinde daha yavaş moda geri dönebilirsiniz.
Güvenlik işletmeyi destekler, kontroller hizalanmıştır ve mükemmel bir anlam ifade eder, uygulamaları sorunsuzdur, sahne arkasındadır ve her zaman hızlı bir şekilde yardım alabilirsiniz. Bir kaza durumunda, sola veya sağa hareket edebilirsiniz, bu nedenle diğer şeritlerden herhangi birinden daha fazla seçeneğiniz vardır, bu nedenle bu da oldukça esnektir. Nereye gittiğimi görebiliyorsunuz, değil mi?
Benzer şekilde siber güvenlik stratejinizde esnek olmanız gerekir – uzun vadeli stratejinizi geliştirin ve uygulamaya başlayın – ancak bunu yapmak için taktikler kullanın – bir iş fırsatıyla iyi bir şekilde örtüştüğünde, başarılı olma şansı, bunu bir iş kesintisi ortasında yapmaktan çok daha fazladır. Yaklaşan durumları güvenlik stratejinizin uzun vadeli ilerlemesi için harika fırsatlar olarak kullanmayı öğrenin.
Sıfırdan siber güvenlik stratejisi geliştirmeye başlayan kuruluşlara ne gibi tavsiyelerde bulunursunuz?
Eh, bu benim daha önce CISO olarak görev yaptığım kadar sık yaptığım bir şey. İşte birkaç önemli nokta:
1. Her şirket bir hedeftir ve hacklenecektir; bu sadece zamanın ve fırsatın bir fonksiyonudur.
2. Tek bir uçuşta civcivden şahine dönüşemezsiniz; ara adımlar olacak ve kartal yuvasına ulaşmadan önce temel platformu inşa etmeye başlamanız gerekir. Bu nedenle, sağlam felaket kurtarma (DR) planları, ardından iş sürekliliği planları (BCP) ve operasyonel yetenekler (BT’nizi ölçmek, sorunlarınızı ölçmek, güvenlik sorunlarınızı/etkilerinizi ölçmek gibi) oluşturmanız gerekir.
Sonra bir seferde bir (veya birkaç) adım atın, vidaları sıkın. Güvenlik operasyon merkezinizi (SOC) kurun, tutarlı, değişmez yedeklemeler yapın (çevrimiçi olmayan sistemlerde), bazı kötü amaçlı yazılım önleme özelliklerini devreye alın, kimlik ve erişim yönetiminizi (IAM) düzenleyin, güvenlik duvarları, DMZ’ler, sıfır güven ağları, bulut güvenlik bölgeleri ile kalenizi inşa edin, şifreleme vizyonunuzu, anahtar yönetim sistemlerinizi geliştirin, şifrelemeyi etkinleştirin ve anahtar rotasyonunu gerçekleştirin. Stabilize edin, optimize edin ve ardından bir sonraki yükseltme turlarını gerçekleştirin.
Bu tür kademeli yaklaşım, şirketlerin bunalmaması ve aynı zamanda önemli yetenekleri hızlı bir şekilde kurmasına yardımcı olacaktır. Son bir madde: özellikle güvenliği hiç sağlamamış şirketler: bir ihlalle karşı karşıya kalacaksınız, güvenlik için yeni oluşturduğunuz çabaları bırakmayın, bunun yerine bunun oyunun bir parçası olduğunu anlayın. Güvenliği görmezden gelmeye devam ederseniz, varlığınızın sona ereceği bir zaman gelecektir.
Kuruluşlar siber güvenlik stratejilerini ulusal ve uluslararası siber güvenlik çerçeveleri ve yönergeleriyle nasıl uyumlu hale getirebilirler?
Bu tür birçok çerçeve ve yönerge olduğunu anlamak önemlidir – kısaca hayal edin: ISO27XXX, NIST-800-XXX, NIST CSF, CIS, COBIT, COSO, ITIL, PCI, OWASP, artı bir sürü başkası, artı tüm düzenlemeler. Dahası, bu çerçevelerin çoğu aslında parçalara ayırdığınızda oldukça benzerdir, oldukça fazla örtüşme vardır, ancak başka türlü ciddi boşluklar da vardır.
Bir veya ikisini seçmeye başlamanız ve çabalarınızda size rehberlik etmelerine izin vermeniz gerekir. Her bir parçayı dinsel olarak takip etmeniz gerekmediğini, bunun yerine genel konuyu takip etmeniz gerektiğini anlayın. Gerçekten bir şey elde ettiğinizi düşündüğünüzde, bağımsız bir denetim yapın (bu çerçeveye karşı) ve büyük olasılıkla bazı boşluklar bulacaksınız. Bunları düzeltin, bir sonraki denetim. Sonra ek bir tane alın… benzer. Öğrenme eğrisi daha dik olacak ve bir sonraki tur için daha hızlı yerleşeceksiniz.
Yakın zamanda “Premier Ciso – Yönetim Kurulu ve Üst Düzey Yöneticiler: Siber Güvenlikte çıtayı yükseltmek” adlı kitabınızı okuyucularımıza tanıtabilir misiniz?
Bu kitap gerçekten CISO’lar için yazılmıştır ve ben bu sektörde 30 yıldır sekiz CISO rolünde hizmet verdim. Bu uzmanlık, bu kitapta ele alınan konuların genişliği ve derinliğinde kendini göstermektedir. Sadece mevcut sektör durumuna ilişkin bir genel bakış paylaşmıyorum, aynı zamanda birisinin bu rolü üstlenmesinden önce, o sırada ve işteyken gerçekleşmesi gereken konuşmalar hakkında bilgi sağlıyorum – ve hatta sonrasında nasıl iletişim kurulacağı hakkında da bilgi veriyorum.
Ayrıca, CISO becerileri ve özellikleri için derinlemesine bir tanım, açıklama, analiz ve rehberlik paylaşılmadan önce özetlenmiş bir tazminat genel bakışı sunuyorum. Şimdiye kadar böyle bir çalışmadan haberdar değilim – birçok şirket CISO işe aldı, ancak hiç kimse CISO olmanın ne anlama geldiğini veya ne gerektirdiğini gerçekten söyleyemedi – bu kitap bunu değiştirmeyi amaçlıyor. Yukarıda belirtildiği gibi, CISO’nun başarılı olmak için yapması gereken C-suite ve yönetim kurulu arasındaki en önemli konuşmalara da derinlemesine dalıyorum.
Kitap daha sonra kuantum bilişim ve yapay zeka gibi siber güvenlikteki en son konulara sizi yönlendirmeden önce “CISO’nun yükselişini” anlatıyor. 30 yıllık uzmanlığım, CISO olmak isteyen veya şu anda CISO olan ve testerelerini (becerilerini ve bilgi birikimlerini) keskinleştirmek isteyen herkes için – veya C-suite, yönetim kurulu veya CISO’lar hakkında daha fazla bilgi edinmek ve onlarla nasıl çalışılacağını öğrenmek isteyen diğer gruplardaki herkes için – iyi hizmet edecektir.