Birçok küçük kuruluşun karşılaştığı mali kısıtlamalar, genellikle savunmayı güçlendirme yeteneklerine gölge düşürüyor. Bu Help Net Security röportajında Afni’nin CISO’su Brent Deterding, bütçenin, bilginin ve liderliğin rolünü keşfederek siber güvenlik yoksulluk sınırıyla ilgili gerçekleri ve mitleri araştırıyor.
Popüler kavramlara meydan okuyan ve eyleme geçirilebilir bilgiler sunan Deterding, kuruluşların dijital varlıklarını etkili bir şekilde korumak için finansal sınırlamaların üzerine nasıl çıkabileceğini ortaya koyuyor.
Bir kuruluşun mütevazı bütçesi, siber güvenlik için doğru kişileri, süreçleri ve teknolojiyi edinmesini kısıtlıyor. Deneyimlerinize göre, bu mali zorluk küçük kuruluşlar için ne kadar belirgin?
‘Siber güvenlik yoksulluk sınırı’ gerçek! Bununla birlikte, insanların, süreçlerin veya teknolojinin sınırlayıcı faktörler olduğuna inanmıyorum çünkü önemli ölçüde risk azaltımı basit (teknoloji), kolay (insan/süreç) ve ucuzdur. Açıkçası pek çok kuruluş siber güvenlik alanında ‘dişlerini fırçalamıyor’.
Çin, kuruluşların %99,9’unu hedef almıyor ve fidye yazılımı ileri düzeyde değil; ‘İnsanların %100’ü güçlü MFA kullanıyor’ gibi şeyler, çoğu kuruluşun siber risklerini önemli ölçüde azaltmak için yapabileceği en uygun maliyetli şeydir.
Siber güvenlik yoksulluk sınırının bilgi/liderlikle ilgili olduğunu düşünüyorum. Maslow’un siber güvenliğe uygulanan ihtiyaçlar hiyerarşisinin gelirin güvenliği gölgede bıraktığını takdir edin.
Sınırlı kaynakları yönetme sorumluluğumuz var ve gerçek şu ki çoğu kuruluş çok mütevazı bir bütçeyle yeterince güvence altına alınabilir. Sınırlayıcı faktör bilgi/liderliktir; ne, ne zaman ve neden yapılmalı.
Finansal boyutun yanı sıra bilgi de çok önemli bir rol oynuyor. İyi finanse edilmiş olmalarına rağmen bilgisiz ve dolayısıyla savunmasız kuruluşlarla ne sıklıkla karşılaşıyorsunuz?
Organizasyonlar neredeyse aynı olsa bile, farklı güvenlik ekiplerinin sonuçlarının eşitsizliği beni şaşırttı. ‘Güvenlik Ekibi A’ 5 kişiden oluşur, kötü adamları öldürme zincirinin başında yakalar ve görünürde bir stresi yoktur. ‘Güvenlik Ekibi B’ 10 kişiden oluşuyor ve olaylar nedeniyle sürekli stres altında. Neden? Buna bilgi diyebiliriz ama ben bunu daha doğru bir şekilde liderliğe atfederim.
‘Herkesin bildiği’ veya ‘herkesin bildiği’ şeylerden çok şüpheleniyorum. Ortak tavsiye, ortak ve kötü sonuçlara yol açar. İşte varsayımsal bir örnek. Bir CISO olduğunuzda öncelikle bir çerçeveye göre risk değerlendirmesi yaptığınızı ‘herkes bilir’. Bu, X ay sürer, Y dolara mal olur ve BT ve güvenlik görevlileriyle birçok görüşmeyi gerektirir. İşi anlamak ve işi mümkün kılarken riski büyük ölçüde nerede azaltabileceğimi görmek için çeşitli yöneticilerle konuşmak için birkaç gün ayırmayı tercih ederim. Bu, zamanın yarısını ve paranın yarısını alır.
Sınırlı fonlara sahip bir kuruluş bir risk değerlendirmesine ve politika paketine yatırım yapmaya karar verirse bu doğru yönde atılmış bir adım mı olur yoksa odaklanmaları gereken başka alanlar var mı?
Kesinlikle, ilk veya ikinci adım olarak politika yazmayın veya risk değerlendirmesine çok fazla zaman harcamayın. Ağırlıklı olarak işin anlaşılmasına odaklanan hızlı bir risk değerlendirmesi uygundur. Bu, BT veya güvenlik çalışanlarından çok finans veya operasyon ekibiyle daha fazla vakit geçireceğimize benziyor. Değerlendirmenin sonucu, riski uygun maliyetli bir şekilde azaltan, öncelikli projelerin bir yol haritasıdır.
Kuruluşlar, özellikle sınırlı bütçeye sahip olanlar, siber güvenlik tehditlerine karşı daha dirençli olmak için hangi uygulanabilir stratejileri benimseyebilir?
Maddi etkiye neden olabilecek şeylere odaklanın. Listenin başında MFA (herkes!), EDR (her yerde!), dışarıya bakan varlıklara hızlı (<72 saat) yama uygulanması ve olay yönetimi hizmetlisi gibi şeyler yer alıyor. Herhangi bir proje için, bunu yapmamanın kuruluşa önemli miktarda paraya mal olacağı makul bir hikaye anlatmak için kendinize meydan okuyun. Bu hikayeyi kolayca anlatamıyorsanız, bunu yapmak için uzun uzun düşünün.
Finansal ve bilgi engelleri göz önüne alındığında, siber güvenlik yoksulluk sınırını düşürmenin ve daha fazla kuruluşu bu sınırın üzerine çıkarmanın en etkili yolu nedir?
Kolay cevap, işi mümkün kılmak hakkında konuşan tam zamanlı veya yarı zamanlı bir CISO’yu işe almak ve onu dinlemektir. Bu onların genel yaklaşımının oldukça göstergesidir. Yoksulluk sınırının altındaki birçok kuruluşa sağlam bir vCISO (yarı zamanlı CISO) tarafından iyi hizmet verilecektir.