Tüm kuruluşlar silolar diker – gruplar ve departmanlar arasında, işlevler arasında ve teknolojiler arasında silolar. Silolar uygulamalar, kültür ve operasyonlardaki farklılıkları temsil eder. Onların varlığı iletişimi ve işbirliğini engeller. Şirketler başlangıçtan orta büyüklüğe ve öteye kadar ölçeklendikçe, silolar çoğalır ve kemikleştirir. Operasyonlar bir siteden birçok kişiye, şirket içi buluta, miradan gelişmekte olan teknolojiye (örneğin, bulut ve AI) genişledikçe, silolar devrilmez; devam ediyor ve çoğalıyorlar.
Hiçbir yerde siber güvenlikten daha belirgin ve daha zorlu silolar yoktur. Endüstri uzmanları birleşik bir yaklaşım ve bütünsel bir saldırı yüzeyleri vizyonu gerektirir, ancak siber güvenlik pazarı, her biri kendi yaklaşımı ve kendi silolarına sahip araçlar ve mimarilerle çalkalanır.
Cymetry One’da müdür Tyson Kopczynski ve Aledade ve Oportun’daki eski Ciso ile siber güvenlikteki siloların zorluklarını tartışmak için oturdum.
Sizce siber güvenlikteki silolar neyden geliyor? En çok zorlukları nerede yaratıyorlar?
Siber güvenlikteki silolar, ekipler ve işlevler arasındaki farklı öncelikler, perspektifler ve yaklaşımlardan kaynaklanır. Bu bölünmeleri köprülemek, net iletişim, işbirliği ve bir kuruluşun risk yönetimi stratejilerinin ortak bir şekilde anlaşılmasını gerektirir. Bazı örnekler şunları içerir:
Güvenlik ve Geliştirme: Güvenlik ekipleri elbette kontrollere öncelik verirken, kalkınma ekipleri hız ve çevikliğe odaklanır ve prototipleme ve dağıtımı etkileyen güvenlik süreçleri üzerinde çatışmalara yol açar.
Ağ ve uç nokta güvenliği: Bu iki tamamlayıcı odağın farklı öncelikleri ve araçları vardır, kapsam ve yanlış hizalanmış yanıt stratejilerinde boşluklar oluşturur.
Bulut ve Şirket içi güvenlik: Kuruluşlar buluta göç ettikçe, miras içi güvenliğe odaklanan ekipler ile bulut altyapısı ve bulut yerli güvenlik çözümlerini yöneten ekipler arasında kopya çabaları ortaya çıkmaktadır.
Yönetişim/Risk Yönetimi ve Güvenlik Operasyonları: Yönetişim, uzun vadeli stratejilere ve risk değerlendirmelerine odaklanırken, operasyonlar önceliklerdeki potansiyel kopukluk ile derhal tehdit tespiti ve yanıtına odaklanmaktadır.
Uygulayıcılar uç noktalar, uygulamalar, ağ güvenliği, güvenlik açığı yönetimi, bulut güvenliği, tehdit avı ve sayısız diğer alanlara yönelik araç setleri edinmeye ve dengelemeye devam ediyor. Ancak takımlar bir tedavinin kendisi değildir, başarılı olmak için ekiplerin ve süreçlerin hizalanmasını gerektiren bir hızlandırıcıdır.
Bahsettiğiniz siloların çoğu siber güvenlik araçlarıyla ilgilidir ve birçok örtüşen aracı yönetmek kesinlikle zordur. Peki ya takımlar? Siber ekiplerde benzer sorunlar görüyor muyuz?
Kesinlikle. Tipik olarak, teslimat ve yönetim açısından siber güvenliğin karmaşık ‘sistemi’ ile başa çıkmak için iyi tanımlanmış bir kas yoktur. Birden fazla ekipte riskleri yönetmek için çeşitli güvenlik araçlarının yaygın kullanımı genellikle aşırı gürültü yaratır, bu da gerçekten dikkat çekmesi gereken şeyin tespit edilmesini zorlaştırır.
Buna ek olarak, güvenlik ekibi, ürün ekibi, DevOps ve hatta iş birimleri olabilecek belirli görevlerden kimin sorumlu olduğunu belirlemek için önemli zaman ve çaba harcanmaktadır. Bu, takımlar arasında geçiş görevlerinin zaman alıcı bir döngüsüne yol açar, anlayışları için çalışmayı biçimlendirir ve tamamlanmasını sağlamak. Mevcut araçlar sorunları belirlemeye yardımcı olurken, bunları çözmek için gereken yürütmeyi ve takipi desteklemede yetersiz kalırlar.
Bir organizasyon büyüdükçe ve çevresi daha karmaşık hale geldikçe, bu süreç giderek zorlaşıyor. Birçok güvenlik ekibinde güçlü proje yönetimi yeteneklerinin olmaması soruna katkıda bulunur. Araçlar siber güvenlik tehditlerini ve sorunlarını belirlemede mükemmel olsa da, genellikle gerçek çözünürlük sürecini destekleyemezler, bu da görevleri tamamlamayı, döngüyü kapatmayı ve etkili bir şekilde takip etmeyi zorlaştırır.
Siperlerde bulundunuz – siz ve ekipleriniz siberdeki siloları parçalamaya ve nihayetinde daha iyi sonuçlara ulaşmaya yardımcı olmak için ne yaptınız?
Çözmenin bir yolu değişim yönetimidir. Mühendislik departmanlarında güçlü proje yönetimi süreçleri olan şirketler, bu uygulamaları ürün veya teslimat yöneticilerine yatırım yapmak da dahil olmak üzere güvenlik ekiplerine genişletmelidir. Ayrıca, kesintisiz entegrasyon için daha fazla geliştirici dostu güvenlik araçlarına ihtiyaç vardır. Bunlar olmadan, geliştiriciler güvenlik araçlarında gezinmekte zorluklarla karşılaşarak yürütmede gecikmelere neden olur.
Sonuçları iyileştirmek için kuruluşların sağlam değişim yönetimi süreçleri oluşturmaları ve güvenlik araçlarını daha iyi entegre etmeleri gerekir. Bu, geliştiricileri gerektiğinde güvenlik ekiplerini uzman danışman olarak dahil ederken, iş akışları içindeki güvenliği ele almalarını sağlayacaktır.
Siber güvenlik hala teknik bir disiplin, yazılım mühendisliği ve insan yönetiminin bir karışımıdır, açıkçası, eğer bir kuruluş mühendislik konusunda yetenekli değilse, güvenlikte mükemmel olması pek olası değildir.
Tamam, biraz siber güvenlik araçlarına geçelim – ek silolara yardım ediyor mu yoksa yaratıyorlar mı?
Her ikisinden de biraz, derim. Doğru yan kuruluşlara ve ekiplere iyileştirme önerileri ve uyarıları almaya odaklanan harika araçlar vardır. En iyi araçlar ayrıca ekiplerin bir eylem öğesinin çözüldüğünü görmeleri için kapalı bir döngü olmasını sağlayacaktır. Ayrıca, sayısız uyarıya öncelik vermeye yardımcı olan araçlar zaten çok yardımcı oluyor.
Birden fazla ekipte riskleri etkili bir şekilde yönetmek için kuruluşlar, güvenlik araçlarının kullanımını kolaylaştıran ve yalnızca ilgili bilgi yüzeylerinin doğru ekibe sağlanmasını sağlayan entegre bir yaklaşım benimseyebilir. Daha sonra, uyumlu süreçler ve net iletişim kanalları uygulayarak, ekipler gürültüyü azaltabilir ve temel görevleri daha verimli bir şekilde önceliklendirebilir.
Benim ilk tercihim olan araçlar, büyük ölçüde operasyonelleştirmeye odaklanan, görev delegasyonunu basitleştiren ve ilgili tüm ekiplerde kaynak tahsisini optimize eden araçlardır.
Bitirmek istediğiniz herhangi bir özet var mı?
Bununla birlikte ayrılırdım-siber güvenlikte yoğun bir şekilde sessiz takımların ve araçların çözümü, temel süreçlerin oluşturulmasında ve uçtan uca entegrasyon ve sahipliği kolaylaştırmak için araçların iyileştirilmesinde yatmaktadır. Bu olduğunda, geliştiriciler (ve diğer ekipler) gerektiğinde güvenlik ekipleri danışman olarak katılırken geliştirme ortamlarında güvenli bir şekilde çalışabilirler.
Teşekkürler Tyson. Benim bakış açımdan, önerilerinizin siber güvenlik silolarını kırmak için uzun bir yol kat edebileceğini düşünüyorum. Silolar arasında bütünsel bir görüşe duyulan ihtiyaç hiç bu kadar kritik olmamıştır. Organizasyonların dijital ayak izi hibrid bulut ve şirket içi ortamlara yayıldıkça, bu farklı ortamları tekil bir bakış açısından güvence altına almanın zorluğu CISO’lar için büyük bir odak noktası haline geliyor.
Saldırı yüzeyi ve tehdit manzarasına ilişkin kapsamlı bir bakışla, kuruluşlar en kritik tehditleri etkili bir şekilde tanımlayabilir ve önceliklendirebilir ve bu da kaynakların en önemli risklerine tahsis edilmesine yol açabilir.