Kâr amacı gütmeyen siber profesyonel üyelik derneği ISC2, Birleşik Krallık hükümetinin yakın zamanda başlattığı Yazılım Güvenliği Elçisi Programına uzman danışman olarak katıldı.
Yılın başında Ulusal Siber Güvenlik Merkezi (NCSC) ve Bilim, Yenilik ve Teknoloji Departmanı (DSIT) tarafından kurulan program, Westminster’ın kamu sektörünün siber dirençliliğine yönelik yaklaşımları sıfırdan yeniden şekillendirmeye yönelik 210 milyon £ tutarındaki daha geniş taahhüdünün bir parçasını oluşturuyor ve konuya yönelik önceki yaklaşımların temelde hiçbir yere varmadığını ve dirençlilik için daha önce belirlenen hedeflerin ulaşılamaz olduğunu kabul ediyor.
Kuruluşları yazılım ürünlerinin güvenliğine daha fazla dikkat etmeye teşvik etmek için tasarlanmıştır ve güvenli yazılımın neye benzeyeceğini tanımlayan bir dizi gönüllü ilke olan Yazılım Güvenliği Uygulama Kurallarının daha geniş çapta benimsenmesini destekler.
ISC2, aralarında Cisco, Palo Alto Networks ve Sage’in de bulunduğu bir dizi teknoloji tedarikçisine katılıyor; Accenture ve NCC Group dahil danışmanlıklar ve hizmet sağlayıcılar; ve Lloyds Banking Group ve Santander gibi finansal hizmet firmaları. Diğer siber dernek ISACA da bu projeye katılıyor.
ISC2’nin savunuculuk ve stratejik katılımdan sorumlu başkan yardımcısı Tara Wisniewski, “Ekonomiyi, kamu hizmetlerini ve ulusal altyapıyı destekleyen sistemlerin dayanıklılığını güçlendiren güvenli yazılım uygulamalarını teşvik etmek, ISC2’nin misyonunun merkezinde yer alıyor” dedi.
“Kod, yazılım güvenliğini dar kapsamlı uyumluluğun ötesine taşıyor ve yönetim kurulu düzeyinde esneklik önceliğine yükseltiyor. Tedarik zinciri saldırılarının ölçeği ve etkisi büyümeye devam ettikçe, ortak bir temel önemlidir ve küresel topluluğumuz ve uzmanlığımız aracılığıyla ISC2, profesyonellerin tasarım gereği güvenlik ilkelerini uygulamaya koymak için gereken becerileri geliştirmelerine yardımcı olmaya kararlıdır” dedi.
Yazılım, dayanıklılığın önünde büyük bir engel oluşturuyor
Geçen yıl ISC2 tarafından gerçekleştirilen daha geniş tedarik zinciri riskleri üzerine bir araştırma, dünya çapındaki kuruluşların yarısından biraz fazlasının, yazılım tedarikçilerinin ürünlerindeki güvenlik açıklarının, genel tedarik zincirleri için en yıkıcı siber güvenlik tehdidini temsil ettiğini bildirdiğini ortaya çıkardı.
Ve Dünya Ekonomik Forumu’nun (WEF’ler) Küresel Siber Güvenlik Görünümü 12 Ocak’ta yayınlanan rapor, üçüncü taraf ve tedarik zincirindeki güvenlik açıklarının, üst düzey yöneticiler tarafından siber dayanıklılık oluşturmanın önünde büyük bir engel olarak görüldüğünü ortaya çıkardı.
WEF’in yıllık anketine katılanların toplam %65’i, bu tür kusurları, kuruluşlarının dirençlilik yolunda karşılaştığı en büyük zorluk olarak işaretledi; bu oran 2025’in başındaki %54’tü. Bu oran, gelişen tehdit ortamı ve ortaya çıkan yapay zeka teknolojisi, eski BT sistemlerinin kullanımı, mevzuata uygunluk ve yönetişim ile siber beceri eksiklikleri gibi faktörleri geride bıraktı.
Tedarik zincirinin en önemli siber riskleri konusunda baskı altında olan katılımcılar, tedarikçilerinin tedarik zincirlerine ilişkin görünürlük eksikliği ve kritik üçüncü taraf tedarikçilere aşırı bağımlılıktan ziyade, yazılım ve diğer BT hizmetlerinin bütünlüğünü güvence altına alma becerileri konusunda en çok endişe duyuyorlardı.
Birleşik Krallık’ın Uygulama Kuralları, teknoloji sağlayıcıları ve yazılım ürünleri geliştiren, satan veya satın alan diğer kuruluşlar için beklentileri ve en iyi uygulamaları belirleyerek bu zorluğa yanıt vermeyi amaçlamaktadır. Güvenli tasarım ve geliştirme, yapı ortamlarının güvenliği, dağıtım ve sürekli bakım ile müşteriler ve kullanıcılarla şeffaf iletişim gibi hususları kapsar.
Elçi rolünün bir parçası olarak ISC2, Uygulama Kurallarının geliştirilmesine ve iyileştirilmesine yardımcı olacak ve aynı zamanda rehber ilkelerini kendi siber eğitim ve mesleki gelişim hizmetlerine dahil ederek onu destekleyecektir – kuruluşun 10.000 Birleşik Krallık üyesi ve ortağı bulunmaktadır.
Ayrıca, çeşitli bilinçlendirme kampanyaları yoluyla Uygulama Kurallarının benimsenmesine yardımcı olacak, bunu sertifikalarına, eğitimlerine ve rehberliğine dahil edecek, uygulamayı teşvik etmek için sektör paydaşları ve üyeleriyle etkileşime girecek ve hükümlerini kendi ticari tedarikçileriyle yaptığı çalışmalara dahil edecek.