3. Taraf Risk Yönetimi, Yönetim ve Risk Yönetimi, Güvenlik Operasyonları
Risk Oluşturan Operasyonel ve Prosedürel Sorunlara Bakmak
Yağmur Verma •
19 Eylül 2024
Siber güvenlikte, siber saldırıları tamamen teknik arızalar olarak görme tuzağına düşmek kolaydır. Bir ihlal gerçekleştiğinde, ilk içgüdü genellikle güvenlik duvarlarını suçlamak, tehlikeye atılmış makineleri suçlamak veya gözden kaçmış olabilecek yazılım yamalarında hata bulmaktır. Odak noktası doğrudan teknik yönlere yerleştirilir: sistemlerde neyin yanlış gittiği, güvenlik açıklarının nerede olduğu ve saldırganların bunları nasıl istismar ettiği. Bu teknik hususlar kritik olsa da, daha geniş resmin yalnızca bir kısmını temsil ederler.
Ayrıca bakınız: JAPAC | Uygulamalarınızı Güvence Altına Alın: Yapay Zeka Tarafından Oluşturulan Kod Riskini Nasıl Önleyeceğinizi Öğrenin
Askıya alınmış bir varlık normalde kullanacağı bir sisteme erişebiliyorsa, bu bir siber güvenlik hatası mıdır yoksa daha derin bir şey midir? Genellikle işlerin operasyonel tarafını göz ardı ederiz. Bir organizasyondaki her makine, her yazılım parçası ve her kullanıcı hesabı, gerekli kontroller düzgün bir şekilde uygulanmaz ve pratik edilmezse önemli ölçüde büyütülebilecek operasyonel risk unsurları oluşturur. Siber olaylara asla yalnızca teknik arızalar olarak bakılmamalıdır çünkü bunu yapmak, bu olaylarda sıklıkla önemli bir rol oynayan kritik operasyonel ve prosedürel sorunları gözden kaçırır.
Kontrolleri Uygulamanın Önemi
Çoğu kuruluşun uygun ve doğru kabul edilen bir dizi yazılı prosedürü vardır. Bunlar genellikle politika kılavuzlarında ve prosedür rehberlerinde iyi belgelenmiştir. Zorluk, bu kontrollerin tutarlı bir şekilde uygulanması ve uygulanmasında yatmaktadır – tekrarlanabilirlik. Genellikle, rekabet eden öncelikler veya kaynak kısıtlamaları nedeniyle, bu prosedürler ya takip edilmez ya da tutarsız bir şekilde uygulanır. Aynı birim içinde iki veya üç çalışanla bir süreç yürüyüşü yaptığınızda, her çalışan aynı SOP’yi biraz farklı takip edebilir – ve yazılı SOP ile uyuşmayabilir.
Harici tedarikçiler ve üçüncü taraf hizmet sağlayıcıları, ister fiziksel güvenlik sistemlerini yönetiyor, ister BT desteği sağlıyor veya belirli iş süreçlerini denetliyor olsunlar, bir organizasyon içinde sıklıkla önemli roller oynarlar. Bu tedarikçiler, organizasyonun tesislerine fiziksel erişime veya ağlarına ve hassas verilerine sanal erişime sahip olabilir. Tam zamanlı çalışanlar olmasalar da, kritik sistemlere, süreçlere ve bilgilere erişimleri genellikle dahili personelle aynı seviyededir.
Teknik rollerde yer alan dış tedarikçiler genellikle kritik sistemlere kapsamlı erişime sahiptir. Bunlar, mecazi anlamda, operasyonların sorunsuz bir şekilde yürütülmesini sağlamak için “ellerini çamura sokan” kişilerdir. Kendilerine verilen erişim düzeyi, dış statüleriyle birleştiğinde, sıklıkla hafife alınan benzersiz bir operasyonel riskler kümesi sunar.
Harici Tedarikçiler ve Siber Güvenlik
Kuruluşun dijital ışıklarının açık kalmasını sağlamakla görevli BT ve bilgi güvenliği ekipleri, genellikle harici tedarikçileri harici durumları ile dahili çalışanların durumları arasında ayrım yapmadan ağa entegre eder. Tedarikçilere normal çalışanlarla aynı sistemlere ve ağlara erişim izni verilir. Ancak belki de bu erişimler farklı şekilde izlenmelidir
Operasyonel riskin siber güvenlikle iç içe geçtiği yer burasıdır. Harici tedarikçiler, ek bir inceleme veya kontrol olmaksızın sistem erişimi açısından dahili çalışanlarla aynı muameleyi gördüğünde, kuruluş önemli risklere maruz kalır. Bu riskler yalnızca tedarikçilerden kaynaklanan potansiyel kötü niyetli niyetle ilgili değildir, aynı zamanda erişim haklarını tam olarak anlamadan veya izlemeden ortaya çıkabilecek operasyonel arızalarla da ilgilidir.
Operasyonel politikalar, erişimin gerektiğinde kaldırılmasını sağlayarak ilk sırayı oluşturmalıdır. Bir satıcının erişimi, sözleşmelerinin feshedilmesinden sonra derhal iptal edilmezse, kuruluş yetkisiz erişime karşı savunmasız hale gelir. Satıcı herhangi bir zarar vermeyi amaçlamasa bile, eski bir üçüncü tarafla ilişkili aktif bir hesabın varlığı, istismar edilmeyi bekleyen bir güvenlik açığıdır. Birçok durumda, bu boşluklar yalnızca bir ihlal meydana geldikten sonra, ölüm sonrası analiz sırasında, işten çıkarma için operasyonel prosedürlerin ya takip edilmediği ya da yetersiz olduğu netleştiğinde belirlenir.
Farklılaştırılmış Erişim İzleme İhtiyacı
Harici tedarikçilerle ilişkili benzersiz riskler göz önüne alındığında, kuruluşların bu üçüncü taraflar için erişimi nasıl izlediklerini ve yönettiklerini farklılaştırmaları önemlidir. Bu güvensizlikle ilgili değildir; onların katılımının farklı doğasını ve getirdikleri potansiyel operasyonel riskleri tanımakla ilgilidir. Kuruluşlar aşağıdaki uygulamaları uygulamayı düşünmelidir:
- Belirli erişim kontrolleri oluşturun. Harici tedarikçiler için bu kontroller, erişimlerinin rolleri için gerekli olanla sınırlı olmasını sağlar. Bu erişim haklarını düzenli olarak gözden geçirin ve gerektiği gibi ayarlayın.
- Sıkı işten ayrılma prosedürlerini uygulayın. Tedarikçilere erişimi iptal etmek için net zaman çizelgeleri sağlayın. Bu süreç, insan hatasını önlemek için mümkün olduğunca otomatikleştirilmelidir.
- Farklılaştırılmış izlemeyi kullanın. Satıcıların alışılmadık faaliyetlerine veya erişim modellerine odaklanın. Bu, potansiyel anormallikleri işaretleyen gelişmiş analizler ve AI destekli güvenlik çözümleri aracılığıyla elde edilebilir.
- Düzenli denetimler yapın. Tüm üçüncü taraflar, özellikle de satıcılar için erişim haklarını denetleyin. Bu, herhangi bir operasyonel riskin derhal belirlenmesini ve azaltılmasını sağlamaya yardımcı olur.
Siber güvenlik karmaşık ve çok yönlü bir disiplindir. Sadece güvenlik duvarları, yamalar veya tehlikeye atılmış makinelerle ilgili değildir. Siber güvenliğin operasyonel yönlerinin sadece sonradan akla gelen bir şey değil, bir organizasyonun savunma stratejisinin temel bir bileşeni olduğundan emin olmalıyız. Reaktif önlemlere daha az, proaktif yönetime daha çok güvenmeliyiz. Bunu yaparak, reaktif yangın söndürmenin ötesine geçip kurumları gerçekten koruyan kapsamlı bir siber güvenlik yaklaşımına doğru ilerleyebiliriz.