Trackd’in CEO’su Mike Starr tarafından yazılmıştır.
Çoğu zaman sözde bağlılık gösterilir (ya da daha kötüsü kasıtlı olarak ihmal edilir) ve nadiren takdir edilir, ancak güvenlik için ödenmesi gereken bir operasyonel maliyet vardır. Güvenlik kontrolleri verimsizlik yaratır ve bu güvenlik önlemleri de operasyonel risk oluşturabilir. Örnek vermek gerekirse, yakın zamanda dosya şifrelemenin ne zaman yetkisiz olduğunu ve dolayısıyla olası bir kötü amaçlı yazılım saldırısının göstergesi olduğunu tahmin etmek için davranış analizini kullanan ilgi çekici yeni bir kötü amaçlı yazılımdan koruma ürünüyle karşılaştım. Böyle bir senaryo tespit ettiğinde şifrelenmiş dosyaları ve bunlara erişimi olanları kilitler. Her ne kadar günümüzün belki de en yaygın saldırısına karşı değerli bir destek olsa da, hatalı bir pozitif sonucun meşru kullanıcıların dosya erişimini geçici olarak engelleyerek kuruluşun üretkenliğini etkilemesi gibi yadsınamaz bir operasyonel risk vardır. Bu durumda, kritik bir güvenlik katmanı için ödenmesi gereken küçük bir bedel olabilir; ancak operasyonel maliyetin sınırlı olduğunu ve riskin önemsiz olmadığını anlamak önemlidir.
Siber güvenlik faaliyetlerinin iş operasyonları üzerindeki etkisinin belki de en bariz örneği güvenlik açığı iyileştirme alanıdır. Tipik kuruluşlarda, siber güvenlik ekibi güvenlik açıklarını belirler ve bu bilgiyi, savunmasız cihazlara yama yapılması için BT ekibine iletir; bu, kağıt üzerinde anlamlı olabilecek ancak gerçekte anlaşılır çatışmalara neden olabilecek bir süreçtir. Bu iki grubun (Güvenlik ve BT) oldukça farklı hedefleri vardır. Siber güvenlik ekibi açık bir şekilde kurumu siber saldırılara karşı korumaktan sorumludur; BT operatörleri ise sistemlerin kullanılabilirliği ve kurumsal üretkenliğe göre yönlendirilir. Ve BT’deki herkesin çok iyi bildiği gibi yamalar bazı şeyleri bozabilir. Her ne kadar yıkıcı yamalardan kaynaklanan sistem arızaları bugün örneğin 20 yıl öncesine göre çok daha nadir olsa da, BT operatörlerinin ağlarında ve dolayısıyla kariyerlerinde Rus Ruleti oynama konusunda anlaşılır bir şekilde endişeli olduklarını söylemeye gerek yok.
Rahatsızlıktan (şifre değiştirme) üretkenlik üzerinde ciddi etkileri olan politikalara (kritik satıcıların işe alınmasını aylarca geciktirebilecek kapsamlı 3. taraf taraması) kadar geniş bir yelpazeyi kapsayan üretkenliği etkileyen güvenlik gereksinimlerinin sayısız başka örneği vardır ve bunların tümü, Güvenlik profesyonellerinin, kuruluşun çıkarlarını (veya mevzuat uyumluluğunu) en iyi şekilde gözeterek iyi niyet göstermeleri. Peki güvenlik ekipleri, kuruluşu korurken operasyonel risk ve yükü nasıl en aza indirir?
Sağlıklı ancak zorlayıcı olmayan siber güvenliğin anahtarı, öncelikle güvenliğin risk yönetimiyle ilgili olduğunun ve daha fazla araç ve politikanın her zaman iyi bir şey olmadığının gerçek anlamda tanınmasıdır. Güvenlik uygulayıcıları, politikalarının kuruluştaki herkes üzerindeki etkisini ve güvenliğin riski sıfıra indirmeye yönelik nafile bir çaba değil, riski yönetmekle ilgili olduğunu takdir etmelidir. Siber güvenlik söz konusu olduğunda, daha azı daha fazla olabilir.
Bu takdir ve bundan kaynaklanan politikalar ve faaliyetler, hemen hemen tüm siber saldırıların günümüzün tehdit ortamındaki üç teknikten birinden kaynaklandığının kabul edilmesiyle başlamalıdır:
- Çalınan kimlik bilgileri
- E-dolandırıcılık
- Düzeltilmemiş güvenlik açıkları
Bu gerçeklik, siber güvenlik ekibinin aldığı kararlara yön vermelidir. Konseptten uygulamaya kadar şu soru sürekli sorulmalıdır: Bu politika veya ürün, kuruluşun çalınan kimlik bilgileri, kimlik avı veya yama yapılmamış güvenlik açıkları tarafından başlatılan bir saldırıya maruz kalma riskini önemli ölçüde azaltacak mı? Tamamlayıcı bir soru, yeni politikanın/aracın başarılı olması durumunda saldırının ciddiyetini sınırlayıp sınırlamayacağını da eklemelidir. Cevap açık bir evet değilse güvenlik ekibi, özellikle de operasyonlar üzerinde gözle görülür bir etkisi varsa, yaklaşımı yeniden değerlendirmelidir.
Doktorların muayenehaneleri ve devlet kurumları, hastalardan ve vatandaşlardan açıkça gereksiz veya gereksiz bilgiler gerektiren formlar geliştirme konusunda efsanedir; görünüşe göre bunun motivasyonu sadece bunu yapabilmeleri ve deneyim, zaman veya deneyimle tamamen ilgilenmiyorlar. seçmenlerinin hayal kırıklığı. Hepimiz, güvenlik ekibinin politikalarının, kuruluş çalışanlarının deneyimleri veya operasyonel ihtiyaçları göz ardı edilerek benzer şekilde geliştirildiği görünen kuruluşlarda bulunduk. Güvenlik ekipleri ve sağlık hizmetleri/hükümet formu tasarımcılarının her ikisi de bu soruyu kelime dağarcığına eklese iyi olur:
Bu gerçekten gerekli mi?
yazar hakkında
trackd’in CEO’su ve Kurucusu Mike Starr, işlevler arası bir lider ve yeni ve yıkıcı pazarlarda ürün oluşturma ve piyasaya sürme konusunda deneyime sahip eski bir NSA mühendisidir. Fortinet, OPAQ Networks, IronNet ve NSA’da ekipler kurdu ve yönetti. Mike, lisans derecesini SUNY Alfred’den aldı ve boş zamanlarında şarap içmeyi ve fantastik romanlar okumayı seviyor.
Mike Starr’a çevrimiçi olarak ulaşılabilir [email protected] veya LinkedIn’de ve şirketimizin web sitesinde.