Kimlik ve Erişim Yönetimi (IAM) uzmanı Strateji Sorumlusu Aaron Finnis, siber riskin diğer önemli yönlerini görmezden gelirken kontrol listelerini tamamlamaya odaklandığını gördüğünü söyleyerek siber güvenlik endüstrisindeki diğerlerini tekrarladı.
Aaron Finnis, kimlik
Siber güvenlik sözleşmelerini değerlendirirken kuruluşların nelere odaklanması gerektiğine dair görüşlerini paylaşmak için ITNews’in kardeş yayın Techpartner.news tarafından davet edilen çeşitli siber güvenlik endüstrisi rakamlarından biridir.
S: Avustralya’daki birçok kuruluşun siber güvenlik sözleşmelerini nasıl değerlendirdiklerini güncellemeye ihtiyaç duyuyor musunuz – eğer öyleyse, neden ve şimdi odaklanmaları gereken bir şey nedir?
Aaron Finnis, kimlik: Evet, müşterilerden daha kapsamlı inceleme süreçleri görüyoruz. Hizmetlerin kapsamını ve hangi verilerin tutulacağını veya erişileceğini kontrol etmeleri ve onaylamaları gerektiğini hissediyorum. Bu, zaman ve çaba kapsamını ve siber kontrollere bağlı kalmak için temel gereksinimlerin sayısını belirleyecektir..
S: Şu anda çok sık kaçırıldığını düşündüğünüz ortak bir siber güvenlik sözleşmesi kör nokta veya kırmızı bayrak mı görüyorsunuz?
Aaron Finnis, kimlik: evet. Ortak bir boşluk, müşteri varlıklarına erişimi eklemek ve ortadan kaldırmak için süreçlerdir. Genellikle satıcılar çok fazla başlangıç erişimiyle yer alırlar, ancak genellikle erişimin incelemesi veya yenilenmesi yoktur.
S: Uyum gereksinimleri ile siber güvenlik sözleşmelerine dahil edilecek pratik olanlar arasında önemli bir gerilim görüyor musunuz?
Aaron Finnis, kimlik: uyumluluk gereksinimleri daha zahmetli hale geliyor, ancak genellikle satıcıların nereden çalıştığı ve varlıklara nasıl eriştikleri gibi temel üçüncü taraf risklerini göz ardı ediyorlar.
“Odak noktasının çoğu ayrıntılı kontrol listelerini tamamlamaktır, ancak riski gerçekten azaltan pratik süreçler bazen göz ardı edilir.” – Aaron Finnis, kimlik
S: CPS 230 ve üçüncü taraf riski üzerindeki diğer düzenleyici baskı ile, siber güvenlik anlaşmaları için herhangi bir nakavt etkisi görüyor musunuz?
Aaron Finnis, kimlik: Evet, zaman içinde daha fazla ‘kontrol listesi’ stil incelemeleri görüyoruz. Bunların uzun vadede işareti kaçırabileceğini hissediyorum; Kuruluşlar büyüdükçe, siber duruşları değişecek, bu nedenle düzenli, devam eden incelemeler esastır. Bu ihtiyaç hala birçok anlaşmada bir boşluk.
S: Siber güvenlik sözleşmelerinin Xero, HubSpot, Salesforce veya diğer ortak araçlar gibi SaaS veri korumasını nasıl kapsadığı konusunda çözülmemiş sorunlar görüyor musunuz?
Aaron Finnis, kimlik: genellikle bu sözleşmeler, müzakere etmek veya değişiklik yapmak için çok az alan ile standarttır, bu da olayların zamanında raporlanmasını ve belirli bir çerçeveye uyumu zorunlu kılan hükümleri dahil etmeyi zorlaştırır.
S: Olay Yanıtı ve Kurtarma Siber Güvenlik Ortaklığı yapabilir veya kırabilir. Bir sözleşme fıkra kuruluşlarının ısrar etmesi gereken nedir – özellikle fidye yazılımı şu anda odakta raporlama ile?
Aaron Finnis, Kimlik: Keşiften sonraki 48 saat içinde olayların raporlanması. Müşteri verilerini etkileyebilecek potansiyel bir siber olaydan haberdar olmaları halinde müşterilerin hareket etmesi zordur. Bu madde benim için pazarlık edilemez.
S: Siber güvenlik sözleşmeleri, kurulların ve iş liderlerinin raporlama ve güvence ihtiyaçlarına ayak uyduruyor mu-yoksa hala çok mı odaklanmış mı?
Aaron Finnis, kimlik: Hayır diyebilirim, sözleşmeler sigorta ve sorumluluk konusunda ağır olma eğilimindedir, ancak ortakların müşteri ortamlarına nasıl erişmesi, düzenli erişim incelemeleri yürütme ve kontrol listesi kontrollerinin doğrulanması gibi anahtar kontrollerin uygulanması konusunda daha hafiftir. İdeal olarak, ortak kontrollerin etkili olduğunu doğrulamak için bağımsız güvence gerektirerek daha da ileri gitmelidirler.
S: Siber sigorta gereksinimleri, sözleşmelere ne girenleri yeniden şekillendiriyor mu – ve eğer öyleyse, müşteriler ne izlemeli?
Aaron Finnis, kimlik: evet. Müşterilerde daha yüksek seviyelerde siber sigorta kapsamı gerektiren önemli bir artış görüyoruz. Müşteriler ayrıca bu kapsamın kapsamına, ortağın istisnalarına ve sigorta şirketinin belirli çerçevelere veya minimum kontrollere uygunluğu zorunlu kılmayacaklarına yakından bakmalıdır.
S: Kuruluşların, sorumluluk sınırlama ihtiyaçlarına saygı duyarken ortaklık ortaklarını sorumlu tutmaları için akıllıca bir yol nedir?
Aaron Finnis, tanımlama: Net gereksinimleri belirleyin ve sürprizlerden kaçınmak için bunları erken iletin. Ayrıca, müşterilere yalnızca bir partnerin sözüne güvenmeden minimum kontrollerin mevcut olduğuna güven veren yıllık bağımsız güvence öneriyorum.
S: Gerçek maliyet baskısı altındaki küçük işletmeler için, siber güvenlik ortağı sözleşmelerini yapılandırmanın en etkili yolu nedir?
Aaron Finnis, kimlik: basit tutun. Sözleşmelere ve gereksinimlere karmaşıklık eklemek genellikle gerçek risk azaltma sağlamadan inceleme çabalarını artırır. Bunun yerine, net raporlama ve bağımsız güvence gibi birkaç anahtar denetime öncelik verin ve önce ortak sözleşmelerine gömüldüğünden emin olun.
Aaron Finnis, kimlikte baş strateji görevlisidir. Kimlik ve Erişim Yönetimi (IAM) konusunda uzmanlaşmıştır ve yönetilen hizmetler aracılığıyla strateji, dağıtım ve sürekli destek dahil olmak üzere uçtan uca çözümler sunar. Şirketin 25 uzman ekibi, kuruluşların zaman kazanmasına, maliyetleri azaltmasına, siber güvenliği güçlendirmesine ve sorunsuz kullanıcı deneyimleri sağlamasına yardımcı olmayı hedefliyor.
Techpartner.news adresindeki Yönetilen Servis Sağlayıcıların (MSP) dizinine bakın.
Feragatname: Bu Soru -Cevapta ifade edilen görüşler bireysel katkıda bulunanlardır ve ITNews veya TechPartner.news’in görüşlerini yansıtmaz. İçerik yalnızca genel bilgi amaçlı olarak sağlanır ve yasal, finansal veya mesleki tavsiyeler oluşturmaz.