COVID-19 salgını, benzeri görülmemiş bir uzaktan çalışmanın benimsenmesi dalgasını ateşleyerek kuruluşları hızla uzaktan işbirliği araçlarını benimsemeye zorladı. Ancak uzaktan çalışmaya geçiş, özellikle uzaktan erişim için sağlam güvenlik önlemlerinin sağlanması konusunda kendi zorluklarını da beraberinde getirdi. Bugün CISO’lar, kuruluşlarını gelişen tehditlerden ve güvenlik açıklarından korumak için güçlü bir güvenlik duruşu oluşturmaları gereken yeni bir sınırla (sınırsız bir kurumsal ortam) karşı karşıyadır.
Cisco, bu talepleri daha iyi anlamak için Forgepoint Capital, NightDragon ve Team8 ile ortaklık kurarak gelişen tehdit ortamını değerlendirdi ve bilgi güvenliği yöneticilerinin (CISO’lar) geleceğe hazırlanmak için yararlanabileceği paha biçilmez içgörüler ve çıkarımlar topladı. Birlikte, hibrit bir altyapıya dağıtılan kimliklerin, verilerin ve kodun güvenlik duruşunu tanımlayarak ekiplerin modern işletmelerin güvenliğini nasıl sağlayabileceğini anlamaya yönelik basit bir çerçeve olan 2023 CISO Hayatta Kalma Kılavuzu’nu oluşturduk.
Kimlik
Kimlik erişim yönetimi (IAM), kimlik yönetişimi ve yönetimi (IGA) ve ayrıcalıklı erişim yönetimi (PAM) arasında birleşik bir platformun bulunmaması, kuruluşlar içinde parçalanmış bir kimlik topolojisine yol açtığından, kimlik yönetimi CISO’lar için kritik bir endişe kaynağıdır. CISO’lar, teknoloji startuplarının, dağıtımı daha kolay, kapsamlı kapsam sağlayan ve zengin entegrasyonlar sunan çözümler sunarak bu sıkıntılı noktaya değinme ihtiyacını ifade ediyor.
Veri
CISO’lar artık yalnızca güvenlikle görevlendirilmiyor. Artık genel işbirliğinin ve iş operasyonlarının güvenli bir şekilde sağlanmasından da sorumlular. Bu, veri koruma ve kullanımını dengelemeleri gerektiği anlamına gelir. Bunu yapmak için CISO’lar verileri dört temel kategoriye ayırıyor:
- Veri işbirliği: Dağıtılmış veriler üzerinde veri yönetişimi kontrollerini bulabilmek ve uygulayabilmek.
- Veri güvenilirliği: Verilerin doğru ve kullanılabilir olduğundan emin olmak.
- Veri gizliliği yönetimi: Veri gizliliği düzenlemelerine uymak ve hassas veriler üzerinde analitiği mümkün kılmak için yönetişim, risk ve uyumluluk kontrollerini uygulamak.
- Veri koruması: Tüm verilerin amaçlanan amaca hizmet etmesi için erişimi bulmak, kategorilere ayırmak ve düzeltmek.
Kod
Çevik DevOps daha hızlı bir yazılım geliştirme yaşam döngüsü yarattıkça, kurumsal güvenlik yalnızca en zayıf halkası olan yazılım tedarik zinciri kadar güçlü olacaktır. Bunun ne kadar büyük bir anlaşma olduğuna dair bir fikir vermek gerekirse, ankete katılan CISO’ların %70’i yazılım tedarik zincirinin güvenliğini sağlamaya öncelik verdiklerini söylüyor. Bunu yapmak için CISO’ların, açık kaynak yönetişimi, teslimat hattı yönetimi ve üçüncü taraf yazılımlarındaki risk anlayışını içeren bütünsel bir stratejiyi benimseyebilmeleri için geliştirme hattında tam görünürlüğe ihtiyaçları olacak.
Üçüncü taraf yazılımlar başlı başına bir sorundur. Dağıtılmış bir iş gücünü çalıştırırken hızlı inovasyonu destekler, ancak kuruluşlarını güvence altına almak isteyen CISO’lar için bir kara kutu olabilir. Üçüncü taraflar işletmenin geri kalanıyla aynı güvenlik standartlarına tabi tutulmalıdır.
Altyapı
Bağlıysa siz göremeseniz bile güvenliğinin sağlanması gerekir. Bu bulut. 2025 yılına kadar işletmelerin %85’inden fazlasının bulut öncelikli bir yaklaşımı benimsemesi bekleniyor. Bu, bulut güvenliğinin herhangi bir CISO’nun öncelikleri arasında en üst sıralarda yer alması gerektiği anlamına geliyor çünkü saldırganlar da işletmeler kadar hızlı bir şekilde buluta geçiyor. İşletmelerin bulutla ilgili veri zorluklarını ele almasına olanak tanıyan pek çok araç mevcut ancak bunlar, bir veri ihlali durumunda CISO’ların kim, ne ve nerede olduğunu keşfetmesine yardımcı olacak kadar ileri gidemiyor.
CISO Hayatta Kalma Rehberi
Sürekli gelişen bu siber güvenlik tehditlerinin önünde kalmak için CISO’ların yapması gereken çok şey var. Neyse ki yeni gelişen teknoloji girişimleri, CISO’ların işletmelerini güvence altına alma konusunda bir adım önde olmalarına yardımcı olacak yeni çözümler sunuyor. Hibrit bir altyapıya dağıtılan kimliklerin, verilerin ve kodların güvenlik durumlarını tanımlamak, dağıtılmış bir iş gücüyle verileri koruyabilen güvenli bir ağa sahip olmanın yalnızca bir parçasıdır.
Anket sonuçlarına derinlemesine bir bakışın yanı sıra CISO’ların içgörüleri ve analizlerini içeren daha fazla bilgi için Cisco’nun 2023 CISO Hayatta Kalma Kılavuzunu okuyun.
yazar hakkında
Janey Hoe, Cisco Investments’ın Başkan Yardımcısıdır. Daha önce, Cisco’da çok sayıda ürün yönetimi, teknik pazarlama ve iş geliştirme liderlik rolleri üstlenmiş, milyarlarca dolarlık ürün gruplarını işletmiş ve anahtarlama, güvenlik, veri merkezi ve video işbirliğinde yeni ürünlere öncülük etmiştir. Ekibiyle birlikte Cisco’da yenilikçiliğe verilen en büyük onur olan Pioneer Ödülü’nün finalisti olarak tanındı.