Bu Help Net Security röportajında Reciproc-IT CEO’su Baya Lonqueux, gelişen siber güvenlik ortamını ve bu alanda çalışan ekipler için gereken temel becerileri tartışıyor. Röportaj, iş siber güvenlik risklerini yönetmek için teknik uzmanlıktan organizasyonel ve yönetişim becerilerine odaklanmaya geçişin altını çiziyor.
Lonqueux ayrıca siber güvenlik risklerini azaltmak için gereken proaktif önlemleri de ele alıyor; güvenlik ihtiyaçlarının belirlenmesinin, uyumluluğun sağlanmasının ve öncelikli eylemler için risklerin simüle edilmesinin önemini vurguluyor.
En yetenekli ekipler bile siber güvenliği yönetmeyi bunaltıcı bulabilir. Sürekli değişen bu ortamda ekiplerin sahip olması gereken en önemli beceriler nelerdir?
Daha genel olarak siber güvenlik riskleriyle uğraşan ekipler çoğunlukla operasyonel ve daha tekniktir. Bu alan uzun süredir tamamen BT konusu olarak görülüyor ve eğitim teknik kaynaklar sağladı ve sağlamaya devam ediyor. Bugün doldurulması gereken şey, siber güvenlik risklerinin organizasyonu, yönetimi ve yönetimidir. Bunlar iş dünyasında yaygınlaştırılması gereken becerilerdir.
Siber saldırganların yöntemleri ve hedefleri nasıl gelişti ve bu, kurumsal koruma stratejileri açısından ne anlama geliyor?
Siber saldırganlar şirketlerin aldığı ve alacağı önlemleri öngörerek hızla gelişiyor. Siber saldırganlar kurbanlarını sürekli tanıyıp izleyerek bir adım önde olmalarını sağlar. Şirketlerin ise kendi koruma stratejilerini hedeflemesi, hassas olanı güvence altına alması, hatayı teşvik eden büyük gözetim korumalarından kaçınmak için kritik varlıkları izole etmesi gerekiyor.
Proaktif eylem, siber güvenlik risklerini azaltmanın anahtarıdır. Şirketler hangi proaktif önlemleri uygulamalıdır?
- Şirketin güvenlik ihtiyaçlarının farkında olduğundan emin olun ve işletme yöneticilerini de dahil ederek bunları açıkça tanımlayın: Bu eylemin temel amacı, korunacak varlığı hedeflemektir.
- Bu ihtiyacın ifadesine göre uyumluluk düzeyini doğrulayın: Bu ihtiyacı karşılamak için gerekli güvenlik önlemleri doğru şekilde uygulanıyor mu?
- Bu, halihazırda uygulanmakta olan önlemlerin olgunluk düzeyini belirlemek için bilgi sisteminizde bir boşluk analizinin yapılmasını içerir.
- Bu önlemler en son teknolojiye ve kurumsal standartlara (düzenleyici veya dahili) uygun mu?
- Bu sonuçlara dayanarak, şirketin potansiyel olarak saldırıya uğrayıp uğramayacağını kontrol etmek için riskleri simüle edin.
- Risk senaryoları ve bunların olasılık düzeyleri tanımlanır. Düzeltici eylem için en olası senaryolara öncelik verilir.
Uyumluluk, siber güvenlik risk yönetiminin daha geniş stratejisine nasıl uyuyor? Bu, sağlam bir siber güvenlik stratejisinin itici gücü mü yoksa yan ürünü mü?
Uyumluluk şüphesiz sağlam bir siber güvenlik stratejisinin arkasındaki itici güçlerden biridir.
Şirketler güvenlik standartlarına uygunluk düzeylerini sürekli sorgulamak zorundadır. Bu uyumluluğa dayalı yaklaşım, sürekli iyileştirme sürecinin uygulanmasını kolaylaştıracaktır. Başarılı dayanıklılık için kazandıran bir çözüm.
Şirketlerin siber güvenlik risklerini nasıl yönettiğini ve bunların uçtan uca koruma stratejisinde nasıl hesaba katılması gerektiğini etkileyen bazı küresel düzenlemelerden bahsedebilir misiniz?
Bugüne kadar, her alan ve büyüklükteki işletmelerde gerçekten etki yaratan ve farkındalık yaratan tek düzenleme, Avrupa vatandaşlarının kişisel verilerinin korunmasını ifade eden GDPR’dir. 2018 yılından itibaren gelen bu düzenleme ortalığı karıştırdı. Şirketler hangi verileri korumaları gerektiğini, nerede saklandıklarını ve nasıl koruyacaklarını bilmek zorundalar. Sonuç olarak şirketler güvenliği ciddiye almaya ve neyin tehlikede olduğunu anlamaya başladı.
Düzenleme, güvenlik söz konusu olduğunda şirketlerin olgunluk düzeyini yükseltmenin iyi bir yoludur. Yakında çıkacak olan Avrupa düzenlemeleri NIS2 ve DORA’nın önemli bir etkisi olacaktır. İşletmelerin büyük bir kısmını etkileyecekler ve kurumsal, işlevsel ve operasyonel düzeylerde uçtan uca bilgi güvenliğini ele alacaklar. İşte işin ilginçleştiği yer burası!
Siber güvenlik risklerinin uçtan uca yönetimini geliştirmek isteyen kuruluşlara ne gibi tavsiyeleriniz var?
Cevabım önceki cevapların hepsinde neredeyse örtülü.
Karşılaştığı zorluklarla başa çıkabilecek güvenliği sağlamak için bir şirketin pragmatik olması, gerekli ve kritik olanı güvence altına alması ve eylemlerini önceliklendirmesi gerekir. Her şeyi ve hiçbir şeyi güvence altına alamazsınız. Risk analizi önemli bir araç olmalıdır ve iyi güvenlik uygulamalarına rehberlik etmesi gereken de bu yaklaşımdır. Siber güvenlik araçlarını nereye takacağınızı bilmeden satın almanın hiçbir anlamı yok.
- Kritik varlıklarınızı tanımlayın
- Uyumluluk düzeyinizi kontrol edin
- Risklerinizi simüle edin ve analiz edin
- Belirlenen risklere karşılık gelen gerekli önlemleri uygulayın
- Bu önlemlerle bağlantılı eylem planını izleyin