Şirketlerin siber tehditler nedeniyle milyonlarca kişinin kanını kaybetmesini önlemek için, BT ve ağ erişimi hususlarının ötesine geçen bir dizi girdiyi göz önünde bulundurarak, başlangıçtan itibaren güvenlik stratejilerine uyum sağlama yeteneği oluşturmaları gerekiyor.
Bu Help Net Security röportajında, Lenovo Ticari Siber Güvenlik Çözümleri İcra Direktörü ve Genel Müdürü Nima Baiati, geliştirme ve güvenlik ekipleri arasındaki kopukluğu, şirketlerin güvenliğe nasıl öncelik vermesi gerektiğini ve neden çok katmanlı bir strateji kullanmanın güvenliği sağlamanın en iyi yolu olduğunu tartışıyor İşletim sisteminin üstünde ve altında.
Tasarım aşamasında güvenliğin sahipliği konusunda geliştirme ve güvenlik ekipleri arasında bir kopukluk var. Bunun neden sorunlu olduğunu açıklayabilir misiniz?
Tasarım aşamasında güvenliğin net bir şekilde sahiplenilmemesi durumunda birçok sorun hızla ortaya çıkabilir. Güvenlik hiçbir zaman sonradan akla gelen bir düşünce veya bir ürün oluşturulduktan sonra ‘civatalanmış’ bir mekanizma olmamalıdır.
Geliştirme ekipleri öncelikle işlevsel ve verimli yazılım ve donanım oluşturmaya odaklanırken, güvenlik ekipleri potansiyel riskleri belirleme ve azaltma konusunda uzmanlaşır. İşbirliği veya daha ideal olarak ikisi arasında entegrasyon olmazsa, güvenlik gözden kaçırılabilir veya yeterince ele alınmayabilir, bu da siber güvenlik açıklarına yönelik yüksek bir riske neden olabilir.
Bunun iyi bir örneği, dizüstü bilgisayarlardaki kameralar için gizlilik kapağıdır. Hiç birisinin bilgisayarında kamerayı kaplayan yapışkan bir not gördünüz mü? Bir tasarım ekibi, kullanıcı deneyimi için öncelikli faktörler olarak kameranın kalitesine ve yerleşimine odaklanabilir. Ancak güvenlik uzmanları, birçok kullanıcının, kameraların istemedikleri takdirde görüntü yakalayamamasını ve açma/kapama gösterge ışıklarının yeterince iyi olmadığını garanti etmek için fiziksel bir çözüm istediğini biliyor.
İşletmeler hem geliştirme hem de güvenlik ekiplerinin bir projenin başlangıcından itibaren dahil olmasını sağlamak için hangi stratejileri benimseyebilir?
Ürün planlama ve geliştirme, ürünün yaşam döngüsü boyunca birçok alanı içerir. Planlama faaliyeti, güvenlik ihtiyaçları ile veri kullanılabilirliğini dengelemek amacıyla ürünler ilk tasarlandığında güvenlik gereksinimlerinin tanımlanmasını içermelidir. Bu, hangi işteyiz, kime hizmet ediyoruz ve onların ihtiyaçları neler gibi soruları içerir? Bir finansal hizmet firmasıysanız, müşterilerinizin kritik güvenlik ihtiyaçları olacak ve iki faktörlü kimlik doğrulama gibi kendilerini koruyan faaliyetler ve zaman konusunda daha yüksek toleransa sahip olacaklardır.
Güvenlik gereksinimleri belgelendikten sonra ürün geliştirme ekipleri, uygun özellikleri yeni ürünlere dahil etmek için planlar oluşturabilir.
En son yönergeler, ‘tasarım gereği güvenliğin’ yalnızca en iyi uygulama değil aynı zamanda temel bir gereklilik olduğu konusunda ısrar ediyor. Şirketlerin, özellikle de küçük şirketlerin bunu uygulaması ne kadar mümkün?
KOBİ’ler giderek daha fazla hedef alınıyor çünkü nispeten yumuşak hedefler olarak algılanıyorlar. Bu eğilim, siber güvenlik profesyonellerinin arzındaki büyük boşluk nedeniyle daha da kötüleşiyor, dolayısıyla BT departmanları daha azıyla daha fazlasını yapma baskısı altında.
İyi haber şu ki, uç nokta güvenliği, varlık yönetimi ve ağ güvenliği konusunda geniş bir çözüm yelpazesi sunabilen üçüncü taraf sağlayıcıların giderek artan bir arzı var. Bu çözümlerin çoğu yapay zeka destekli ve otomatik olduğundan giderek daha verimli ve etkili oluyorlar.
Elbette zorluk, kuruluşunuz için doğru satıcıları ve ürünleri bulmaktır. Güvenlik stratejiye bağlanmalıdır; daha fazla kuruluş, güvenlik çözümlerini önceden tanımlanmış, genellikle yerleşik satın alma kriterlerine göre tedarik etmekten uzaklaşıyor ve güvenliğin kuruluşlar için değerini ve pazara giriş modellerini temel alan bir yaklaşıma doğru ilerliyor.
Yazılım geliştirme ve siber güvenlik alanındaki profesyonellerin güvenliği tasarıma entegre ederken hangi önemli çıkarımları hatırlaması gerekir?
Güvenlik, tarihsel olarak bir iş kolaylaştırıcıdan ziyade bir sigorta poliçesi olarak görülmüştür. Ancak güvenlik bağlamında güvenliğin nerede rol oynayabileceğine odaklanmak daha önemlidir. değer Bir şirket müşterileri için yaratmaya çalışır.
Firmalar, şirketlerinde gerçekleşmesini istedikleri değişiklikleri desteklemek ve gelecekteki işleri şekillendirecek olaylara yönelik çevikliği artırmak için güvenliği bir iş aracı olarak kullanmalıdır. Güvenlik, stratejinin içine yerleştirilmemişse ve bu yalnızca uyumluluk hedeflerini karşılamaya yönelik bir kutuyu kontrol etme egzersiziyse ve bir kuruluşun verimli bir şekilde ölçeklenmesini engelleyebiliyorsa.
Örneğin, bir işletme çevrimiçi ortamda ilerlemek istiyor ancak zayıf güvenlik nedeniyle veya gereksinimlerinin ve işletme büyüdükçe bunları nasıl ölçeklendireceğinin yeterince anlaşılmaması nedeniyle bunu yapamıyorsa, bekleyecek ve muhtemelen daha az rekabetçi hale gelecektir.
Şirketlerin işleri için önceliklerinin neler olduğunu analiz etmeleri ve güvenlik kararlarını ve yatırımlarını bu önceliklere göre yapmaları gerekiyor. Bazı örnek önceliklendirme alanları şunlardır: İş gücümün ne kadar mobil olmasına ihtiyacım var? Müşteri etkileşimlerinin veya işlemlerinin hızı ne kadar önemlidir? Hangi coğrafyalara veya pazar segmentlerine genişlemek istiyoruz? Vb. Bu soruların yanıtlanması bir firmanın güvenlik planlamasına bilgi verecektir ve bu, daha sonra değil, diğer tüm iş planlamasıyla eş zamanlı olarak gerçekleşmelidir.