Birçok cisos için uyumluluk gerekli bir kötülük ve yanlış bir güvenlik duygusu gibi hissedebilir. ISO 27001, SOC 2 ve PCI DSS gibi çerçeveler yapılandırılmış yönergeler sunarken, otomatik olarak güçlü siber güvenliğe eşit değildir. Zorluk? Birçok kuruluş, kontrollerinin etkili olmasını sağlamak yerine uyum kutusunu kontrol etmeye odaklanmaktadır.
Sorun uyumun kendisi değil, zihniyet. Çoğu zaman, güvenlik ekipleri bir denetimi geçmek için uğraşırlar, ancak evraklar imzalandıktan sonra her zamanki gibi işe dönmek için. Gerçek şu ki, düzenleyici onay işaretleri fidye yazılımı saldırısını, içeriden tehdit veya tedarik zinciri uzlaşmasını durduramaz. Aslında, son yılların en yüksek profilli ihlallerinden bazıları teknik olarak uyumlu ancak güvenli olmaktan uzak kuruluşlara oldu.
Her CISO kilit soruyu sormalıdır: “Yarın uyumluluk ortadan kalkarsa, şirketim hala güvende olur mu?”
“Uyum, belirli bir gereksinim kümesine karşı ilerlemeyi ölçmek için yararlı bir araçtır, ancak güvenlik ile ilgili bitiş çizgisi değildir. Kullanılması kolay bir konuşma noktasıdır, çünkü uyumla ilgili bir şey her zaman haberlerde-bir makaleyi hiç okumadım veya NIST 800-53 veya CIS gibi çerçeveler hakkında konuşan bir rapor görmedim Kritik güvenlik kontrolleri. Bir ihlal meydana geldiğinde, raporlar alınan veya erişilen kayıtların veya verilerin hacmine veya gizlilik ihlallerine (yani HIPAA) odaklanır. İhlal sırasında kullanılan MITER ATT & CK çerçevesine ve TTP’lere (taktikler, teknikler ve prosedürler) genellikle bir referans yoktur. ”
Uyum tuzağı: Şirketlerin yanlış anladığı yer
Cisos, güvenlik ve uyumluluğun aynı şey olmadığını biliyor, ancak yöneticiler ve yönetim kurulu üyeleri bunu her zaman bu şekilde görmüyor. Organizasyonların “onay kutusu uyumluluğu” tuzağına girdiği yer:
Zamanında Güvenlik -Birçok şirket uyumluluğa sürekli bir süreçten ziyade yılda bir kez bir etkinlik olarak yaklaşır. Bu, güvenlik kontrollerinin bozulduğu veya takılmadığı denetimler arasında boşluklar bırakır.
Üçüncü taraf denetçilerine aşırı güven – Harici bir denetimden geçmek, güvenliğinizin sağlam olduğu anlamına gelmez. Bazı denetçiler gerçek dünyadaki etkinliği test etmek yerine belgeleri doğrular.
Hukukun ruhuna değil, mektubuna odaklanmak – Bir şirketin teknik olarak bir düzenlemeye uyması, güvenli olduğu anlamına gelmez. Örneğin, MFA’nın uygulanması, ancak bypass’ın itmesi kolay yorgunluk saldırılarına izin vermek gerçek güvenlik değil, uyum tiyatrosu.
İnsan faktörünü görmezden gelmek – Uyum çerçeveleri genellikle teknik kontrolleri vurgular, ancak çoğu ihlal hala insan hatasını içerir. Güvenlik bilinci eğitimi ve gerçek davranışsal değişiklikler nadiren zorunludur ve zayıf güvenlik kültürlerine yol açar.
Sürekli izleme ve adaptasyon eksikliği – Tehditler sürekli olarak gelişirken uyum kuralları genellikle statiktir. Bir kuruluş, güvenlik önlemlerini proaktif olarak ayarlamak yerine sadece gerekli olanı yapıyorsa, zaten geride kalmıştır.
Reffkin, “iyi güvenlik uygulamaları” ile birlikte uyumluluğun en iyi şekilde nasıl kullanılacağı konusunda uygun bir tavsiyenin kuruluşunuza, tehdit profiline, risk iştahına ve işin doğasına bağlı olacağını açıkladı. Ancak, önerdiği üç şey vardır:
- İlk olarak, siber sigorta şirketinizle konuşun. Çoğu taşıyıcı, potansiyel bir sigortalı kuruluşa karşı siber tehditlerin potansiyel maruziyetini (IE riskini) değerlendirmek için iyi bir teşhis değerlendirmesine sahiptir. Ve bir bonus olarak, sigortacılar sorularını olasılık ve potansiyel maruziyete dayandırıyorlar çünkü riski bu şekilde değerlendiriyorlar ve sonuçta para kazanıyorlar.
- İkincisi, mevcut güvenlik standartlarından yararlanın ve güvenliğinizin ve BT yeteneklerinizin nasıl hizalandığını görün (örn. CIS, CSF, vb.). Genel olarak, tüm güvenlik standartları çoğu uyum ve düzenleyici çerçevelerle eşleşecektir, böylece uyumluluk ve daha güvenlik merkezli bir çerçeve arasındaki boşlukları görebilirsiniz.
- Üçüncüsü, programınızın olgunluğuna bağlı olarak değerlendirmeler için bir güvenlik danışmanı ekleyin. Bu, programınızın genel güvenlik incelemesinden bir penetrasyon testine veya kırmızı ekip katılımına kadar değişebilir. İşi yaptıysanız ve bir program oluşturduysanız, bağımsız olarak test etme zamanı.
CISOS zihniyeti nasıl uyumluluktan esnekliğe kaydırabilir?
1. Uyumluluğu güvenlik için temel olarak görüntüleyin, nihai hedef değil
Uyum, oyun oyununu değil, bir başlangıç noktası olarak görülmelidir. Düzenleyici gereksinimleri aşan ve yeni tehditlere uyum sağlayan güvenlik stratejileri oluşturun.
Örnek: PCI DSS gerektirdiğinden sadece hassas verileri şifrelemek yerine, veri erişimini kısıtlamak ve pozlamayı azaltmak için sıfır güven ilkelerini uygulayın.
2. Sürekli güvenlik doğrulaması uygulayın
Güvenlik kontrollerini uyumluluk kontrollerinin ötesinde düzenli olarak test edin ve doğrulayın. Bu şunları içerir:
- Kırmızı takım gerçek dünya saldırılarını simüle etmek için egzersiz yapıyor.
- Otomatik güvenlik testi (örn., Saldırı yolu simülasyonları).
- Anormallikleri gerçek zamanlı olarak tespit etmek için davranışsal izleme.
Örnek: Güvenlik olaylarını uyumluluk için kaydetmek yerine, hasara neden olmadan önce tehditleri avlamak için Siem ve XDR’yi aktif olarak kullanın.
3. Kurul ile uyumluluk görüşmelerini değiştirin
Birçok yönetici “uyumluluğu” “güvenli” ile eşitler. CISOS, sadece düzenleyici durumdan ziyade gerçek risk maruziyetini vurgulamak için bu tartışmaları yeniden çerçevelemelidir.
Örnek: “SOC 2 ile% 100 uyumluyuz” bildirmek yerine, “Uyumluyuz, ancak en büyük güvenlik boşluklarımız X, Y ve Z’dir. İşte düzeltmemiz gereken şey.”
4. İş riski ile uyumluluk
Riski azaltmak için düzenlemeler mevcuttur, ancak her riski karşılamazlar. Güvenlik yatırımlarının koruma sağlamasını sağlamak için uyum çabalarını iş riskleriyle uyumlu hale getirin.
Örnek: Şirketiniz AI güdümlü veri işleme işlemini gerçekleştiriyorsa, uyumluluk çerçeveleri AI model güvenliğini ele almayabilir, ancak rakipler yine de hedefleyecektir. Düzenlemeler henüz gerektirmese bile güvenlik boşluklarını ele alın.
5. Güvenlik kültürünü bir öncelik haline getirin
Güvenlik bilinci eğitimi bir onay kutusu egzersizi olmamalıdır. Genel yıllık eğitim yerine, sürekli, ilgi çekici ve uyarlanabilir güvenlik eğitimine odaklanın.
Örnek: Kimlik avı simülasyonlarının ötesine geçin. Çalışan yanıtlarına ve risk seviyelerine göre adapte olan davranış temelli eğitimi uygulayın.