3. Taraf Risk Yönetimi, Yapay Zeka ve Makine Öğrenimi, Yönetişim ve Risk Yönetimi
SEA Siber Güvenlik Zirvesi’nin 1. Gününden Önemli Çıkarımlar
Suparna Goswami (gsuparna) •
6 Haziran 2024
Bilgi Güvenliği Medya Grubu tarafından düzenlenen Güneydoğu Asya Siber Güvenlik Zirvesi, sektör liderlerinin bölgedeki en son güvenlik trendlerini ve zorluklarını tartışmak üzere bir araya gelmesiyle başladı. Yapay zekanın ortaya çıkışı tartışmaların çoğuna yön verdi.
Ayrıca bakınız: 2024 Küresel Tehdit Ortamına Genel Bakış
Zirvenin ilk gününde güvenlik liderleri üçüncü taraf tedarikçi risklerini ve IoT risklerini üretken yapay zeka merceğinden inceledi. Farklı sektörlerden uygulayıcılar, yapay zekanın benimsenmesine yönelik stratejiler hakkında bilgiler paylaştı ve yapay zeka stratejilerini geliştirme planlarını paylaşarak günümüzün dijital ortamında siber güvenliğin kapsamlı bir şekilde araştırılmasına zemin hazırladı.
Güneydoğu Asya’nın finans, ticaret ve diğer ticari hizmetler için küresel ve bölgesel bir merkez olma rolü, Asya-Pasifik’in diğer bölgelerini etkileyen alanlardaki teknolojik yeniliklerle desteklenmektedir. Bu durum bölgeyi siber saldırılara karşı savunmasız hale getirdi.
Axiata grup risk ve uyumluluk sorumlusu Abid Adam, oturumunda yapay zekanın siber güvenlikteki dönüştürücü rolünü tartıştı. Gen yapay zekayı benimserken gizliliğin CISO’lar ve CIO’lar için önemli bir endişe kaynağı olmaya devam ettiğini söyledi. Adam, “Her teknolojinin kendine özgü kullanım durumları vardır. Bir CISO olarak doğru iş için doğru teknolojiyi seçmek çok önemlidir” dedi. “Ortamınıza giren tehdit türlerine ilişkin karar verme veya tahmin modellemesi yapmaya çalışıyorsanız, o zaman yapay zeka doğru araç değildir. Tahmin modelleme için makine öğrenimine gidilmesi gerekir.”
Israel Aerospace Industries’in siber bölümünün başkan yardımcısı ve genel müdürü Esti Peshin, hızla değişen dijital ekonomiyi ve güvenlik liderlerinin başarılı olmak için benimsemesi gereken stratejileri keşfederek açılış konuşmasını yaptı. Uyarlanabilir savunmaların ve stratejik yeniliğin önemini vurguladı.
Veri, gizlilik ve siber grup DLA Piper, Singapur’un ortağı ve küresel eş başkanı Carolyn Bigg ve Ceylon PLC Ticari Bankası CISO’su Sunari Dandeniya, şömine başında yapılan bir sohbette siber güvenlikte gizlilik konusunu araştırdı ve gizliliğin olup olmadığını tartıştı. CISO’nun sorumluluğunda olmalı ve bunun nasıl etkin bir şekilde işlevsel hale getirileceği. Daha büyük kuruluşların bir veri koruma görevlisi veya DPO’su olsa da, orta düzey işletmeler genellikle CISO’ları bu role atar.
Bigg, “Günümüzde her şey veri yönetimiyle ilgili; gizlilik, bilgi güvenliği veya siber güvenlikten çok daha geniş bir konu. Bunun içinde riskin bütünsel olarak yönetilmesi meselesi var” dedi. “Bu çok yönlü bir konu; hiç kimse bunu tek başına yönetemez. Veri yönetişimi, operasyonel bir dayanıklılık riskidir. Bu, bir kuruluşun verileri kullanma ve koruma becerisinin sağlanmasıyla ilgilidir. Evet, bir CISO rol oynar, ancak bir CISO’ya ihtiyacınız var. verileri yönetmek için hukuk profesyonelleri ve stratejik profesyonellerin birleşimi.”
Panel, CISO’ların DPO’lardan bağımsız hareket etmesi gerekip gerekmediğine dair tek bir yanıt olmadığı sonucuna vardı. Bigg, “Asya genelinde uyumlu hale getirilmiş tek bir veri koruma yasamız yok” dedi. “Her ülkenin kendi kanunu vardır. Bazıları DPO’nun rolünden bile bahsetmiyor.” Panelistler, gizlilik önlemlerini daha geniş siber güvenlik çerçevelerine entegre eden işbirlikçi bir yaklaşımı savundu.
Üçüncü Taraf ve IoT Riskleri
Üçüncü taraf ve Nesnelerin İnterneti riskleriyle ilgili çeşitli oturum ve panellerde ilgili güvenlik açıkları ve bunları hafifletmeye yönelik yaklaşımlar araştırıldı. ACFE Danışma Konseyi üyesi Raina Verma, “Çoğu kuruluş üçüncü taraf risklerini bilmiyor ve bunları sıklıkla tedarik zinciri riskleriyle karıştırıyor” dedi. “Üçüncü taraf riskleri, birlikte çalıştığınız kuruluşlardan kaynaklanmaktadır. Tedarik zinciri riskleri, üçüncü taraf risklerinin daha büyük şemsiyesi altında tedarikçilerinizdedir.” Tedarik zinciri risklerini azaltmak için işletmelerin tedarikçilerin ön yeterliliğini sağlayacak sağlam bir strateji oluşturması gerektiğini söyledi.
“IoT Riskleri: İyileştirme Taktikleri, Teknikleri ve Prosedürleri” başlıklı oturumda panelistler, ISACA-Singapur Bölüm Başkanı Jenny Tan; John Lee, Asya Pasifik Genel Müdürü, Küresel Dayanıklılık Federasyonu; ve OT-ISAC yönetim kurulu başkanı Steven Sim Kok Leong, saldırı yüzeyini sınırlamak, hızlı kontrol altına almak ve katmanlı savunmayı derinlemesine uygulamak için sıfır güven yaklaşımı benimsemenin önemini tartıştılar.
Uygulayıcılar düzenli güvenlik değerlendirmelerinin, güçlü şifreleme protokollerinin ve sıkı erişim kontrollerinin önemini tartıştılar ve ortaya çıkan tehditlerin önünde kalmak için sürekli izleme ve uyarlama ihtiyacını vurguladılar. Genel olarak açılış günü oturumlarında yapay zekanın entegrasyonunun, sağlam güvenlik çerçevelerinin sürdürülmesinin ve ortak sorumluluk kültürünün teşvik edilmesinin önemi vurgulandı.