YORUM
Temmuz ayındaki CrowdStrike olayı kuruluşların güvenliği artırmak ve operasyonları kolaylaştırmak için yenilik yaparken karşılaştıkları istenmeyen sonuçların çarpıcı bir hatırlatıcısıdır. Bir güvenlik tedarikçisi seçerken sınıfının en iyisi teknolojiyi kullanmak genellikle bilgi güvenliği yöneticileri (CISO’lar) için güvenli bir bahistir, ancak bu teknolojinin nasıl konuşlandırılacağının ve yaratabileceği risk miktarının farkında olmak da aynı derecede önemlidir. CrowdStrike’ı uç nokta güvenlik araçlarımdan biri olarak kullandım ve bu çözümü standart hale getirmek, güvenlik operasyonlarımın otomatikleştirilmesine olanak tanıdı ve güvenlik mühendislerim arasında güçlü bir hafıza oluşturdu. Bu, güvenlik uyarılarına daha hızlı ve daha düzenli yanıt verilmesiyle sonuçlandı.
Ancak CrowdStrike olayı, gerçek zamanlı yanlış yapılandırılmış güncellemelerin kritik iş operasyonları üzerindeki potansiyel sonuçları hakkında düşündürücü bir ders oldu. Bu, risk ve inovasyon hakkında biraz farklı bir şekilde düşünmeye gözlerimi açtı. Bu sadece güçlü bir güvenlik programına sahip bir satıcı seçmekle ilgili değil, aynı zamanda satıcı ürününün uygulama kapsamının yanı sıra ürünün ortam genelinde güncellenme biçiminin de dikkate alınmasıyla ilgilidir. İşletmeler, bu farklı unsurları anlayarak inovasyonu riske karşı kontrollü bir şekilde yönetmek için daha bilinçli kararlar alabilir.
İlginç bir şekilde, bazı şirketlerin eski operasyonel sistemlere olan güveni, onları CrowdStrike olayının doğrudan etkilerinden korudu. Eski teknolojileri bir zamanlar bir yük olarak görülse de bu durumda şaşırtıcı bir avantaj haline geldi. Bu senaryo, yenilik ve risk arasındaki dengenin kaçınılmaz olabileceğini öne sürüyor. Ancak her ikisine de ulaşılabilir. Peki CISO’lar güvenli, ileriyi düşünen operasyonlar sağlamak için her ikisini de stratejik olarak nasıl dengeleyebilir?
Toplantı Odasında Bariyeri Aşın
CISO’lar sıklıkla yönetim kurulu odasında inovasyonun önünde engel olduğu yanılgısıyla karşı karşıya kalıyor. Bunu ortadan kaldırmak için, tartışmayı “yeniliğe karşı güvenlik” perspektifinden “güvenli yenilik” perspektifinden yeniden çerçevelemeliyiz.
Güvenlik ve yenilik birbirini dışlayan şeyler değildir ve olmamalıdır. Güvenlik, geliştirme sürecinin erken safhalarında entegre edildiğinde, yeniliklerin hem çığır açıcı hem de güvenli olmasını sağlar. CISO’lar proaktif olarak diğer liderlere ulaşmalı Güvenliğin en başından itibaren stratejik kararlara dahil edilmesini sağlamak için, kuruluş genelinde, baş teknoloji sorumlusundan (CTO) finans şefine (CFO) kadar. Güvenliğin bir arabadaki frenler kadar doğal hale geldiği, kontrol için gerekli ancak hız ve ilerlemeyi mümkün kılan ilişkiler kurmakla ilgilidir.
Güvenlik Kültürünü Geliştirin
Bir CISO’nun en önemli rollerinden biri, inovasyonu engelleyici olmak yerine kolaylaştırıcı olarak görülmektir. Gerçekte bir CISO’nun rolü sistemleri korumanın çok ötesine uzanır; risklerin iş düzeyinde iletilmesini ve güvenliğin ilerlemeyi engellemek yerine ilerlemeyi mümkün kılmasını sağlamayı içerir. Bunu başarmanın anahtarı, liderlikten sahadaki çalışanlara kadar tüm organizasyonu kapsayan bir güvenlik kültürünün teşvik edilmesinde yatmaktadır.
İlk savunma hattı olarak çalışanlar, önce güvenlik kültürünün oluşturulmasında hayati öneme sahiptir. Üçüncü taraf satıcılarla günlük etkileşimler ve potansiyel olarak kötü amaçlı içerik, onları tüm organizasyonu tehlikeye atabilecek risklere maruz bırakır.
Çalışanları bu göreve dahil etmenin güçlü bir yolu güvenliği kişiselleştirmektir. Kimlik avı saldırıları, veri ihlalleri ve kişisel bankacılık bilgilerine yönelik tehditler, çalışanlarda yankı uyandıran somut örneklerdir. İnsanlar eylemlerinin kendilerinin ve şirketin güvenliğini doğrudan etkileyebileceğini anladıklarında, güvenli uygulamaları benimseme konusunda daha motive olurlar. Güvenlik bilincine sahip bir çalışan kültürüyle, savunma stratejileri en başından itibaren inovasyon çalışmalarına dahil edilir.
Siz Güvendesiniz Ama Satıcılarınız mı?
Yönettiğimiz üçüncü taraf ilişkilerinin büyüklüğü beni tetikte tutuyor. Herhangi bir satıcının güvenliği ihlal edilmiş tek bir kullanıcısı, şirket çapında bir olayı tetikleyebilir. Sonuçta, bilgisayar korsanlarının yalnızca tek bir başarılı saldırıya ihtiyacı vardır, güvenlik ekipleri ise her zaman haklı olmalıdır.
CISO’lar için bu, güvenli inovasyonun dahili süreçlerle sınırlı olmadığı, BT ortamlarını destekleyen sağlayıcıları da kapsaması gerektiği anlamına gelir. Teknoloji meslektaşlarıyla işbirliği yapmak Riskleri daha iyi anlamak ve azaltmak, siber riski artırmadan inovasyonu teşvik etmenin anahtarıdır. Aynı derecede önemli olan, üçüncü taraf tedarikçilerle, kesintiler meydana geldiğinde geniş ölçekte yanıt vermeye hazır olduklarını doğrulamak için güçlü, proaktif ortaklıklar kurmaktır.
Bu süreci optimize etmek için CISO’lar, özellikle sık güncelleme gerektiren ortamlarda yer alan tedarikçiler olmak üzere kurumsal altyapı için hangi satıcıların kritik öneme sahip olduğunu anlamaya odaklanmalıdır. Bu satıcıların değişiklikleri uygulamaya koymadan önce sıkı test protokollerini takip etmesini sağlayarak şirketler, yenilik ile operasyonel istikrar arasındaki dengeyi daha iyi yönetebilirler.
Güvenlik Öncelikli Yenilik
CISO’lar, güvenliği ön planda tutan uygulamaları inovasyonun merkezine entegre etme ve kendilerini şirketin genel hedeflerini geliştiren güvenilir danışmanlar olarak konumlandırma konusunda sorumluluğa liderlik etmelidir. Sadece riskleri vurgulamak yerine çözümlerle masaya gelerek diyalogu “güvenlik asla onaylamaz” yerine “güvenlik bunu daha iyi hale getirmeye yardımcı olabilir” şeklinde değiştirebiliriz.
Bu kültürel değişim, yöneticiler ve üçüncü taraf tedarikçilerle işbirliğini teşvik ederek güvenliği kuruluşun büyümesinin her aşamasına dahil ediyor. Çalışanlar ve liderler, inovasyon projelerinin erken safhalarında CISO’larla etkileşime girdiğinde, güvenlikle ilgili kaygılar proaktif bir şekilde ele alınır, güven oluşturulur ve inovasyon ile güvenliğin bir arada var olması sağlanır.