Bu Help Net Security röportajında, Zoom’un CISO’su Michael Adams ile siber güvenlik dünyasını inceliyoruz. Adams, kuruluşların işgücü eksikliklerinin ve uzaktan çalışma komplikasyonlarının etkileriyle nasıl mücadele ettiğini analiz ederek bu zorlu çağda ürün ve hizmetleri korumaya yönelik en iyi uygulamalara ilişkin içgörüler sunuyor.
Büyük İstifa’nın bir sonucu olarak, birçok kuruluş iş gücü eksiklikleri ve uzaktan çalışmanın zorluklarıyla uğraşıyor. Bu sorunların siber güvenliği nasıl etkilediğini açıklayabilir misiniz?
Günümüzün uzaktan çalışma düzeninde, müşteriler için ürün ve hizmetlerin güvenliğini sağlama zorluğu, sektördeki genel yetenekli siber güvenlik personeli eksikliği nedeniyle daha da karmaşık hale geliyor. Zoom’da güçlü bir kadroya sahip olduğumuz için şanslı olsak da, erişimimizi genişletmemizi ve dünyanın en iyi etik korsanlarından bazılarıyla çalışmamızı sağlayan bug bounty programımıza da yatırım yaptık.
İş gücü eksikliğini gidermek isteyen şirketler için otomatik tehdit algılama sistemlerine yatırım yapmak, esnek ancak güvenli teknolojileri benimsemek ve mevcut personel arasında sürekli öğrenmeyi teşvik etmek çok önemlidir.
Sıfır güven güvenlik yaklaşımı çekiş kazanıyor. Bu stratejiyi uygulamak isteyen şirketler için en iyi uygulamalardan bazılarını paylaşabilir misiniz?
Sıfır güven güvenlik yaklaşımı oluştururken, mevcut güvenlik çerçevelerini değerlendirerek başlamak önemlidir. Şirketlerin bu sürece başlarken izlemesi gereken bir strateji, ellerinden gelen her şeyi doğrulamak ve “kimseye güvenmemek”tir. Kimlik ve erişim yönetimi (IAM) programları gibi çözümler ve çok faktörlü kimlik doğrulama (MFA) gibi korumalar, yalnızca yetkili kişilerin ağa ve verilere erişim elde etmesini sağlamaya yardımcı olabilir.
Uygun teknolojileri benimsemenin yanı sıra, kapsamlı bir güvenlik eğitimi programı sağlamak da önemlidir. Eğitim, güçlü parola hijyeninin, güvenli erişim uygulamalarının ve modern çalışmayla ilişkili potansiyel risklerin önemini vurgulamalıdır.
5G ve AI gibi yeni teknolojilerin ortaya çıkışı, siber güvenlik için hem fırsatlar hem de riskler oluşturmaktadır. Kuruluşlar bu potansiyel tehditlere karşı nasıl hazırlanmalı ve bu teknolojilerden nasıl yararlanmalıdır?
5G’de daha yazılım merkezli iletişim altyapısına geçişle birlikte kuruluşlar, sistemlerindeki potansiyel zayıflıkları belirleme ve ele alma konusunda dikkatli olmalıdır. Yapay zekada gelişen tehdit vektörleri söz konusu olduğunda, tetikte olmalıyız ve riskleri azaltmak için önlemleri sürekli olarak geliştirmeliyiz. Ek olarak, AI sistemlerinin doğruluğunu ve güvenilirliğini sağlamak çok önemlidir. Yanlış pozitifler ve negatifler, bir güvenlik programı için önemli etkilere sahip olabilir. Yapay zekanın gücünü kullanmak ile hataları ve yanlış alarmları en aza indirmek arasında doğru dengeyi kurmak, Zoom’da önemli bir önceliktir.
OpenAI’nin sohbet robotu ChatGPT, kimlik avı mesajları oluşturmak ve test etmek için kullanıldı. Kuruluşlar kendilerini bu gelişmiş kimlik avı tehditlerinden nasıl koruyabilir?
Ortaya çıkan tüm tehdit vektörlerinde olduğu gibi, kuruluşların kimlik avı önleme yazılımı, MFA ve uç nokta tespiti dahil olmak üzere sağlam savunmalara sahip olması gerekir. Bu düşmanca gelişmelere karşı savunma yapmak için derinlemesine savunmaya ve doğru parçaları yerinde tutmaya odaklanmamız gerekiyor. Ek olarak, çalışanları yeni ortaya çıkan riskler ve yapay zeka destekli kimlik avının karmaşık doğası hakkında düzenli olarak eğitmek çok önemlidir.
ABD’deki CPRA, Çin’deki gizlilik düzenlemeleri ve AB direktifleri dahil olmak üzere 2023’te büyük yasal değişiklikler ufukta görünüyor. Kuruluşlar bu değişikliklere ve bunların veri güvenliği üzerindeki potansiyel etkilerine nasıl hazırlanmalı?
Küresel teknoloji politikası manzarası kesinlikle dinamiktir. Politika yapıcıların bizimki gibi hizmetlerin gizliliğini ve güvenliğini sağlama hedeflerini güçlü bir şekilde destekliyoruz. Bu hedeflere ulaşan politikaları bildirmek ve Zoom’un platformumuzu kullanmayı seçen tüm müşterilere yenilikçi ve güvenli ürünlerimizi sunmasını sağlamak için hükümetlerle ortaklık kurmaya devam ediyoruz.
Son olarak, ekonomik gerileme göz önüne alındığında, özellikle bütçe kısıtlamaları daha da baskılayıcı hale geldiğinde, CISO’lar ve güvenlik ekipleri işlerini güvence altına almak için daha uygun maliyetli yolları nasıl bulabilir?
Müşterilerimizi, ürünlerimizi ve çalışanlarımızı korumak için şirketimizin güvenlik yaklaşımına uyan doğru alanlara yatırım yaptığımızdan emin olmaya odaklanıyorum. Ek olarak, güvenlik liderlerinin daha uygun fiyatlı araçlar keşfetmek ve mevcut çalışanlarla beceri geliştirmeye yatırım yapmak gibi uygun maliyetli stratejilere öncelik vermesinin önemli olduğunu düşünüyorum.