Bu Help Net Security röportajında, Wilson Perumal & Company CTO’su Dean Hamilton, sıfır güven ağ erişimi (ZTNA) uygulamasının karmaşıklıklarını ele alıyor ve güvenlik ile operasyonel verimliliği dengelemeye odaklanıyor.
Hamilton, stratejik planlama, BT ve iş liderleri arasındaki işbirliği, ortaya çıkan zorluklara uyum sağlama, sürekli iyileştirme ve ZTNA başarısını değerlendirmek ve riskleri yönetmek için ölçümlerin kullanılması konularını vurguluyor.
ZTNA uygulaması artan BT harcamaları ve operasyonel karmaşıklıkla ilişkilidir. İşletmeler güvenlik ve operasyonel verimliliği sürdürme arasında nasıl bir denge kurabilir?
Öncelikle, bu dengeyi sağlamanın neden zor olduğuna odaklanalım. ZTNA uygulaması gerçekten de artan operasyonel karmaşıklıkla ilişkilendirilir ve bu da BT bütçelerinde önemli artışlar gerektirir. Bu harcamaların bir kısmı, ayrıntılı ağ segmentasyonu, politika yönetimi, politika uygulama, cihaz değerlendirmesi vb. sağlayan etkinleştirme teknolojileri için lisanslarla ilişkilendirilirken, artan maliyetin büyük kısmı, her işletmenin özel ihtiyaçlarına göre kalibre edilmiş ayrıntılı ağ ve uygulama erişim politikalarını tanımlamak ve sürdürmek için gereken operasyonel genel giderlerden kaynaklanmaktadır.
Sıfır güven politikaları ne kadar ayrıntılı olursa, ağ varlıklarınız ve kaynaklarınız o kadar korunur. Ancak, bu politikalar ne kadar ayrıntılı olursa, iş kullanıcıları için istenmeyen sürtüşmeler yaratma olasılıkları o kadar artar; bu da işin ihtiyaçları geliştikçe ve iş kullanıcılarıyla BT etkileşimlerine olan ihtiyacı artırdıkça sürekli iyileştirme ve uyarlama gerektirir.
Doğru dengeyi bulmak yalnızca yinelemeli evrimle yapılabilir. Üç temel alana dikkatli bir ön yatırım, BT için dengeyi bulmak ve işletme üzerinde olumsuz etkilerden kaçınmak için kritik öneme sahiptir:
Kurumsal Mimarlık (EA) yönetimi BT kaynaklarının (altyapı, hizmetler, uygulamalar ve veriler) iş hedefleri, organizasyonel unsurlar ve iş süreçleriyle nasıl uyumlu hale geldiğini belgeleme ve anlama uygulamasıdır. Bu anlayış, hem siber güvenlik riskini hem de artan iş süreci sürtünmesiyle ilişkili riskleri doğru bir şekilde değerlendirmek için çok önemlidir. Bu risk değerlendirmeleri, ZTNA politikalarını uygun şekilde kalibre etmek için yapılmalıdır. Birçok kuruluş, BT kaynaklarının iş yürütme gerçekleriyle nasıl eşleştiğini anlamak için gereken yatırımı yapmaz ve BT ve iş süreci verimsizliği açısından ağır bir bedel öder.
İş süreci yeniden mühendisliği (BPR)—Genellikle, iş süreçlerinde yapılan mütevazı değişiklikler, daha sağlam ZTNA politikalarının uygulanmasını ve BT organizasyonu için daha iyi verimliliği mümkün kılar. Ancak BT organizasyonları genellikle iş süreçlerinin optimizasyonlarını yönlendirmek için diğer işlevlerle müzakere etme yetkisine sahip değildir. Bu talihsiz bir durumdur çünkü süreçleri optimize etmek sıfır toplamlı bir çaba değildir. BPR, ZTNA akılda tutularak doğru şekilde yapıldığında, hem BT organizasyonu hem de işlevler önemli verimlilik kazanımları yaşayabilir.
İşletim Modeli tasarımı Hem stratejik iş hem de siber güvenlik hedeflerini desteklemek için. Bir şirketin İşletme Modeli, organizasyonun parçalarının pazara değer sunmak için nasıl birlikte çalıştığını tanımlar. İşletme modelinin yalnızca değer yaratma yönlerine odaklanması ve siber güvenlik hedeflerine ulaşmak için gereken temel organizasyonel tasarım ilkelerini, süreçleri ve araçları göz ardı etmesi yaygındır. İşletme modeli hem iş operasyonlarına hem de siber güvenlik hedeflerine ulaşmak için tasarlandığında, genel organizasyonel uyum daha hızlı, verimli ve etkili ZTNA uygulamasına yol açar.
ZTNA insan hatasını nasıl ele alıyor ve insan performansının ZTNA uygulamalarının başarısı veya başarısızlığındaki rolü nedir?
Herhangi bir karmaşık, sosyo-teknik sistemde (BT ekosistemleri gibi) insan hatası meydana gelecektir. En çalışkan ve iyi eğitimli çalışanlar bile kötü günler geçirir ve ara sıra hatalar yapar. Sıfır güven güvenliğinin bir uygulaması olan ZTNA, bu gerçeği dolaylı olarak kabul eder. Ağ mikro segmentasyonu, IP adresi karartma ve en az ayrıcalıklı erişimin temel kavramlarının hepsi, insan hatasından kaynaklanabilecek bir siber güvenlik ihlalinin etkisini sınırlamak için tasarlanmıştır. Ancak bir ağ güvenliği modeli olarak ZTNA, kendi kendini gerçekleştiren bir model değildir. Karmaşık ve potansiyel olarak çakışan politikaları yönetmek için dikkatli ve sürekli bir dikkat gerektirir.
Bu, BT operasyonlarına önemli bir karmaşıklık katar ve paradoksal olarak siber güvenlik riskini artırma potansiyeline sahip bir şekilde insan hatası olasılığını artırır. Bu artan operasyonel karmaşıklık ve BT organizasyonları üzerindeki yükü, birçok ZTNA uygulamasının başarısız olmasının veya terk edilmesinin temel nedenlerinden biridir. Bu durumlarda, siber güvenlik riski, hiçbir uygulama denenmemişse olduğundan çok daha yüksek olabilir.
Bunu önlemenin anahtarı, daha önce belirtilen üç alanda da dikkatli bir ön planlama yapmaktır. Ayrıca, ZTNA politika yönetim süreçlerinin Yüksek Güvenilirlikli Kuruluşların (HRO) uygulamalarını ve ilkelerini kullanacak şekilde tasarlandığından emin olmak da önemlidir. HRO’lar, karmaşık, yüksek riskli, yüksek başarısızlık sonucu ortamlarında faaliyet gösteren ancak akranlarına göre çok daha az olumsuz olay yaşayan kuruluşlardır. Kuruluşları insan hatalarına, süreç arızalarına ve doğrudan saldırılara karşı çok dayanıklı kılan bir dizi ilke ve uygulama uygularlar.
Başarılı ZTNA uygulaması, BT ve iş liderleri arasında yakın iş birliği gerektirir. Özellikle siber güvenliğin genellikle yalnızca bir BT endişesi olarak görüldüğü ortamlarda, bu iş birliğini teşvik etmek için bazı en iyi uygulamaları paylaşabilir misiniz?
ZTNA’nın başarılı olması için gereken yakın iş birliği, yalnızca işletmenin en tepesinden yönlendirilen bir kültürle sağlanabilir. Yönetim Kurulu ve yönetici liderlik ekibi, iş stratejisini geliştirir ve uygulamasındaki ilerlemeyi ölçer ve siber güvenlik hedefleri tamamen iş stratejisine entegre edilmelidir. Bunu yapmamak, ZTNA uygulamalarının başarı potansiyelini büyük ölçüde sınırlayacaktır.
Yönetim kurulları ve liderlik ekiplerinin de siber güvenliği yalnızca işletme için giderek artan bir maliyet ve yük olarak görmemelerini sağlayacak bir zihniyet değişikliğine ihtiyaçları var.
İyi yapıldığında, ZTNA gibi siber güvenlik yatırımları anlamlı bir rekabet avantajı sağlayan stratejik iş kolaylaştırıcılarıdır. Bu özellikle sıkı bir şekilde düzenlenen sektörlerde ve siber güvenlik ihlalinin olumsuz itibar etkisinin müşteri güvenini ve hissedar değerini yok edebileceği sektörlerde geçerlidir. Bu tür işletmelerde, iyi uygulanan siber güvenlik stratejileri (ZTNA ve BT HRO’ları gibi) bir organizasyonun güvenle faaliyet göstermesini ve yenilik yapmasını sağlayabilir.
Kuruluşlar ZTNA uygulamalarının başarısını değerlendirmek için hangi ölçümleri kullanmalıdır? Bu ölçümler sürekli iyileştirme ve risk yönetiminde nasıl yardımcı olabilir?
ZTNA uygulamanızın düşündüğünüz kadar ilerleme kaydedip kaydetmediğini bilmek için doğru metriklere sahip olmak çok önemlidir.
ZTNA ile ilgili karmaşıklık göz önüne alındığında, ekibinizin çok fazla iş yapmasına ve kuruluşunuzun çok fazla para harcamasına rağmen çok az anlamlı ilerleme kaydetmeniz oldukça olasıdır. Uygulamanın nasıl gittiğini anlamak için, ölçümler şunları göstermelidir:
- Korunması gereken BT varlıklarına (sistemler, uygulamalar ve ilgili veriler ve iş süreçleri) ilişkin görünürlük düzeyi
- Gerekli ZTNA politika güncellemelerine karşı ilerleme ve yeni bir politikanın tanımlanması ve onaylanması için gereken süre (iş evrimini desteklemek için)
- Korunan varlıklarla ilişkili politika özgüllüğü düzeyi (güvenlik açısından ne kadar özgül/ayrıntılı olursa o kadar iyi olur)
- Politika değişikliği gerektiren geçerli iş kullanıcısı sorun biletlerinin oranı
- İş kullanıcısı politikasıyla ilgili biletleri çözme zamanı
- Politika yanlış yapılandırmasını tespit etme zamanı
- Politika yanlış yapılandırmasını çözme zamanı
- BT dışı son kullanıcıların politika güncellemelerine katılımı
- Yöneticilerin ve iş liderlerinin siber güvenlik okuryazarlığı
Kuruluşlar ZTNA stratejilerini geliştirirken hangi yeni zorlukları ve fırsatları öngörmelidir?
Siber güvenlik yöneticilerinin karşılaşacağı en büyük yeni zorluk, siber suçlular tarafından kullanılan yapay zekanın (AI) hızla evrimleşmesidir. AI, uç nokta cihazı güvenlik duruşunun ve siber güvenlik tehdit ortamının karakterize edilmesini giderek daha zor hale getirme olasılığını artırır; bu da statik ZTNA politikalarının izinsiz girişleri önlemede giderek daha az etkili olmasına neden olur. Ancak, ZTNA’nın mimari avantajları (izinsiz girişten sonra yanal hareketi sınırlar) yeni, özgün saldırılara tepki verebilen siber güvenlik ekipleriyle bir araya geldiğinde AI saldırıları karşısında daha dayanıklı olduğunu kanıtlamalıdır.
Bir diğer büyük risk ise büyük siber güvenlik etkinleştirme teknolojisi satıcılarının kendilerine yönelik yazılım tedarik zinciri saldırılarının ve ihlallerinin artmasıdır. Kuruluşlar resmi bir Siber Güvenlik Tedarik Zinciri Risk Yönetimi (C-SCRM) stratejisi uygulamalı ve siber güvenlik satıcılarının aynı stratejinin uygulanmasını onaylamasını talep etmelidir.