İçindekiler:
- Uyum Tuzaklığı
- Kurtarma için Güvenlik?
- Tek Gerçek Olarak Risk
- Bütüncül Bir Risk Görüşünde Üç Unsur
- Risk ve Uyumluluğun Alt Çizgisi
BT endüstrisini yöneten mantar endüstrisi ve hükümet, yüksek düzeyde düzenlenmiş bir ortama ve yıllık uygunluk yangın tatbikatlarına yol açtı. Ortalama organizasyonları etkileyen düzenlemelerin sayısı bir düzine veya daha fazla kolayca geçebilir ve gün geçtikçe daha karmaşık hale gelebilir. Bu, çoğu şirketi, uzun BT öncelikleri listesinin üstünde, yönetişim ve uyumluluk çabalarına aşırı miktarda kaynak tahsis etmeye zorluyor. Bu çabalar gerekli midir? Ya da sadece güvenliğe uyum odaklı bir yaklaşımın bir parçası olarak bir onay kutusu gereksinimi mi?
Acı gerçek şu ki, bir denetim planlayabilirsiniz, ancak bir siber saldırı planlayamazsınız. Neredeyse her gün, ihlaller manşet haber yaparken bu gerçeği hatırlatıyoruz. Sonuç olarak, birçok kuruluş risk duruşlarını anlamak için basit uyum değerlendirmelerinin ötesine geçmeleri gerektiği sonucuna varmıştır. Sonuç olarak, iş üzerindeki etkilerin yanı sıra tehditleri ve güvenlik açıklarını da dikkate alıyorlar. Sadece bu üç faktörün bir kombinasyonu risk hakkında bütünsel bir görüş sağlar.
Uyum Tuzaklığı
Risk yönetimine bir onay kutusu, uyumluluk odaklı yaklaşım izleyen kuruluşlar, yalnızca zamanında güvenlik sağlar. Çünkü bir şirketin güvenlik duruşu dinamiktir ve zaman içinde değişir. Bu defalarca kanıtlanmıştır.
Son zamanlarda, ilerici kuruluşlar güvenliğe daha proaktif, riske dayalı bir yaklaşım izlemeye başlamıştır. Risk tabanlı bir modeldeki amaç, bir kurumun BT güvenlik operasyonlarının verimliliğini en üst düzeye çıkarmak ve risk ve uyumluluk duruşuna görünürlük sağlamaktır. Nihai hedef, uyum içinde kalmak, riski azaltmak ve güvenliği sürekli olarak güçlendirmektir.
Bir takım faktörler kuruluşların riske dayalı bir modele geçmesine neden olmaktadır. Bunlar aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
- Ortaya çıkan siber mevzuat (örneğin, Siber İstihbarat Paylaşımı ve Korunması Yasası)
- Para Birimi Denetleyici Ofisi (OCC) tarafından denetleyici rehberlik
Kurtarma için Güvenlik?
Güvenlik açığı yönetiminin veri ihlali riskini en aza indireceğine inanılmaktadır. Ancak, güvenlik açıklarını kendileriyle ilişkili risk bağlamına sokmadan, kuruluşlar genellikle düzeltme kaynaklarını yanlış hizalarlar. Genellikle en düşük riskleri göz ardı ederken sadece "düşük meyveli meyveleri" ele alırlar.
Bu sadece para israfı değil, aynı zamanda bilgisayar korsanlarının kritik güvenlik açıklarından faydalanması için daha uzun bir fırsat penceresi yaratıyor. Nihai hedef, pencere saldırganlarının bir yazılım kusurunu kullanmak zorunda kalmasını kısaltmaktır. Bu nedenle, güvenlik açığı yönetimi, tehdit, ulaşılabilirlik, kuruluşun uyumluluk duruşu ve iş etkisi gibi faktörleri göz önünde bulunduran, bütüncül, riske dayalı bir güvenlik yaklaşımı ile desteklenmelidir. Tehdit güvenlik açığına ulaşamazsa, ilişkili risk azalır veya ortadan kaldırılır.
Tek Gerçek Olarak Risk
Bir kuruluşun uyumluluk duruşu, tehditlerin hedeflerine ulaşmasını önlemek için kullanılabilecek telafi edici kontrolleri belirleyerek BT güvenliğinde önemli bir rol oynayabilir. Verizon ve diğer kuruluşların bir önceki yıl gerçekleştirdiği ihlal araştırmalarından elde edilen verilerin bir analizi olan 2013 Verizon Veri İhlali Soruşturma Raporu'na göre, güvenlik olaylarının yüzde 97'si basit veya ara kontrollerle önlenebilir. Ancak, iş etkisi gerçek riskin belirlenmesinde kritik bir faktördür. Örneğin, kritik ticari varlıkları tehdit eden güvenlik açıkları, daha az kritik hedeflerle ilişkili olanlardan çok daha yüksek bir risk oluşturur.
Uygunluk duruşu tipik olarak varlıkların ticari önemine bağlı değildir. Bunun yerine, dengeleme kontrolleri jenerik olarak uygulanır ve buna göre test edilir. Bir varlığın bir kuruluş için temsil ettiği iş kritikliğini net bir şekilde anlamadan, bir kuruluş iyileştirme çabalarına öncelik veremez. Risk odaklı bir yaklaşım, operasyonel verimliliği artırmak, değerlendirme doğruluğunu artırmak, saldırı yüzeylerini azaltmak ve yatırım karar vermeyi iyileştirmek için hem güvenlik duruşunu hem de iş üzerindeki etkisini ele alır.
Daha önce de belirtildiği gibi, risk üç temel faktörden etkilenir: uyumluluk duruşu, tehditler ve güvenlik açıkları ve iş üzerindeki etki. Sonuç olarak, iş operasyonları üzerindeki etkileri hesaplamak ve iyileştirme eylemlerine öncelik vermek için risk ve uyum duruşları hakkında kritik istihbaratın güncel, yeni ve yeni ortaya çıkan tehdit bilgileri ile birleştirilmesi gerekmektedir.
Bütüncül Bir Risk Görüşünde Üç Unsur
Güvenliğe riske dayalı bir yaklaşımın uygulanmasının üç ana bileşeni vardır:- Sürekli uyum, varlıkların mutabakatını ve veri sınıflandırmasının otomasyonunu, teknik kontrollerin hizalanmasını, uygunluk testinin otomasyonunu, değerlendirme anketlerinin konuşlandırılmasını ve veri konsolidasyonunun otomasyonunu içerir. Sürekli uygunluk ile kuruluşlar, veri toplama ve veri analizindeki doğruluğu artırmak ve gereksiz, emek yoğun çabaları yüzde 75'e kadar azaltmak için ortak bir kontrol çerçevesi kullanarak örtüşmeyi azaltabilir.
- Sürekli izleme, veri değerlendirmelerinin sıklığını artırır ve güvenlik bilgileri ve olay yönetimi (SIEM), varlık yönetimi, tehdit beslemeleri ve güvenlik açığı tarayıcıları gibi çeşitli kaynaklardan veri toplayarak ve normalleştirerek güvenlik verileri otomasyonu gerektirir. Buna karşılık, kuruluşlar çözümleri birleştirerek, süreçleri düzene sokarak, istismarları ve tehditleri zamanında ortaya çıkarmak için durumsal farkındalık yaratarak ve tahmini güvenliğe yardımcı olabilecek tarihi eğilim verilerini toplayarak maliyetleri azaltabilir.
- Kapalı döngü, riske dayalı iyileştirme, bir risk kataloğu ve risk toleransı tanımlamak için iş birimleri içindeki konu uzmanlarından yararlanır. Bu süreç, iş kritikliğini tanımlamak için varlık sınıflandırmasını, riske dayalı önceliklendirmeyi sağlamak için sürekli puanlamayı ve kapalı döngü izleme ve ölçümü gerektirir. Kuruluşlar, varlıklar, insanlar, süreçler, potansiyel riskler ve olası tehditler hakkında sürekli bir gözden geçirme döngüsü oluşturarak işletme, güvenlik ve BT operasyonları arasındaki işbirliğini geliştirirken operasyonel verimliliği önemli ölçüde artırabilir. Bu, çözüm süresi, güvenlik operasyonları personeline yatırım, ek güvenlik araçlarının satın alınması gibi güvenlik çabalarının ölçülmesini ve somut hale getirilmesini sağlar.