Siber saldırılar arttıkça sık ve maliyetli, uzak bir işgücünü güvence altına almanın doğasında bulunan ek zorluklardan bahsetmiyorum bile, kuruluşların bir güvenlik kültürü oluşturması her zamankinden daha önemli. Bu elbette söylenecek yeni bir şey değil ve yine de söylenmesi gerekiyor. Peki, bunu neden hala çözemedik?
Bunun bir kısmı, işin asla durmamasıdır. Sağlıklı bir yaşam tarzına öncülük etmek gibi; Ne kadar zinde ve sağlıklı olursanız olun, sağlıklı kararlar vermeyi bırakıp sağlıklı kalabileceğiniz bir noktaya asla gelemezsiniz. Bunu daha da zorlaştıran şey, güvenliği sağlamak için tüm küçük kararları alarak bütün bir organizasyonu bir araya getirmeye çalışmaktır.
“Hayır”ın Takımı Olmayın
Güvenlik ekipleri genellikle “hayır” ekibi olarak görülür veya doktorun size tuzlu yiyecekleri tamamen kesmeniz gerektiğini söylemesi gibi. Genel olarak aynı fikirde olabilirsiniz, ancak bir daha asla tuzlu yiyecekler yememeniz ne kadar gerçekçi? Kurallar aşırı kısıtlayıcıysa veya görevleri önemli ölçüde zorlaştırıyorsa, insanlar sistemi aldatacaktır. Daha fazla havuç ve daha az çubuk almanın bir yolunu bulmalıyız. Güvenliğin bir angarya olmaması için çalışanların önünü açmalıyız.
Kimlik avı saldırıları konusunda eğitim almak, iki faktörlü kimlik doğrulama kullanmak ve şifreleri düzenli olarak değiştirmek kesinlikle önemlidir. Fakat bu süreci nasıl basitleştirebiliriz? Çalışanlara bir şifre yöneticisi aboneliği veren şirketlerin büyük bir hayranıyım. Bu, bu endişelerden birini çözerken, tartışmalı bir şekilde çalışanların hayatlarını biraz daha basit hale getiriyor. Sertleştirilmiş bir kapı olmaktan ziyade iki yönlü bir sokak inşa etmekle ilgili. Bu, iş akışları için anlamlı olan diğer departmanlarla birlikte süreçler oluşturmaya başlamamıza olanak tanır. Bu süreçler şirketten şirkete değişecektir, ancak buradaki anahtar, genel olarak çalışanlar için iş akışını iyileştirirken aynı zamanda güvenliği iyileştirmenin yollarını aramaktır.
Çevikliği benimseyin
Güvenlik ekiplerinin atlanmasının en büyük nedenlerinden biri, çevikliği engellemeleridir. Bunun geliştirme ekibinden daha doğru olduğu hiçbir yer yok. Bir süredir SaaS alanında çalışıyorum ve geliştirme ekibinin hızlı teslim etme ve teslim etme yeteneği, bir şirketin başarısını veya başarısızlığını belirleyecek olanın özüdür.
Bununla birlikte, geliştiriciler, güvenlik protokolleri etrafında yollar bulmakla ünlüdür, çünkü protokoller, uygulamaları ne kadar hızlı başlatabileceklerini yavaşlatır. Bazı güvenlik ekipleri bunu geliştirici ekibinde bir başarısızlık olarak görebilirken, ben bunu güvenlik programının başarısızlığı olarak görüyorum. SaaS şirketleri, güvenli olmanın yanı sıra iş hızında uygulamalar sunabilmelidir. Kuruluşun güvenlik koçu olmak güvenlik ekibinin görevidir ve geliştiricinin işini yapma becerisini engellemeyen politikaların uygulanmasını içerir.
Bir örnek olarak, geliştiriciler, halihazırda var olan ve takılması kolay işlevleri yeniden oluşturmaktan kaçınmak için genellikle açık kaynak kullanırlar. Ancak bunun tehlikesi, bu kodun kaynağıdır. Dışarıda çok sayıda kötü amaçlı kod var ve en yetenekli geliştiricilerden bazılarının bile buna kapıldığını gördük. Bunu önlemek için kuruluşlar, geliştiricilerin yararlanabileceği incelenmiş kodun dahili havuzlarını oluşturmaya öncelik vermelidir. Kuruluş kendi dahili deposunu oluşturacak boyutta değilse, taranmış kod kitaplıkları sağlayan satıcılar aramalıdır. Bu şekilde geliştirici iş akışı engellenmez, ancak yine de daha güvenli hale getirilir.
Siloları Yıkmak
Bir diğer önemli adım, güvenliğin kuruluş içindeki herkese ait olması için kültürü oluşturmaktır. Bir bilgisayara dokunan herkes güvenlik konusunda bilinçli olmalıdır. Güvenlik ekiplerinin farklı departmanlarla çalışabilmesi ve iş akışlarına etkin bir şekilde entegre olabilmesi gerekirken, yine de işbirliğine dayalı bir çaba olmalıdır. Geliştirme ekiplerinin etkinleştirilmesi söz konusu olduğunda, bir güvenlik şampiyonu (veya güvenlik irtibatı) programı oluşturmanızı öneririm. Bu, geliştiriciler uygulamaları tasarlarken ve işleri planlarken güvenliğe masada bir yer verir.
Bu programı kuruluşunuzda mümkün olduğunca erken oluşturmak, farklı geliştirme ekipleri içinde neler olup bittiğine dair farkındalığınızı artıracak ve güvenliğin yazılım teslim hattında bir darboğaz haline gelmemesini sağlayacaktır. Diğer departmanlardan bu modeli satın alacak kişileri bulmak, güvenlik uzmanları için altın değerindedir, çünkü tavsiyeler doğrudan güvenlik ekibinden gelmediğinde her zaman daha yumuşak olur.
Tabii ki zorluk, güvenliği savunmak için fazladan iş üstlenmeye istekli, ancak bir şampiyonun yokluğunda, en azından farklı departmanlarla irtibat kurmaya istekli bireyler bulmaktır. Basit gerçek şu ki, güvenlik ekipleri kötü niyetli aktörlerden tek ve tek koruma olamayacak kadar incedir, bu nedenle organizasyonun geri kalanından destek almamız gerekir.