Kısa bir süre önce bir müşteriye veri ihlalini azaltmada yardım ederken, şirket içinde kuruluşun popüler bir güvenlik uyumluluk sertifikası standartlarını karşılamasını sağlayan başka bir ekip daha vardı. Bu, siber saldırı altındayken bile bir kuruluşun uyumluluğunu imzalayan onaylayıcı kuruluşlarla ilk kez karşılaşmıyorum. Bu ironik durum, sayıları giderek artan farklı uyumluluk sertifikalarının oynadığı kafa karıştırıcı rolü göstermektedir. Bir yandan, bu sertifikalar güvenlik çabalarını artırır, ancak sertifikalı şirketlere her zaman saldırıya uğradığı için bunların kapsamlı bir çözüm olmadığı da açıktır.
SOC2 ve ISO 27001 en iyi bilinen sertifikalar arasında yer alırken, şirketlerin benimseyebileceği düzinelerce gönüllü uyumluluk planı vardır. Aslında, şirketler genellikle birden fazla sertifikaya sahiptir, çünkü gerçek bir uluslararası standart yoktur; bu, kuruluşların müşterilerin, müşterilerin ve ortakların taleplerini karşılamak için yeni pazarlara girerken ek uygunluk sertifikaları araması anlamına gelir. İle birlikte SOC2’nin uygulanması üç aya kadar, ISO ise altı aya kadar sürebilir, şirketler bu sertifikalara büyük miktarda insan ve finansal kaynak harcıyorlar. Bu nedenle, bu çabanın buna değip değmediğini sormanın zamanı geldi.
Sertifikalar Beklenmedik Faydalar Getirebilir
Bu tür planların fayda sağladığına şüphe yoktur – ancak kuruluşların beklediği gibi olmayabilir. En önemlisi, genellikle aşağıdan yukarıya bir şekilde, bir kuruluş genelinde siber güvenlik bilincini artırırlar.
Potansiyel müşteriler ve müşteriler düzenli olarak sertifikalar hakkında soru sorduğundan, genellikle bir kuruluşun pazarlama ve satış ekipleri, sertifika arama talebinde bulunmak için CISO’larına yaklaşır. Bir sertifikanın nihai olarak takip edilip edilmediği – ve varsa, gerçek güvenlik faydalarının neler getirdiği – bu ivme önemlidir ve siber güvenlik ekipleri ile işin geri kalanı arasında daha güçlü bağlantılar oluşturur. Bu ilişkiler, daha bütünsel siber güvenlik uygulamaları ve politikaları için temel oluşturmaya yardımcı olabilir ve tüm işletmeye siber güvenliğe yatırım yapmanın önemini vurgulayabilir.
Satış, pazarlama ve diğer ekiplerden gelen sertifika talepleri de CISO’ya ve tüm üst düzey yöneticilere siber güvenliğin nasıl bir iş etkinleştirici ve pazarlama aracı olabileceğini gösterir; örneğin, bir kuruluşun belirli bir sertifikası varsa, potansiyel müşterilere ve müşterilere hitap etmek için bunu vurgulayabilir.
Aslında birçok kuruluş, bordro çözümlerinden teslimat hizmetlerine kadar hizmet sağlayıcılarının belirli bir uygunluk sertifikasına sahip olmasını ister. Dolayısıyla, böyle bir sertifikaya sahip olmamak, örneğin bir araç filosu yönetim şirketinin, nakliye hizmetleri isteyen bir startup’tan sözleşme kazanmayacağı anlamına gelebilir. Bu, şirketlerin genel olarak herhangi bir siber güvenlik harcamasının ve uygulamasının iş hedefleriyle nasıl uyumlu hale getirilmesi gerektiğini ve bir boşlukta veya salt uyumluluk zihniyetiyle nasıl gerçekleşmemesi gerektiğini anlamalarına yardımcı olur.
Yanlış Güvenlik Anlayışı
Ancak bu sertifikaları arayan kuruluşlar, ancak bu kadarını yapabileceklerini de anlamalıdır. Sertifikalı kuruluşlar her zaman saldırıya uğrar. ISO belgesine sahip firma sayısı, dört katına ama son on yılda saldırılar artmaya devam ediyor. Bunun nedeni kısmen mevcut ortamda hiçbir şeyin saldırıları tamamen engelleyememesidir. Sertifikalar bir başlangıç noktası olsa da, en olası saldırı yollarını, en değerli ve savunmasız hedefleri belirleyen ve ardından bu varlıkları korumaya odaklanan bütünsel güvenlik değerlendirmelerini telafi etmezler.
Ayrıca, bu sertifikalar ve denetimler geniş bir yelpazede uygulanabilir ve gerçekte ne kadar kapsamlı olduklarını söylemek zordur. Bunun nedeni, SOC2, ISO 27001 ve diğerleri için resmi sertifika sunan yüzlerce farklı şirketin olmasıdır. Temel yönergeler olmasına rağmen, yöntemleri farklıdır ve açıkçası, bazıları muhtemelen diğerlerinden daha iyi bir iş çıkarır.
Kuruluşlar Ne Yapmalı?
Günün sonunda, işletmeler kendi pazarlarında popüler olan sertifikaları araştırmalıdır. Bir kuruluş içinde güvenlik bilinci ve ivme oluşturmanın bir yoludur ve aynı zamanda siber güvenliğe yapılan vurguyu pazarlama ve satış çabalarına entegre etmenin yanı sıra siber güvenlik harcamalarının iş hedefleriyle bağlantılı olduğu bir ortamı teşvik etmek için bir araç oluşturur. Pratik düzeyde, ISO dahil olmak üzere birçok sertifika, para cezalarını veya itibar hasarını önlemek bir saldırı durumunda, örgütün önleyici adımlar attığını kamuoyuna gösterdikleri için.
Aynı zamanda işletmeler, herhangi bir sertifikasyon için seçtikleri kuruluşun eksiksiz bir iş çıkardığından emin olmalıdır. Örneğin, yalnızca geçmişte yapılan testler hakkında doldurulmuş bir anket değil, değerlendirmenin bir parçası olarak gerçek sızma veya başka testler yapılmalıdır.
En önemlisi, kuruluşlar uzun, sıkıcı ve maliyetli sertifikasyon sürecini tamamladıktan sonra bile gardlarını düşüremezler. Devam eden risk değerlendirmesi yapmaya devam etmeli, bir işletmenin en değerli kısımlarını korumaya odaklanmalı ve tehdit avcılığı ve etik korsanlık gibi proaktif savunma önlemleri kullanmalıdırlar.
Özetle, bu sertifikaların değeri, onları nihai hedeflerden ziyade başlangıç noktaları olarak görerek elde edilir. Bu sertifikalar genellikle iletişimin ilerletilmesi ve kuruluşlarda siber güvenliğin önceliğinin sağlanması açısından kritik öneme sahiptir.