Cobalt, Lazarus, MageCart, Evil, Revil — siber suç örgütleri o kadar hızlı yayılıyor ki takip etmek zor. Onlar sızana kadar senin sistem. Ancak, yaygın siber suçlardan daha ezici olan ne biliyor musunuz?
Kuruluşunuzun güvenlik çerçevesini oluşturma.
CIS, NIST, PCI DSS, HIPAA, HITrust ve liste uzayıp gidiyor. İlgili her endüstri standardını uygulayacak kaynaklara ve bir tee kontrolüne sahip olsanız bile, şirketinizin bir sonraki SolarWinds’e yakalanmasını engelleyemezdiniz. Çünkü ders kitabı güvenliği ve onay kutusu uyumluluğu onu kesmez. Stratejik olmalısınız (özellikle insan gücü sınırlı olduğunda!). Ve yalın.
Şimdi ipleri öğrenin.
Yalın Güvenlik Çerçevenizi Oluşturmak için 3 Profesyonel İpucu
Yerleşik bir çerçeve olmadan, ya göz kamaştırıcıları ile siber risk evreninde geziniyorsunuz – ya da yanlış pozitiflere o kadar derinden gömülüyorsunuz ki, zaten yanal olarak ilerleyene kadar karmaşık bir saldırıyı fark edemezsiniz.
Ancak, yapabilecekken neden güvenlik çerçevenizi sıfırdan oluşturasınız ki? bir sayfa çalmak (veya 3!) uzaydaki diğer profesyonellerden? Aşağıdaki önyüklenmiş BT güvenlik ekipleri için ücretsiz kılavuzlarından hızlı ipuçları alın.
Profesyonel İpucu 1: Endüstri Standartlarını İhtiyaçlarınıza Göre Özelleştirin
Yalın güvenlik çerçevenizi oluşturmak için ilk adımınız mı? Tekerleği yeniden icat etmeyin!
Sektör çerçevelerini ve standartlarını kuruluşunuzun benzersiz ihtiyaçlarına göre özelleştirin. Örneğin, İnternet Güvenliği Merkezi, CIS, Kritik Güvenlik Kontrolleri veya Ulusal Standartlar ve Teknoloji Enstitüsü, NIST’ler, Siber Güvenlik Çerçevesi ile temelinizi atın.
Ardından, sektöre özgü standartlarla güvenlik tuğlalarınızı oluşturmaya başlayın: Kredi kartlarıyla mal veya hizmetler için ödeme kabul ediyorsanız Ödeme Kartı Endüstrisi, PCI’ler, Veri Güvenliği Standardı (DSS); veya sağlık hizmeti alıyorsanız Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA); ve benzeri.
Profesyonel İpucu 2: Risk Alırken Rahat Olun
Kontroller. Onlara ihtiyacınız olduğunu biliyorsunuz, ancak bazı kontroller güvenlik durumunuz için diğerlerinden daha değerlidir. Neden? Niye? Çünkü bazıları harcamaya değmez.
Örneğin, şirketinizin kişisel verilerini bulutta depolamak risklidir. Alternatif nedir? Şirket içinde mi barındırıyorsunuz? Bu pahalıdır ve kendi riskleri ile birlikte gelir. Yani bulutu kullanma riskini kabul etmeyi seçiyorsunuz, değil mi?
Risk yönetiminin dört temel alanı genelinde çeşitli kontrolleri uygulamanın değerini tartmak isteyeceksiniz: tehdit; teknoloji ve entegrasyon; maliyet; ve üçüncü taraf satıcılar.
3. İpucu: Gelişen Trendleri ve Teknolojileri Benimseyin
Maliyet etkin olduğu için, çoğu ölçeklendirme şirketi gibi buluta çoktan geçmişsinizdir. Bu nedenle, kendinizi yalnızca tüm teknoloji yığınlarını şirket içinde barındıran şirketler için tasarlanmış endüstri çerçeveleri ve standartlarıyla sınırlamayın.
Cloud Security Alliance’ın Bulut Kontrolleri Matrisini ve Paylaşılan Sorumluluk Modelini kullanın. Zero-Trust ana vagonuna atlayın. Teknoloji yığınınızı bir XDR ile entegre edin. Tehdit izleme ve MSP, MSSP veya MDR’ye yanıt için dış kaynak kullanın. Riskinizin bir kısmını bir bulut sigorta sağlayıcısına devredin.
Alt çizgi
Risksiz bir güvenlik çerçevesi oluşturmak için fazlasıyla yeterli seçeneğiniz var. İşin püf noktası, akıllıca seçmek ve seçmektir.
Bu 3 ipucunu faydalı bulduysanız — Cynet’in ücretsiz kılavuzunu indirindaha fazlası için “Kaynakları Tükenmiş Bir BT Güvenlik Ekibiyseniz Bir Güvenlik Çerçevesi Nasıl Oluşturulur”.