28 Ekim 2022’de Elon Musk, Twitter platformunu devraldığını resmileştirdi. O zamandan beri sosyal ağ, iş gücünün yarısının işten çıkarılmasından birçok kişi ve markanın kimliğine bürünmeye izin veren yeni bir özelliğin kullanıma sunulmasına; çok faktörlü kimlik doğrulama yapılandırmasını etkinleştiren bazı kullanıcıların yanlışlıkla engellenmesinden bahsetmiyorum bile. Ek olarak, siber güvenlik, gizlilik ve uyumluluktan sorumlu birkaç kilit çalışan istifa etti.
İlk bakışta, bu çalkantılardan en çok bireysel kullanıcılar etkileniyor gibi görünse de Twitter’ın başına gelenler, bir şirketin marka imajının bir gecede ne kadar kolay değişebileceğini de gösteriyor. Dolayısıyla bu, devralma durumunda satıcı güvenlik düzenlemelerinin istikrarı hakkında bir takım soruları gündeme getiriyor.
Yazılım yayıncılarının faaliyetlerini izleme
Bu sosyal ağın satın alınması çok önceden duyurulsa da, değişikliklerin çoğu tüm kullanıcıları şaşırttı: güvenlik ve gizlilik politikaları açısından geri dönüşler kaçınılmaz olarak siber riski etkiledi. Bu nedenle kuruluşların, güvenliğin uygulamalara olan bağımlılığını göz önünde bulundurarak, bir satın almanın ardından bu tür bir olasılığa karşı hazırlıklı olmaları elzem görünmektedir. Ek olarak, uygulamalar ve hizmetler değiştiğinde, bulut güvenlik kontrollerini hızla ayarlayabilmeleri gerekir.
Kurumsal verileri tutan bir teknoloji satıcısında buna benzer sorunlar ortaya çıktığında, ekipler bu iş ortağıyla görüşmeli ve şu alanlarda risk yönetimi planları geliştirmelidir: hizmet kullanılabilirliği, güncellemeler ve yeni engellere yol açabilecek muhatap değişiklikleri. Paylaşılan sorumluluk modelinin bir parçası olarak, herhangi bir kuruluş, her birinin kontrollerini ve sorumluluklarını listeleyen bir organizasyon şemasına sahip olmalıdır. İkincisi, bir tedarikçideki büyük bir değişiklikten kaynaklanan risk seviyesindeki herhangi bir değişikliği tahmin etmek için esnek olabilir. İyi tanımlanmış, belgelenmiş ve düzenli olarak doğrulanan süreçler, şirketin bu tür bir karışıklıkla karşılaştığında şaşırmaktan kaçınmasını sağlayacaktır.
Mevcut ve eski çalışanların güvenliği
Twitter’ın satın alınması bize, hassas verileri depolayan ve değiş tokuş eden çalışanların kuruluş için kalıcı bir risk oluşturduğunu hatırlatıyor; özellikle bu bilgi, çoğunluğu bilinmeyen ve dolayısıyla BT ekipleri tarafından yönetilen çok sayıda SaaS uygulamasından geçiyorsa. İlk bakışta, BT çalışanlarının denetimi olmadan güvenilir bir SaaS uygulamasının kullanımına izin vermek, kötü gizlilik ilkesine sahip güvenilmez bir dosya aktarım hizmeti kullanmak kadar riskli olmasa da, verilerin dağılması yalnızca kuruluşun kontrolünü kaybetmesi riskini artırır. BT. Bu nedenle birçok şirket, çalışanlarının kullanabileceği onaylanmamış SaaS hizmetlerini sınırlandırmaktadır. Ayrıca, bu hizmetlere iletilen veri miktarını ve türünü sınırlayan Sıfır Güvene dayalı bir erişim politikası uygularlar.
Son olarak, işten atılan veya sadece memnun olmayan binlerce çalışandan bir veya daha fazlasının hassas verileri ifşa ederek hizmetlerini sabote etme olasılığını akılda tutmak gerekir. Ancak, bir uygulamadan veya bulut hizmeti sağlayıcısından gelen bir iç tehdit bile kuruluşu etkileyebilir. Ayrıca çalışanlar stres veya fazla çalışmanın etkisi altında hata yapmaktan muaf değildir. Bununla birlikte, bu fenomenler, çalışma koşullarına artan dikkat ile sınırlandırılabilir.
Bu nedenle, herhangi bir siber güvenlik stratejisinde olduğu gibi, ilgili riskler ile işletmeye sağlanan faydalar arasında doğru dengeyi kurmak çok önemlidir. Ekipler bulut hizmetlerini artan bir oranda tüketmeye devam ederken, Twitter’ın devralınmasının neden olduğu olaylar, kurulları siber riskler konusunda eğitmeye hizmet edebilir. Ek olarak, altyapı ve güvenlik yöneticilerinin stratejilerini ve bulutu güvence altına almak ve Sıfır Güven ilkelerini devreye almak için devam eden yatırım ihtiyaçlarını gerekçelendirmesine yardımcı olacaktır.