Küreselleşme terimi – dünya ülkeleri, kültürleri ve ekonomileri arasında artan karşılıklı bağlantı ve karşılıklı bağımlılık – kurduğu insani köprüler ve ticaret ve birlik konusunda vaat ettiği avantajlar nedeniyle iyimser tonlarla gölgelenmiştir. Bugünün işletmeleri, pazarlarını sınırsız bir potansiyel alıcı listesine genişletmekten kesinlikle büyüme ve ölçek elde etse de, denkleme biraz soğuk gerçekçilik suyu serpmemiz gerekiyor. Güvenlik açısından, bazı bölgelerle ağları, verileri ve sistemleri birbirine bağlamak, bizim için diğerlerinden daha tehlikelidir.
Savaşlar ülkeler arasında yapılır ve tehdit aktörleri belirli bölgelerde yoğunlaşır ve bunları hedefler. Örnek olarak, ABD şirketlerini hedef alan tehdit aktörleri genellikle Rusya içindedir. Rus tehdit aktörlerinin de Ukraynalı işletmeleri hedef almak için jeopolitik nedenleri var. Diğer bölgelerde, şirket mülkü devlet mülkü olarak kabul edilir ve el konulabilir, işgal edilebilir veya bir an önce ve bazen fark edilmeden dijital olarak incelenebilir. Çin de dahil olmak üzere diğer ülkeler, özel şirketlerin fikri mülkiyetini ele geçirme konusunda uzun bir geçmişe sahiptir. Bu bariz gerçekleri göz önünde bulundurarak, yabancı ülkelerde ofisleri olan şirketlerin – ne kadar küçük ve bazen unutulmuş olursa olsun – Suudi Arabistan veya Şangay’daki küçük uydu ofislerinin Chicago’daki ev ofisi (örneğin) için oluşturabileceği riskleri anlamaları önemlidir. aynı ağları, uygulamaları ve verileri kısıtlama olmaksızın açıkça paylaşmaları gerekir.
Düşündüğünüzden Daha Fazla Bir Sorun
Birçok küresel kuruluşun, kendileri için en azından bir miktar risk oluşturan uluslararası lokasyonlarda ofisleri vardır. BT ekipleri bir bütün olarak kuruluşları için katı güvenlik uygulamaları uygulamak için çalışırken, aşağıdakilere sahip bölgeler söz konusu olduğunda belirli kontrolleri dikkate almaları gerekir:
- Yerleşik bir bilgisayar korsanlığı/fidye yazılımı geçmişi
- Kişisel ve ticari gizliliğe karşı yasalar
- Ulus-devlet casusluğunu savunun/uygulayın
- Ulus devlet filtreleri gerektir (İnternet denetimi ve proxy’ler)
- Ticari ofislere baskın geçmişi
- Büyük ölçüde baskı altındaki bir nüfus veya ekonomi
- Önemli bir fikri mülkiyet çalma geçmişi
Aşağıda, bazı risk grubu kesintileri ve önerilen güvenlik korumaları ve kontrol seviyeleri bulunmaktadır. Her grubun kendisi sayısal olarak riske göre önceliklendirilir (en yüksekten en düşüğe).
Risk Grubu 1 (yüksek risk):
- Bölgenizin aktif veya potansiyel askeri/ideolojik çatışma içinde olduğu veya önemli ekonomik veya teknolojik rekabet içinde olduğu ülkeler.
- Kendi ülkeniz veya müttefikleri dışında en fazla bilgisayar korsanlığı faaliyeti üreten bölgeler. Bu liste, müttefikleriniz gibi dinamik olarak değişecektir. Örneğin, Amerika Birleşik Devletleri ve müttefikleri genellikle bu ülkelerde bulunur. herkese açık listeler; ancak, ABD şirketleri kendi kurumsal ofislerini bölümlere ayırmaz ve müttefiklerini düşük riskli olarak kabul etmez.
- Kurumsal gizlilik yasalarına uymayan ülkeler. Bu tür ülkeler, devlet destekli baskınlar veya dijital sızmalar kapsamında casusluk yapma veya fikri mülkiyeti çalma riskini temsil eder.
Risk Grubu 2 (orta risk):
- Ekonomik olarak depresyonda olan ve daha yüksek dijital suç oranları gösteren, politik olarak tarafsız ülkeler (mevcut askeri çatışma veya yüksek gerilim yok).
Diğer tüm ülkeler için her zaman biraz risk olduğunu varsaymalıyız – bu yüzden onları dikkate alacağız “Risk Grubu 3.”
Risk Grupları İçerisindeki Ofislerin Güvenli Hale Getirilmesi
İdeal bir dünyada, ayrı bir ülkede bulunan her ofisi bölümlere ayırır ve izole ederiz. Ancak kullanılabilirliği, maliyeti ve zamanında yanıtı göz ardı edemeyiz. Aşağıda, ülke grubu başına bazı genel güvenlik yönergeleri verilmiştir.
Risk Grubu 1: Bunlar en yüksek risk seviyesini temsil eder ve buradaki ofisler kurumsal ağdan tamamen izole edilmelidir. Bu tür ofisler ayrı sistemler, veritabanları, yedeklemeler, uygulamalar bulundurmalı ve kurumsal birincil operasyonlarla hiçbir hizmet olarak yazılım (SaaS) çözümü paylaşmamalıdır. Bu, maliyeti ve zorluğu temsil etse de, bu ülkelerden kaynaklanan risk göz ardı edilemeyecek kadar büyük. Ofisler, sıfır güven ilkeleri, kişiler, süreçler ve teknoloji genelinde katmanlı güvenlik ve sıkı yanal hareket savunmaları dahil olmak üzere en iyi güvenlik uygulamalarına bağlı kalmalıdır.
Risk Grubu 2: Bu ülkeler orta düzeyde bilgisayar korsanlığı ve kurumsal gizlilik risklerini temsil ediyor. Buradaki ofisler en iyi güvenlik uygulamalarına bağlı kalmalı ve bu konumlardaki kullanıcılara küresel sistemlere kapsamlı erişim verilmemelidir. Katı bir şekilde uygulanan rol tabanlı erişim kontrolünden yararlanın ve bu erişimi ABD tabanlı bir sanal masaüstü altyapısı (VDI) makinesi aracılığıyla etkinleştirin (asla WAN üzerinden değil). Bireylere verilen kullanıcı erişimi, risk kaydına kaydedilmelidir.
Risk Grubu 3: Bu grup için özel korumalar önermesek de, küresel kuruluş en iyi güvenlik uygulamalarını kullanmalı ve kimlik, uç nokta ve yanal hareket savunmalarını hem tam olarak anlamalı hem de uygulamalıdır.
Belirsiz Bir Manzarada Kasıtlı Bir Strateji
“Sıfır risk” diye bir şey yoktur ve bu kararlarda ciddi kullanılabilirlik ve maliyet dengeleri vardır. Nihayetinde, liderlik risk toleransını belirlemeli ve işi korumak için makul özeni gösterdiklerini göstermek için bu tolerans seviyeleri dahilinde yapmak istedikleri kontrollere kasıtlı olarak karar vermelidir. Daha riskli ulus devletlerde kuruluşun ofisleri veya üçüncü şahıslarla güvenlik sorunları nedeniyle ihlal meydana gelen birçok kuruluşun kurtarılmasına yardımcı olduk.
Biz tek bir dünyayız, ancak zaman zaman düşmanca bir ortamda güvenli bir şekilde faaliyet göstermek için o dünyadaki çeşitli karşı taraflarımızla nasıl etkileşim kurduğumuz konusunda gerçekçi olmalıyız.