İki bölümden oluşan bu makalenin ilk yarısı burada: “Siber Özcülük ve ‘Daha Azıyla Daha Azını Yapmak’“”
Dikiz aynasındaki RSA Konferansı ile kendimize şu soruyu sormalıyız: Gösteri alanı gerçekten daha iyi risk yönetimi ve/veya risk azaltımı sağlıyor mu? Aptalca bir soru gibi görünüyor, ancak o gösteri alanına kaç milyon dolar harcandığına göre, kesinlikle toprağa bir kazık dikemez ve “Kesinlikle” diye bağıramazsak, o zaman sektörümüzle ilgili çok büyük bir sorun var demektir. Benim için “Kesinlikle” diye bağırabileceğimden emin değilim.
Siber özcülük ve daha azla daha azını yapmak hakkındaki önceki makalemizin devamı olarak, kendi ekiplerimizin kuruluşlarımıza işlevsel değer sağladığımızdan emin olmalarına nasıl yardımcı olabileceğimize bakmaya devam edelim.
Derinlemesine Savunma Olmalıdır, Derinlemesine Gider Değildir
Tatbikatı biliyoruz – bir grup güvenlik ürünü yükleyin, bazılarından değer elde edin, ayarlamaya devam edin, ince ayar yapın, ekip arkadaşlarımızı onlara yönlendirin ve ardından tekrarlayan bir döngüde daha fazlasını ekleyin. Bunu düzeltelim.
Geçenlerde SpaceX’in süreçlerini nasıl optimize etmeye çalıştığına dair bir makale gördüm ve insanların yapmaya çalıştığı ilk şey bir adımı kaldırmak oluyor. Sonuçta, bir adımı kaldırabiliyorsanız, neden onu optimize edesiniz? Yani yığından bir şey çıkarabilir misin? Şirketiniz buluta taşınıyor, ancak bir şekilde ofisleriniz için bu ağ izleme çözümünü bırakmıyor musunuz? Hala her Windows makinesinde çalışan 20 aracınız var mı? Yalnızca bir iş birimi veya eski uygulama için belirli bir güvenlik duvarı veya proxy mi kuruyorsunuz?
Bir şeyi kaldırmadan önce ihtiyacın sıfır olması gerekmez. BT’nin veya işletmenin yaklaşımını modernize etmek veya değiştirmek için bir dürtmeye ihtiyacı olduğunda artık bir şeye zorlu güvenlik harcamaları yapmamaya karar verebilirsiniz. Yaratıcı olun, ancak nihayetinde bunun her zaman derinlemesine masraf değil, derinlemesine savunma olduğundan emin olun.
Savunmalarınıza Güvenin
gibi filmler gördünüz mü? Apollon 13 veya Marslı kontrol odasının “Bu enstrümantasyon arızası olabilir mi?” Sizin için, güvenlik programınızda beklenmedik bir şey görürseniz araçlarınızın, verilerinizin veya zekanızın kapalı olup olmadığını belirleyebilir misiniz? Yapabiliyorsanız, hızlı bir şekilde yapabilir misiniz?
“Enstrümantasyon arızasını” tespit edebilmenin ötesinde, yönetebileceğinize inandığınız şeyleri gerçekten tespit edebildiğinizden, engelleyebildiğinizden veya ortadan kaldırabildiğinizden veya bunlara dair kanıtlara sahip olduğunuzdan emin olmak için doğrulama testleri yapıyor ve kırmızı ekip oluşturuyor olmalısınız. “Burada ne kadar çok terlerseniz, sokaklarda o kadar az kanarsınız” demişler.
Daha azıyla daha az şey yapmak, son derece yüksek bir kalite ve güvence düzeyinde daha az şeyin yapılabileceği anlamına gelmelidir — bu nedenle ölçüm ve test yaptığınızdan emin olun.
Bir İş Değeri Değerlendirmesi Gerçekleştirin
Değeri (veya riski) ölçmek zordur, ancak bu zorluklara katlanmak kuruluşunuzu uzun süreli, sürdürülebilir büyümeye hazırlayabilir. Araçlarınızın sahip olduğu etkiyi ölçmekle başlar. Üzerinde durulacak birkaç alan şunları içerir:
- Ortamınızı ne kadar sertleştiriyorlar
- Neyi koruduklarının önemi
- Tespit ve yanıtı hızlandırdıkları oran
- Çalışanların iş akışlarını değiştirmek zorunda kalmadan daha güvenli olmanın varsayılan yollarını oluşturup oluşturmadıkları
Bir noktada, tüm “şeyleri” sıralayabilmeli, ne kadar harcayabileceğinizi veya yönetebileceğinizi gösteren bir çizgi çizebilmeli ve ardından en büyük etkiye sahip olan şeylere odaklanabilmelisiniz. ROI’nin en yüksek noktasında çalışacak olan özcülüğü hatırlıyor musunuz? Burada bahsettiğimiz şey bu – bunu bir duygu veya 20 yıllık eski dağıtım “rahatlatıcıları” yerine verilerle yapmaya çalışıyoruz. Önemli olana odaklanın ve onu iyi savunun.
İşletmeyi Bakıma Zorlayın
Bir iş birimi, Salesforce veya ServiceNow gibi bir aracı devreye alırsa, bu aracı güvenli ve emniyetli bir şekilde devreye alma sorumluluğunun bir kısmına (hepsi değilse de) sahip olması mantıklıdır. İşletmeler tüm becerilere ve deneyime sahip olmasa da, güvenliğin bir akıl sağlığı kontrolü sunabilen bir kılavuz olduğu, ancak nihai olarak uygulamanın tüm güvenlik yönlerinden tek başına sorumlu olmadığı ayrımını yapmak önemlidir. İşletmenin ilgilenmesine ihtiyacımız var.
İş birimleri ve belirli uygulamaların ötesinde, çeşitli C-suite üyelerine en büyük siber risklerin ne olduğunu düşündüklerini en son ne zaman sordunuz? Ya da kraliyet mücevherlerinin ne olduğunu düşündüler? Masa başı ve görüşme, kaynakları ve taahhütleri hizalamaya çalışmanın ve daha azına odaklanmanıza (ve dolayısıyla, umarız, daha azını yapmanıza) izin verirken, önemli olanı savunmada daha büyük bir etkiye sahip olmanın harika yollarıdır. Kendi iş değeri değerlendirmeniz üzerinde çalıştıysanız, bu bilgiyi paylaşın ve farklı bakış açıları ve zihinsel modelleri olan başkalarından girdi alın. Daha iyi sonuçlar elde etmek için işbirliği yapın ve birlikte öncelik verin.
Bir Değer Sürücüsü Olarak Siber Güvenlik
Siber güvenlikte daha azıyla daha azını yapmak, kaynakları tahsis etmek için işbirlikçi ve metodik bir yaklaşım gerektirir. Bu, güvenlik araçlarınızın durumunu ve kuruluş için nasıl çalıştıklarını düzenli olarak gözden geçirmenin yanı sıra C-suite’ten katılım ve uyum aldığınızdan emin olmanız anlamına gelir. Güvenliğe harcanan para, güvenlik duruşunun gücünün bir göstergesi değildir. Bu, sürdürülebilir büyümeyi teşvik etmek için kuruluşun ihtiyaçlarına uygun çözüm süreçlerinde bu doları kullanmakla ilgilidir.