Celeste bir fiber operatörüdür ancak aynı zamanda barındırma çözümleri ve bir dizi güvenlik çözümü sağlayıcısıdır; bu, 2021’de Oceanet’in satın alınmasıyla başlayan bir dönüm noktasıdır. Bu birleşmenin bir parçası olarak, başlangıçta Oceanet’in CISO’su olan Pascal Bendimerad, Celeste grubunun CISO’su olarak atandı ve grubun yönetim ve güvenlik politikasını tanımlamaktan sorumlu oldu.
Pascal Bendimerad şöyle açıklıyor: “CISO düzeyinde yardımcımla birlikte çalışıyorum. Ancak aynı zamanda grubun her tesisinde, dağıtımları izleyen ve bize bilgi sağlayan, toplamda yaklaşık on kişiden oluşan bir muhabir ağına da güveniyoruz”.
Aynı zamanda şirket, dahili SOC ekibi gibi operasyonel ekiplerin yanı sıra, ara sıra şirketin müşterilerine izinsiz giriş testlerinin satışından sorumlu olan siber güvenlik ekibinin yardımına da güvenebilir. “Bunlar düzenli olarak birlikte çalıştığım ekipler, ancak benim rolüm yönetim düzeyinde. Kapsamım grubun tamamını kapsıyor, ancak barındırma ve dış kaynak kullanımı kısmına odaklanıyorum” diye açıklıyor.
Güvenlik politikasını tanımlayın
Pascal Bendimerad’ın görevi her şeyden önce şirketin güvenlik politikasını tanımlamak ve bunun çeşitli operasyonel ekipler tarafından düzgün bir şekilde uygulanmasını sağlamaktır. Dolayısıyla bu, şirketin sistemlerini hedef alabilecek ana tehditlerin dikkate alınmasını ve sorunun üstesinden gelmek için uygun yanıtların önerilmesini içerir.
“Amacımız sürekliliği, bütünlüğü, gizliliği ve izlenebilirliği garanti etmektir” diye özetliyor. “Örneğin DDoS saldırılarına yanıt vermek için, anormal bir olay durumunda tetiklenen trafik analizi ve sıralama çözümlerini kullanıyoruz.”
Ayrıca güvenlik açıklarının önceliklendirilmesi ve yamaların uygulanması konusunda da kendisine danışılıyor: “Haftalık toplantılarımız oluyor ve bu toplantılar sırasında bizim için acil görünen konular üzerinde baskı yapabiliyorum. Bu sorularla ilgili son sözü mutlaka ben söylemiyorum ama genel olarak ben dinleniyorum.” Etkinliğin son yönü, çalışanların güvenlik konularında farkındalığının artırılmasıdır.
Celeste’de CISO pozisyonu BT hizmetleri departmanına değil doğrudan grup başkanlığına bağlı: “Bu bana tamamen uygun bir pozisyon, grubun diğer departmanlarıyla olduğu gibi BT departmanıyla da etkileşim kurmamı sağlıyor. Ve bu da ISO 27001 standardı tarafından tanımlanan iyi uygulama.”
Onaylayın ve önleyin
ISO 27001, Pascal Bendimerad’la sohbet edebildiğimizde tam olarak meşgul olduğu şeydi. Bu iyi bilinen sertifika, bir bilgi güvenliği yönetim sisteminin uygulanmasına yönelik gereksinimleri tanımlar. Oceanet, 2016 yılında hosting faaliyetleri nedeniyle bu sertifikayı aldı. Artık önemli olan şirketin taahhütlerine uymaya devam ettiğini düzenli aralıklarla kanıtlayarak sertifikayı korumaktır. Dikkat edilmesi gereken tek sertifika bu değil: etkinlik aynı zamanda 2019’dan beri HDS sertifikasına sahiptir.
Celeste ayrıca 2019’dan bu yana veri merkezlerinden birinde IS27001 sertifikasına sahipti ve iki şirket, yıl boyunca bir dizi denetim yapmamak için şu anda bunu uyumlaştırmaya çalışıyor.
“Belirli bir yatırım gerektiren bir şey, çalışma süremizin %20’sini temsil ettiğini tahmin ediyorum. Ancak şirket için önemli, müşteriler için bir garanti ve onlara iyi uygulamaları hayata geçirmeyi başardığımızın güvencesini veriyor. bu sertifika bugün için bir handikap olacaktır” diye özetliyor Pascal Bendimerad. Ancak bu, tüm sertifikaların peşinde koşmak anlamına gelmiyor: “Bazıları diğerlerinden daha ilgi çekici, bazılarının uygulanması ise diğerlerinden daha karmaşık. Her halükarda bu, yönetimle sık sık iletişim kurduğumuz bir konu.”
Buna sektör üzerinde baskı yaratan düzenleyici kısıtlamalar da ekleniyor: Avrupa Birliği tarafından yakın zamanda kabul edilen NIS 2 direktifi, CISO’ya iş verme riskini taşıyor. Pascal Bendimerad, “NIS1 için endişe edip etmediğimizden tam olarak emin değildik ancak NIS2 konusunda herhangi bir tartışma yok” diye açıklıyor. Bu direktifin Fransız hukukuna aktarılmasını beklerken, ilerlemek ve uymaya hazırlanmak daha iyidir. “Neyse ki, ISO27001 için hayata geçirilen iyi uygulamalar bize yardımcı olacak. Kapsamlı değil ancak işi yapmamıza yardımcı olacak prosedürleri ve göstergeleri uygulamaya koyduk.”