YORUM
Siber güvenlik liderleri, dijital tehditlerin karmaşık ortamında gezinmek için sürekli olarak araç ve strateji arayışındadır. Ancak, dijital varlıkların korunmasından sürekli olarak sorumlu tutulmalarına rağmen, baş bilgi güvenliği görevlileri (CISO’lar) uzun süredir yönetim cephaneliklerinde bariz bir eksiklikle boğuşuyorlar: Bir yandan büyük resmi yakalarken diğer yandan da tüm operasyonlarının gözetiminden yoksunlar. kritik olanı hızlı bir şekilde yakınlaştırmak için.
Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesinin ilk versiyonu, 2014 yılında başkanlık kararnamesine yanıt olarak geliştirildi (EO 13636, Kritik Altyapı Siber Güvenliğinin İyileştirilmesi) kritik altyapı kuruluşlarının siber güvenlik riskini azaltmasına yardımcı olmayı amaçlamaktadır. Karar, NIST’i mevcut standartlara, yönergelere ve uygulamalara dayalı gönüllü bir çerçeve oluşturmak için endüstri ve hükümet paydaşlarıyla birlikte çalışmaya yönlendirdi. Siber Güvenlik Çerçevesi 2.0 mevcut beş temel işlevini genişletir (Tanımlamak, Korumak, Tespit etmek, YanıtlamakVe İyileşmek) ve yeni eklenen işlevi açıklar, Yönetmek.
CISO’nun ayrılmaz parçası
Yönetme fonksiyonunun tanıtılması, etkili yönetimin CISO rolünün ayrılmaz bir parçası olduğunun sektör tarafından çok önemli bir şekilde kabul edildiği anlamına gelir. Pratik anlamda Yönetim işlevi, CISO’nun araç setindeki kritik bir boşluğu doldurarak yönetime daha kapsamlı bir yaklaşım sağlar. Daha önce CISO’lar, masalarından geçen önemli soruları ve endişeleri ele alma konusunda zorluklarla karşılaşıyordu ve bu da etkili yönetim becerilerinde boşluklara yol açıyordu. Politikaları ne kadar iyi uyguladıklarına, ilerleme kaydedip göstermediklerine veya son yatırımlarının genel performans üzerinde önemli bir etkisi olup olmadığına dair cevap vermelerinin hiçbir yolu yoktu.
Örneğin belirli bir tehdide karşı hazırlık düzeyi nedir? Günümüzde politika uygulamalarının ve kontrollerin sağlığının kontrol edilmesi çoğunlukla bir tehdidin yaygınlaştığına dair söylentilerden kaynaklanıyor. Bu tepkisel bir yaklaşımdır ve muhtemelen çok geç sonuç verecektir. Daha proaktif bir yaklaşım, güvenlik liderlerinin bir dizi kontrol ve programın performansına ilişkin sürekli görünürlüğe sahip olması ve bir politikanın ihlal edildiği anda kolayca gösterge elde edebilmesi anlamına gelir. Bugün, bu veri noktalarını çeşitli ürün sahiplerinden toplama süreci o kadar sinir bozucu ki çoğu CISO pes ediyor ve onsuz yaşıyor. Ancak emin olun ki, bir tehdit kapılarını çaldığı anda bu veriyi acilen takip edeceklerdir. Çok geç olsa bile.
Yeni ürün tedarik süreci, etkili yönetimin sınırlı olduğu yerlerin bir başka örneğidir. Örneğin, bir CISO yeni bir kod koruma aracı satın aldığında, ekipten bir rapor göndermek için zaman ayırmasını istemedikçe, bunun kaydını onaylamanın kolay bir yolu yoktur. Performans, çeşitli ölçümlerden oluşan bir gruptur: Araç düzgün bir şekilde tarama yapıyor mu? İlgili tüm ortamları kapsıyor mu? Ortalama çözüm süresi (MTTR) yeterli mi? Olayların çoğu otomatik olarak mı yoksa manuel olarak mı işleniyor? Ekip çözülmemiş zorluklarla mı karşı karşıya?
Kod korumasının, çok çeşitli yetenekler arasından yalnızca güvenlik açıkları dünyasındaki araçlardan yalnızca biri olduğunu düşünün. Bunu birden fazla programdaki düzinelerce araç ve soruyla çarpın. Kötü bir yönetim süreci, bir kuruluşa onlarca ay ve saatlerce emeğe mal olur. Kolayca tekrarlanabilir veya ölçeklenebilir değildir.
Yöneticileri Şeffaflık ve Görünürlükle Güçlendirmek
Operasyonel yönlere ilişkin bu görünürlük eksikliği, CISO’ların esasen karanlıkta yönetim yaptığı ve bilinçli karar almayı ve stratejik planlamayı zorlaştırdığı anlamına geliyor. Ellerinde birçok araç, birçok silolanmış veri anlatısı ve daha geniş bir anlatıyı anlatmak için bir araya getirilecek tüm parçalar kaldı.
NIST CSF 2.0’daki Yönetim işlevi doğrudan bu eksiklikleri gidererek etkili yönetim için bir çerçeve sağlar. Govern’ın CISO’ları yönetim rollerinde yetkilendirmesi için birkaç temel özelliği bünyesinde barındırması gerekir.
İlk olarak, CISO’ların kontrollerin uygulama durumu hakkında fikir sahibi olmalarına ve güvenlik önlemlerinin sağladığı koruma düzeyini araç bazında değil, genel bir hikaye ve eğilim olarak değerlendirmelerine olanak tanıyan şeffaflık en üst düzeyde olmalıdır. Örneğin, CISO ofisi, çok faktörlü kimlik doğrulaması (MFA) olmayan ve kimlik avı eğitiminde sürekli başarısız olan bir kullanıcının kurumsal e-postalarının engelleneceği yeni bir politika tanımlar. Politikanın uygulanıp uygulanmadığını görmek için CISO’nun iki farklı araçtan gelen sürekli trend veri noktalarına ihtiyacı olacak ve bu noktaların sürekli olarak ilişkilendirilmesi gerekecektir.
İkincisi, bu bilgelik katmanının elektronik tablolara dayalı değil, otomatikleştirilmiş bir ölçüm sistemi tarafından yönlendirilmesi gerekiyor. Bu sistem, farklı araçlar ve farklı programlarla ilişkili çeşitli dilleri ve ölçümleri aşarak teknik jargonda kaybolmadan bütünsel bir yaklaşım sağlayacaktır.
Üçüncüsü, karmaşık güvenlik yığınını yönetim kurullarının anlayabileceği terimlere dönüştürmek için basit bir yönteme ihtiyaç var. Bu, CISO’ların bütçe kısıtlamaları altında devam eden yatırımları gerekçelendirme konusunda artan ihtiyacını ele alıyor.
Son olarak, performansın gerçek zamanlı ve sürekli olarak izlenmesi, politika uygulama eğilimlerine ilişkin sürekli bir bakış sağlanması ve CISO’ların siber güvenlik önlemlerini yönetme ve geliştirme konusunda yalnızca reaktif değil proaktif olmalarını sağlamak açısından da önemlidir. Elektronik tablolar zaman içinde statik anlardır ve operasyonel değildir. CISO’ların, tıpkı Monday.com’un proje yöneticileri için yaptığı gibi, kolaylaştırılmış ve otomatikleştirilmiş yönetime doğru büyük bir adım atması gerekiyor.
Özünde Yönetim işlevi, etkili yönetimin CISO’lar için sadece bir beklenti değil aynı zamanda bir zorunluluk olduğunun kabulüdür. CSF 2.0 ile CISO’lar, siber güvenlik operasyonlarını yeni bir tür bilgi ve içgörüyle yönetmek, yönetmek ve ölçmek için altıncı hislerini kazanıyor ve daha ustalıkla yeni bir proaktif ve bilgili liderlik çağını başlatıyor.