YORUM
Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) yeni olay raporlama gereksinimleri güvenlik uzmanları ve hükümet organları arasında pek çok soru ve endişeye yol açtı.
Bir argüman, gerekliliklerin birbirinin aynısı olduğu yönündedir. 2022 Kritik Altyapı için Siber Olay Bildirimi Yasası ((ÇEYREK) ve zaten kaynakları kısıtlı olan siber güvenlik ekipleri için daha fazla iş yaratacaktır.
Bir diğeri ise, dört günlük bir açıklama penceresinin etkiyi belirlemek için çok erken olması ve hassas ihlal bilgilerinin ihlalin hemen ardından kamuya açıklanmasının, güvenlik açığı düzeltilmeden önce kötü niyetli kişilerin bu açığı istismar etmesine yol açabileceğidir.
Görüşler ve spekülasyonlar bir yana, zorluklar gerçektir:
-
Günümüzde veriler birçok şirket, sistem ve iştirak arasında dolaşıyor ve bu da mağdurlar ile failler arasında ayrım yapmayı inanılmaz derecede zorlaştırıyor.
-
“Yatırımcılar için neyin önemli olabileceğini” belirlemek her zaman açık olmayabilir ve bunu anlamak için idari çalışmalar gerekebilir.
-
İş dünyasındaki yöneticiler ve yönetim kurulu ile iletişim kurmak daha da kritik hale gelecek ve daha fazla eğitim ve öğretim gerektirecek.
Bu, baş bilgi güvenliği sorumlusu (CISO) ve tam teşekküllü bir güvenlik operasyon merkezi (SOC) ekibine sahip büyük bir şirket için çok zorlu bir görevdir; şimdi daha az kaynağa sahip daha küçük şirketler için bunun nasıl olacağını hayal edin.
15 Haziran itibarıyla, daha küçük raporlama şirketlerinin büyük bir organizasyon gibi uyması gerekecek. Bu gereklilikler şirketleri cezalarla istemeden de olsa felç edebilir, yeniliği engelleyebilir ve büyümelerini engelleyebilir.
Yeni kurulan şirketler baskı altında ezilecek mi? Bunu görmek için beklemek gerekiyor. Ancak daha küçük şirketler biraz acı yaşayacak.
İşte küçük kuruluşların etkiyi azaltmak için atabileceği adımlar.
Adım 1: En İyi Güvenlik Çerçeveleri Konusunda Akıllı Olun
Öncelikle, başlıca çerçevelere aşina olun. Neyse ki, bir organizasyonun hazırlanmasına yardımcı olabilecek kaynaklar var.
-
AB Ağ ve Bilgi Güvenliği Direktifi v2 (NIS2): Avrupa Birliği genelinde yüksek düzeyde ortak siber güvenlik elde etmeyi amaçlayan bir direktif. Gelişen tehditleri ele almak ve ağ ve bilgi sistemlerinin güvenliğini iyileştirmek için orijinal NIS direktifini günceller. NIS2, Avrupa Birliği’nde (AB) faaliyet gösteren kuruluşlar için olmazsa olmaz olan kritik altyapının güvenliğini ve dayanıklılığını sağlamak için yönergeler sağlar.
-
NIST Siber Güvenlik Çerçevesi (CSF): Kuruluşların siber güvenlik riskini yönetmesine ve azaltmasına yardımcı olmak için bir dizi kılavuz ve en iyi uygulama. Amerika Birleşik Devletleri’nde ve uluslararası alanda yaygın olarak kullanılan bu kılavuz, kuruluşların siber güvenlik faaliyetlerini iş ihtiyaçlarına göre hizalamasına ve önceliklendirmesine yardımcı olur ve riski yönetmek için ortak bir dil sağlar.
-
NIST Risk Yönetimi Çerçevesi (SP 800-53): Bu çerçeve, kuruluşların güvenlik ve gizlilik risklerini yönetmeleri için bir süreç sağlar ve federal bilgi sistemleri ve kuruluşları için bir güvenlik ve gizlilik kontrolleri kataloğu sunar. Kuruluşların güvenliğe risk tabanlı bir yaklaşım uygulamasına yardımcı olur ve kontrollerin belirli ihtiyaçlara göre uyarlanmasını sağlar.
-
ISO/IEC 27000: ISO/IEC 27000: ISO/IEC 27001 dahil olmak üzere bilgi güvenliği yönetim sistemleri (ISMS) için bir standartlar ailesi, bir ISMS’yi kurma, uygulama, sürdürme ve sürekli iyileştirme gerekliliklerini belirtir. Bilgi güvenliği risklerini yönetmek için kapsamlı bir çerçeve sağlar ve bilgi varlıklarının güvenli olduğundan emin olur.
-
İnternet Güvenliği Merkezi (CIS) Kritik Güvenlik Kontrolleri (CSC): CIS CSC, kuruluşları ve verileri bilinen siber saldırı vektörlerinden korumak için öncelikli bir eylem kümesi de dahil olmak üzere BT sistemlerini ve verilerini güvence altına almak için en iyi uygulamalar kümesidir. Kuruluşların yüksek etkili alanlara odaklanarak güvenlik çabalarını önceliklendirmelerine ve genel güvenlik duruşlarını iyileştirmelerine yardımcı olur.
Genel Veri Koruma Yönetmeliği (GDPR), Kaliforniya Tüketici Gizlilik Yasası (CCPA), Kanada’nın Kişisel Bilgi Koruma ve Elektronik Belgeler Yasası (PIPEDA), Almanya’nın Bundesdatenschutzgesetz (BDSG) ve Güney Afrika’nın Kişisel Bilgilerin Korunması (POPI) Yasası gibi küresel veri gizliliği düzenleme çerçeveleri de vardır. Bunlar, kişisel olarak tanımlanabilir bilgilerin (PII) nasıl elde edildiğini, işlendiğini ve saklandığını yöneterek kişisel verileri korumak için tasarlanmıştır.
Adım 2: Bir Güvenlik Ekibi Oluşturun
Sıfırdan sağlam bir güvenlik programı oluşturmak, özellikle küçük şirketler için göz korkutucu olabilir. Ancak stratejik planlamayla, asgari kaynaklarla sağlam bir güvenlik temeli oluşturmak mümkündür. Bir güvenlik programını başlatmak için bazı adımlar şunlardır:
-
Küçük bir SOC ekibi kurun. Kıdemli bir güvenlik lideri, bir altyapı güvenlik mühendisi, bir uygulama güvenlik mühendisi ve bir uyumluluk uzmanı işe alın. Bu roller, bir güvenlik yol haritası oluşturabilen, görevleri riske göre önceliklendirebilen ve ölçeklenebilir süreçleri uygulayabilen deneyimli profesyoneller gerektirir. Bu ekip üyeleri, güvenlik yol haritasının kritik unsurlarını kendi başlarına yürütme yeteneğine sahip olmalıdır.
-
Mühendislikle yakınlaşın. Geliştirme ekibinizle halihazırda yakın bir uyum içinde değilseniz, hemen başlayın. Ürüne aşina mühendisler güvenlik açıklarını ve iyileştirme fırsatlarını belirleyebilir. Bu, yazılım geliştirme yaşam döngüsü boyunca güvenli uygulamaları entegre etmek, penetrasyon testi bulgularını ele almak ve müşteriye yönelik güvenlik özellikleri eklemek için hayati önem taşır. Başlangıçlardaki kaynak kısıtlamaları bunu zorlaştırsa da, erken güvenlik müdahalelerinin zamandan nasıl tasarruf sağladığını göstermek gerekli bağlılığı kazanmaya yardımcı olabilir.
-
Otomatikleştir, otomatikleştir, otomatikleştir. Otomasyonun güvenlik süreçlerini kolaylaştırabileceği basit yollar arayın — altyapı izleme ve otomatik düzeltmeden kod analizi ve güvenlik açığı yönetimine. Otomasyonla, yeni kurulan şirketler güvenliği her sürece sorunsuz bir şekilde entegre edebilir, bu da yalnızca güvenliği iyileştirmekle kalmaz, aynı zamanda mühendislik süresinden de tasarruf sağlar.
-
Açık kaynak kodlu yazılımları deneyin. Açık kaynaklı güvenlik araçları lisans ücretlerini ortadan kaldırırken, uygulama ve yapılandırma için zaman gerektirir. Küçük ekiplere sahip yeni başlayanlar için, tedarikçilerin dağıtabileceği ve yönetebileceği araçları seçmek daha faydalı olabilir ve güvenlik iyileştirmelerinin pratik ve uygun maliyetli olmasını sağlayabilir.
-
Risk ve zafiyet yönetiminin temellerini kapsayın. İhlallerin çoğu bilinen güvenlik açıkları ve insan hatasıyla ilgilidir. İyi saldırı yüzeyi görünürlüğünün sağlanması, tüm varlıkların taranması ve kritik güvenlik açıkları için makul hizmet düzeyi anlaşmalarının (SLA’lar) karşılanması son derece önemlidir. Bu adımlar, daha küçük şirketlerin yeni olay raporlama kurallarında gezinmesi için bir başlangıç noktası sağlar. Gereksinimler baskı yaratsa da, güçlü bir güvenlik temeli oluşturmaya yardımcı olurlar.
Tek bir sihirli formül olmasa da, bunlar daha küçük şirketlere yeni olay raporlama kurallarında gezinmeleri için bir başlangıç noktası sağlar. Yeni gereklilikler baskı yaratsa da, kaçınılmaz olan için zorlayıcı bir işlev görür: güçlü bir güvenlik temeli oluşturmak.