YORUM
İster sevin ister nefret edin, siber güvenlik uyumluluğu akılda en önemli konu olmaya devam ediyor özel kuruluşlar ve federal organlar arasında da. Ortaya çıkan teknolojiye ilişkin yeni düzenlemeler geliştirilmeye ve tanıtılmaya devam ederken, ABD Senatosu bile yasa teklifi federal siber güvenlik düzenlemelerini kolaylaştırmak.
Yönetmelikler, güvenlik liderlerine süreçleri iyileştirmek ve kuruluş genelinde siber güvenlik için hesap verebilirliği güçlendirmek için kaldıraç sağlar. Ancak, yeni uyumluluk gereksinimleri aynı zamanda güvenlik programının tüm dış paydaşların gereksinimlerini karşıladığından emin olma yükünü de artırır. Birçok baş bilgi güvenliği görevlisi (CISO), uyumluluğu korurken maliyetleri sınırlama, güveni artırma, güvenliği iyileştirme ve işletmeyi destekleme ihtiyacını aynı anda yönetmelidir.
Siber güvenlik uyumluluk gerekliliklerini desteklemek, günümüzün güvenlik liderleri için özellikle zordur çünkü kuruluştaki güvenliğin tüm yönlerini kontrol etmezler. Tüm departmanlardaki çalışanlar, kuruluşun verilerinin güvenliğini etkileyen her gün kararlar alırlar. CISO’lar, güvenlik ve uyumluluk ihtiyaçlarını karşılamak için dağıtılmış bir sorumluluk modelinden yararlanabilirler ancak bunu kasıtlı bir şekilde yapmalıdırlar. Önemli olan, tüm dahili paydaşların kuruluşun güvenlik programında oynadıkları rolü anlamalarını sağlamak ve onları sorumluluklarından sorumlu tutmaktır.
Güvenlik Ekibinin Ötesinde Beklentilerin Açıklığa Kavuşturulması
Güvenlik ekiplerinin, kuruluşun diğer bölümlerindeki meslektaşlarının sahip olmadığı uzmanlaşmış bilgiye sahip olduğu doğrudur. Bu nedenle bu tür gruplar şüpheli faaliyetleri izler, güvenlik açıklarını belirler ve takip eder, gerekli güvenlik önlemlerinin uygulanmasını sağlar ve güvenlik rehberliği sağlar.
Ancak güvenlik programları tasarlarken, CISO’lar ayrıca bir organizasyondaki tüm çalışanların şirketin sistemlerini, uygulamalarını ve verilerini korumada üzerlerine düşeni yapmaları gerektiği beklentisini belgelemelidir. Bu, çalışanların gerekli güvenlik farkındalığı eğitimiyle vurgulanan belirsiz farkındalık duygusunu sürdürmesinin ötesine geçer.
CISO, güvenlik ekibinin ötesine uzanan güvenlik sorumluluklarını açıklığa kavuşturma çabasına öncülük etmelidir. RACI matrisi belirli güvenlikle ilgili görevler için kimin sorumlu, hesap verebilir, danışılması ve bilgilendirilmesi gerektiğini yakalamaya yardımcı olur. Ortaya çıkan matris mükemmel olmasa bile, oluşturulmasına yol açan tartışmalar, kuruluşların bunları ele alabilmesi için sorumluluk boşluklarını yüzeye çıkarır.
Bir Kuruluşta Hesap Verebilirliğin Uygulanması
Çalışanların (özellikle güvenlik eğitimi ve uzmanlığı olmayanların) veri koruması söz konusu olduğunda her zaman doğru kararlar almasını beklemek mantıksızdır. CISO’lar, çalışanların işlerini güvenli bir şekilde yapmalarını kolaylaştıran teknolojiler kullanarak bu riski azaltabilir. Örneğin, güvenlik liderleri gereksiz özellikleri devre dışı bırakan veya güvenlik yeteneklerini etkinleştiren yapılandırma şablonları tanımlayabilir. Başka bir örnek, her çalışanın bu güvenlik önlemlerini uygulamayı seçmesini istemek yerine, hesapları çok faktörlü kimlik doğrulama (MFA) ile otomatik olarak kaydetmektir.
MFA’yı zorunlu kılmak güvenlik beklentilerine uymama olasılığını en aza indirirken, bunun gibi otomatik katılımlar her zaman mümkün değildir. Güvenlik liderleri ayrıca kuruluşun makul gördüğü sınırların dışında kalan kararlardan kaynaklanan ciddi risklere karşı koruma bariyerleri oluşturmalıdır. Örneğin, DNS filtreleme gibi ağ güvenliği önlemlerinin kullanımı tehlikeli web sitesi kategorilerine erişimi kısıtlar ve bu da bir çalışanın farkında olmadan kötü amaçlı bir çevrimiçi kaynakla etkileşime girme olasılığını azaltır.
Ayrıca, güvenlik ekibi güvenlikteki boşlukları izlemeli ve sorunlar ortaya çıktığında harekete geçmelidir. Güvenlik olayı toplama ve sürekli uyumluluk izlemeGüvenlik kontrollerinin takibini otomatikleştiren , modern varlık yönetimi yaklaşımlarıyla birlikte bu bulmacanın parçalarıdır.
Güvenlik Sorumluluklarını Kişisel Hale Getirmek
Güvenlik ekibi dışındaki kişilerin güvenlik sorumluluklarına dikkat etmelerini sağlamak için, güvenlik liderleri birey ile korumaya yardımcı oldukları veri veya sistem arasında kişisel bir bağlantı kurmanın yollarını aramalıdır. Örneğin, çalışanlar genellikle günlük olarak kullandıkları dizüstü bilgisayarlar ve dosyalar üzerinde bir sahiplik duygusu hissederler. Bu nedenle, CISO, kuruluş tarafından merkezi olarak yönetilmeyen yazılımları manuel olarak güncellemek gibi çalışana bağlı uç nokta ile ilgili güvenlik önlemlerini tartışırken bu bağlantıyı vurgulayabilir.
Tıpkı güvenlik dışındaki personelin güvenlik sorumluluklarının yaptıkları işe nasıl uygulandığını anlamaları gerektiği gibi, güvenlik ekibindeki kişilerin de sorumluluklarının organizasyonun tamamına nasıl yardımcı olduğunu anlamaları gerekir. Güvenlik ekibinin yaptığı iş hangi iş girişimlerini destekliyor? Bu bağlantıyı anlamak yalnızca güvenlik personelini motive etmekle kalmayacak, aynı zamanda güvenlik liderlerinin organizasyon genelindeki meslektaşlarıyla iş birliği yaparken iş bağlamına sahip olmalarını sağlayacaktır.
Güvenlik liderleri, güvenlik sorumluluklarını tüm paydaşların kişisel çıkarları, bağlantıları ve hedefleriyle uyumlu hale getirerek güçlerini artıracak ve başkalarını da organizasyonun güvenliğini sağlamada üzerlerine düşeni yapmaya motive edecektir.
Herkesin Kendi Rolünü Yapmasını Sağlamak
Sayılarda güç vardır; güvenlik programını güçlendirmede daha geniş organizasyonun proaktif rolünün ana hatlarını çizmek, güvenlik ekibinin yalnızca kendilerinin çözebileceği en acil sorunlara odaklanmasını sağlar. Çalışanların güvenlik programında oynadıkları rolü anlamalarına yardımcı olmak, kapsam boşluklarını önleyecek, yanlış anlaşılmaları önleyecek ve ilgili uyumluluk gerekliliklerini destekleyen bir güvenlik programı için doğru süreçlerin yerinde olduğundan emin olacaktır.
Güvenlik ekipleri kuruluşlarını korumada önemli bir rol oynar. Bu, daha geniş organizasyondaki meslektaşların kendi görevlerini yapmalarını sağlamak ve rollerini anlamalarını sağlamak anlamına gelir.