BLACK HAT ASIA 2022 – Bir işletmeye siber güvenliğin değerini göstermek söz konusu olduğunda, en büyük zorluklardan biri üst düzey yöneticilere yatırım getirisi iletmektir. Güvenliğin üretkenlik ve diğer alanların önündeki bir engel olduğu konusundaki yerleşik algı, güvenlik mühendisleri ile teknik olmayan yönetimin aynı sayfada olmasını çok zorlaştırıyor.
Bu hafta Black Hat Asia’daki bir açılış konuşmasında, Gojek ve GoTo Financial’da CISO ve NASA’da eski siber profesyonel olan George Do, güvenliğin tüm departmanlar için değil, işin değerli bir parçası olarak görülmesi için nasıl teşvik edileceği sorununu ele aldı. sadece CISO’nun ofisi. Bu güvenliği etkili bir şekilde ölçmekle başladığını söyledi.
“Güvenliğe yaptığınız tüm yatırımlar, tüm işe alımlarınız, tüm projeleriniz, güvenlik görevlilerinin siperlere akıttığı tüm kan, ter ve gözyaşı – bunların hiçbir önemi var mı? Anlamlı mı?” Sunum sırasında sordu, “Güvenlik İğnesinin Güvenlik Siperlerinden Yönetim Kurulu Odasına Taşınması“Buna cevap verebilmelisin” ve nedenini göster.
İletişim Dökümü
Güvenlik ekipleri, departmanlar arasındaki iletişim eksikliği nedeniyle genellikle dahili olarak yokuş yukarı bir savaşa girer. Örneğin, güvenliğin herkesin hayatını zorlaştırmak için var olduğuna dair ortalama işçiler arasındaki yaygın yanlış kanıyı ele alalım. Güvenlik aygıtının diğer herkese kaldırılmış ve bir “hayır” ayini sunmaya eğilimli göründüğü “fildişi kule güvenliği” olarak adlandırın.
Do, “Kuruluşlarımızın çoğu güvenlik ekibini teknik bir engel olarak görüyor” dedi. “Biz CIS-NO’larıyız, değil mi? Bazen işleri bir boşlukta yaptığımızı, işin etkisini anlamadığımızı veya en azından işin acı noktalarını anlamadığımızı düşünüyorlar. güvenlik Takımı.”
“Ne kadar çok süreç ve ne kadar çok kapı kurarsak o kadar işi yavaşlatır ve sürtüşme ekler. Bir şeyi nasıl tasarlayacağımızı seçerken genellikle o kadar ağır olmayız.”
CISO, CIO ve CTO arasında başka bir iletişim tuzağı var. Hepsi genellikle aynı sayfada bulunmadan yönetim kurulu odasına sürüklenir, bu da düşmanca veya rekabetçi ilişkiler olasılığı yaratabilir. Ancak Do, CISO’ların teknolojiyle ilgili diğer liderleri ortak ve paydaş olarak tanımasının hayati derecede önemli olduğunu söyledi.
“Hey, CIO ve CTO, bunlar kuruluşunuzda olan kötü şeyler. Gidip düzeltmeniz gerekiyor” demek CISO’nun işi değil” dedi. “Daha iyi fikir, yönetim kuruluna sunmak için birlikte bir sunum üzerinde ortak olmaktır, bu nedenle ne sorun olursa olsun, bir saldırı planı vardır ve bu saldırı planına karşı ne yaptığımız konusunda iletişim kurabiliriz.”
Bir diğer önemli strateji ise yönetim kurulu üyelerine oyunda skinleri olduğunu hatırlatmaktır.
Do, “Yönetim kurulu üyelerinin güven görevi dedikleri bir görevi vardır, yani kuruluş saldırıya uğrarsa veya tehlikeye girerse ve yönetim kurulu üyelerinin kuruluş için bu risk alanına odaklanmadığı tespit edilirse, sorumlu tutulabilirler” dedi.
İzleyici üyelerini, her güvenlik eklemesi veya programı ile genel giderleri dikkate almaya teşvik edin.
“Güvenlik programınıza ekleyeceğiniz her logo biraz teknik borç ekleyecektir” diye açıkladı. “Yeni süreçler oluşturmanın maliyetini, çalışma saatlerini, iş üzerindeki etkisini, [and] ürünün kendisinin maliyeti.”
Güvenlik Etkinliğini İletmek İçin 5 Temel İpucu
Do ayrıca, güvenlik programlarının önemini tüm işletmeye iletmek ve yatırım getirisinin nasıl ölçüleceği konusunda beş aşamalı bir plan hazırladı.
1. Kitlenizi tanıyın: Do, güvenlik sonuçlarını iletmeye çalışırken, yönetim kurulu üyelerinin ve iş liderlerinin anlayabileceği bir dil kullanmanın önemli olduğuna dikkat çekti. Bu, jargon ve kısaltmalardan kaçınmak gibi basit pratik kuralları kullanmayı içerir.
Farklı paydaşların farklı lenslere sahip olduğunu anlamak da çok önemlidir. Güvenlik mühendisleri, başarı ölçüsü olarak güvenlik duvarı tarafından engellenen saldırıların sayısına bakabilirken, infosec yöneticileri ve yöneticileri başarılı saldırıları ve sistemlerin bu saldırıları algılayıp yanıt verip vermediğini bilmeyi tercih eder. Bu arada, CISO’lar daha fazla ihlalleri önlemek için neler yapılabileceğini öğrenmekle ilgilenirken, CEO ve yönetim kurulu daha çok kuruluşun para kaybedip kaybetmediği, hizmet dışı kalma süresi veya yasal sorumluluk veya marka ve itibar hasarı ile sonuçlanıp sonuçlanmadığı ile ilgilenebilir.
Do, “Bunların hepsi çok farklı sorular, hepsi eşit derecede önemli” dedi.
2. Metriklerle başlamayın: Do, mantıksız görünebilir, ancak güvenlik etkinliğini çerçevelerken iş hedefleriyle başlamak önemlidir.
“Bir hastane, bir devlet kurumu, ticari bir şirket olabilirsiniz; her ne iseniz, iş hedefleriniz var, o yüzden bununla başlayın” diye tavsiyede bulundu Do. “İşte bu şekilde gelir elde ediyoruz. Sektöre sağladığımız şey bu. Bulutta, kullanıcı tabanınızda, müşteri tabanınızda olsanız da olmasanız da, bu iş için siber riskler nelerdir? Bunu anlayın. metriklerin ne olması gerektiği konusunda sizi bilgilendirecektir.”
3. Nicel olun: Metrikler tanımlandıktan sonra, bir organizasyonun güvenlik yol haritası uyumlu hale getirilmelidir. Bu, tüm projelere, ürünlere, işgücüne, süreçlere vb. yatırımın bu ölçütleri karşılamaya hizmet etmesi gerektiği anlamına gelir.
Do, “Metrikler herkese açık bilgiler olmalıdır, bu nedenle şirketteki her bir ekip, hedeflerinizin ne olduğunu ve imzalandığını bilir. Bu, güvenliğin bir siloda mutfakta yemek pişirmek gibi bir şey değil” dedi.
Başarının ne anlama geldiğini anekdotlar veya nitel ifadelerle değil sayılarla ölçmek önemlidir, diye ekledi Do: “Bunu ölçebilmeniz ve tekrarlayabilmeniz gerekir.”
4. Güvenliğin bir ekip işi olduğunu unutmayın: Do, güvenlik ekiplerinin sıklıkla dünyaya karşı biz tavrı sergilediklerine dikkat çekti – ancak gerçekte herkesin güvenlik süreçlerinde sahiplik sahibi olduğu ve her departmanda güvenlik için net sorumluluklar ve rollerle bu şekilde iletilmesi gerektiğine dikkat çekti.
Do, “Örneğin, tedarik ekibi gibi alanların bile güvenlik süreçlerinin bir kısmına sahip olması gerekebilir” dedi. “Bir organizasyonun güvenliğini sağlamak için sadece bir güvenlik ekibi değil, kelimenin tam anlamıyla bir köy gerekir. Ve bunu kabul ederek kimin sorumlu, kimin sorumlu olduğu, kimin danışıldığı ve kimin bilgilendirildiği konusundaki kafa karışıklığını önleyebilirsiniz. Bu kritik derecede önemlidir, çünkü beklentileri önceden belirler. Paydaşlarınızla kimin neye sahip olduğu konusunda.”
5. Yetkilendirmeyi hesap verebilirlikle eşleştirin: Güvenlik rolleri belirlendikten ve kimin neyden sorumlu olduğu netleştikten sonra, bu kişileri yetkilendirmek de önemlidir.
“Güçlendirilmiş anlamına gelir, örneğin yama yapma hedefime ulaşmak için yetkim var mı? Bütçem var mı? Süreçler var mı? Sorumlu olduğum şeyi başaracak insanlara sahip miyim? ” Açıklama yap.
Özetlemek gerekirse, Do güvenlik ekiplerini bu en iyi uygulamaları uygulamanın pek çok engelle bir yolculuk olacağını, ancak sebat etmenin önemli olduğunu anlamaları konusunda uyardı.
“İstisnasız her zaman hepimiz bu paradigmada bir takım zorluklarla uğraşıyoruz, yani güvenliğin ölçülmesi anlamına geliyor ve yönetim kurulumuza, sahiplerimize, hissedarlarımıza, iğneyi güvenlikle hareket ettirdiğimizi nasıl iletiyoruz? ?” dedi.
Do, “Bazı kuruluşlar bir kuruş açabiliyor, bu modele hızla geçebilirler” dedi. “Diğerleri bürokrasi, politika, süreçler, her neyse bir yıl veya daha fazla zaman alacak. Ama bunun sizi bu modele doğru ilerlemekten alıkoymasına izin vermeyin derim.”
