GenelSiber Güvenlik

Başlangıç ​​Güvenliği Taktikleri: Sürtünme Anketleri

teknomers
teknomers


Contents

21 Haziran 2023Hacker HaberleriSiber güvenlik

Üç ayda bir yaptığımızda planlamaekibim hedeflerimizi her zaman geçerli olan dört sonuca göre sınıflandırıyor:

  1. Bilgi güvenliği olayları riskini azaltın
  2. Vanta’nın bilgi güvenliği programına olan güveni artırın
  3. Bilgi güvenliği kontrollerinin neden olduğu sürtünmeyi azaltın
  4. İşletmeyi desteklemek için güvenlik uzmanlığını kullanın

Bu yazıda üç numaraya odaklanacağım: sürtünmeyi azaltmak.

Niyetinizi beyan etmek

“İhtilafları azaltmayı” güvenlik programınızın açık bir hedefi haline getirmenin değeri vardır. Kuruluş genelindeki muadillerinizle doğru tonu belirler ve pozitif bir güvenlik kültürü oluşturmaya yönelik bir adımdır.

Bu sonuçları şirket çapında bir forumda ilk kez sunduğumda, şirkete yeni katılan kıdemli bir liderden bir Slack mesajı aldım:

“Güvenlik ekiplerinin görünmez güvenlik kontrollerini kaldırmaya odaklandığını duymak harika. Güvenlik ekibi için mükemmel bir felsefe

[…]

bu sadece harika

çok fazla güvenlik ekibi, güvenliği, ekibin çalışma gücü ile güvenlik arasında özel bir denge olarak görüyor”

gizli sürtünme

Bazen, yeni güvenlik kontrollerini tanıtırken, güvenlik ve kullanıcı deneyimi arasında iyi düşünülmüş bir ödün veriyorsunuz. Sürtünmenin çok net bir şekilde anlaşılmadığı birkaç senaryo vardır:

  1. Bir güvenlik kontrolünün neden olduğu sürtüşme, siz veya ekibiniz tarafından önceden iyi anlaşılmaz.
  2. Kuruluşunuzun dışından bir kişi, iyi niyetle, ancak size veya ekibinize haber vermeden güvenlik denetimlerini etkinleştiriyor
  3. Çalışanlar can sıkıcı bir kontrolü güvenlik ekibine atfediyor, ancak bu aslında tamamen ilgisiz nedenlerle uygulandı.

Bu senaryoların her biri gizli sürtüşmelerle sonuçlanır. Gizli sürtüşmeler ekibinize olan güveni aşındırır ve güvenlik kültürünüzü olumsuzluğa doğru iter.

Gizli sürtünmeye bir çözüm, sürtünme araştırmasıdır.

Gizli sürtüşmeyi bulma

-de Vanta, gizli sürtüşmeleri bulmak için yılda iki kez bir çalışan anketi yürütüyoruz. Çalışanlar aynı zamanda katılım anketleri aracılığıyla anket yaparken “anket yorgunluğunu” önlemek için iki ekiple daha bir araya geliyoruz: Enterprise Engineering ve Privacy, Risk, and Compliance.

Üç ekibimizin her biri, şirketin çalışmalarımızdan kaynaklanan sürtüşmeleri nasıl gördüğünü daha iyi anlamak için az sayıda soruyu bir araya getiriyor.

Güvenlik ekibinde üç soru soruyoruz:

  1. Günlük faaliyetlerinizi gerçekleştirirken Vanta’nın güvenlik kontrollerinin neden olduğu sürtüşmeyi nasıl değerlendirirsiniz? (1-5 ölçekli)
  2. Lütfen güvenlik kontrollerinin Vanta’daki işinizi nasıl ve nerede etkilediğini açıklayın.
  3. Güvenlik Ekibi veya çalışmalarımız hakkında başka düşünceleriniz veya yorumlarınız var mı? (Yukarıdaki sorulardan herhangi biri için 3/nötr veya aşağısını seçtiyseniz, sizden özellikle haber almak isteriz.)

Bu anketi ilk kez 2022’nin 2. Çeyreğinde gerçekleştirdik. Olumlu puanlar aldık ve pek eyleme geçirilebilir geri bildirim almadık. Buna övgü dolu bir incelemeden ziyade sınırlı bir katılımın işareti olarak bakma eğilimindeyim.

Anketi 2022’nin 4. çeyreğinde tekrar yaptık ve çok daha ilginç sonuçlar elde ettik. Güvenliğe atfedilen ancak ekibimizle hiçbir ilgisi olmayan önemli sürtüşme kaynakları keşfettik.

Ayrıca birçok kişinin kullanıma sunmaya başladığımız yeni kimlik doğrulama ilkeleriyle ilgili sorunlarla karşılaştığını da keşfettik. Beklenen akışın ne olduğunu bilmiyorlardı, bu nedenle günde birden çok kez kimlik doğrulaması yapmalarını gerektiren hatalarla karşılaştıklarında bunun yalnızca politikanın bir parçası olduğunu varsaydılar.

Harekete geçmek

Anket sonucunda şirketle paylaşmak üzere sonuçları ve almayı planladığımız aksiyonları özetleyen bir doküman hazırlıyoruz. Mümkün olduğunca şeffaf olmak istiyoruz. Amaç, açık bir değiş tokuş yaptığımız için bir şeyde sürtüşme olduğunda, bir hata yaptığımızda ve insanların kontrolleri daha iyi anlamalarına yardımcı olacak ek bağlam olduğunda bunu netleştirmektir.

Sonuçlar

Sürtünme araştırması, güvenlik kültürünün eski normlarına karşı mücadelede değerli bir araçtır. Her iş arkadaşımızla olumlu çalışma ilişkileri kurarak, ekibimizin başarmayı amaçladığı diğer sonuçlarda çok daha etkili olacağız.

Zamanla, bu sonuçlar güçlü bir program metriği oluşturur ve KPI’larınızın bir parçası olarak izlenebilir.

Not: Ustalıkla hazırlanmış bu makale, Vanta’da Güvenlik Lideri olan Rob Picard tarafından yazılmıştır. Rob Picard başrolde Vanta’nın bilgi güvenliği programı. Katılmadan önce, Y Combinator destekli bir güvenlik girişiminin kurucusu, uzun süredir güvenlik danışmanıydı ve Robinhood’da çeşitli güvenlik işlevleri oluşturdu. Yeni başlayanların modern, etkili ve verimli güvenlik programları oluşturmasına yardımcı olmak için öğrendiği dersleri kullanmaktan keyif alıyor. Bu makale ilk olarak şu adreste yayınlandı: LinkedIn.



siber-2

FBI, Çin’in Salt Typhoon’unun en az 200 ABD şirketini hacklediğini açıkladı.
Bu DualSense denetleyici patenti, oyunlarımızı duraklatma şeklimizi değiştirebilir
14 inç 2K ekran, metal gövde, Core i5-1135G7 işlemci, 16GB RAM ve 512GB SSD 850 dolara. Yeni eski Huawei MateBook 14 Çin’de satışa çıktı
ChatGPT destekli Bing’in şu anda 100 milyon kullanıcısı var, ancak bunlar ortalıkta kalacak mı?
170 $ için 5000 mAh, 50 MP ve 90 Hz. Poco M4 5G tanıtıldı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Yaşam maliyeti baskıları gömülü bankacılığın benimsenmesini sağlıyor
Sonraki Makale Super Mario Bros. Wonder ve Pikmin 4 Gibi Anahtar Oyunlarında 20 Dolar Tasarruf Edin

Sanal Medya

Son Eklenenler

$559 Nvidia RTX 5070 GPU, en uygun fiyatla 1440p oyun sunuyor
Donanım
Laravel’de Carbon (MultiCarbon) ile Jalali ve Hijri Tarihleri
Yazılım
DDR4 bellek ve anakart üretimi yeniden başlıyor, DDR5’siz geleceğe hazırlık
Donanım
AI token maliyetleri büyük bir sorun haline geliyor, OpenAI çözümler arıyor
Donanım
Elden Ring: Tarnished Edition Switch 2 İçin Ön Sipariş Fırsatları
Oyun
LinkedIn üzerinden Batılıları tuzağa düşüren Çin casusları
Genel