GenelSiber Güvenlik

Başlangıç ​​Güvenliği Taktikleri: Sürtünme Anketleri

teknomers
teknomers


Contents

21 Haziran 2023Hacker HaberleriSiber güvenlik

Üç ayda bir yaptığımızda planlamaekibim hedeflerimizi her zaman geçerli olan dört sonuca göre sınıflandırıyor:

  1. Bilgi güvenliği olayları riskini azaltın
  2. Vanta’nın bilgi güvenliği programına olan güveni artırın
  3. Bilgi güvenliği kontrollerinin neden olduğu sürtünmeyi azaltın
  4. İşletmeyi desteklemek için güvenlik uzmanlığını kullanın

Bu yazıda üç numaraya odaklanacağım: sürtünmeyi azaltmak.

Niyetinizi beyan etmek

“İhtilafları azaltmayı” güvenlik programınızın açık bir hedefi haline getirmenin değeri vardır. Kuruluş genelindeki muadillerinizle doğru tonu belirler ve pozitif bir güvenlik kültürü oluşturmaya yönelik bir adımdır.

Bu sonuçları şirket çapında bir forumda ilk kez sunduğumda, şirkete yeni katılan kıdemli bir liderden bir Slack mesajı aldım:

“Güvenlik ekiplerinin görünmez güvenlik kontrollerini kaldırmaya odaklandığını duymak harika. Güvenlik ekibi için mükemmel bir felsefe

[…]

bu sadece harika

çok fazla güvenlik ekibi, güvenliği, ekibin çalışma gücü ile güvenlik arasında özel bir denge olarak görüyor”

gizli sürtünme

Bazen, yeni güvenlik kontrollerini tanıtırken, güvenlik ve kullanıcı deneyimi arasında iyi düşünülmüş bir ödün veriyorsunuz. Sürtünmenin çok net bir şekilde anlaşılmadığı birkaç senaryo vardır:

  1. Bir güvenlik kontrolünün neden olduğu sürtüşme, siz veya ekibiniz tarafından önceden iyi anlaşılmaz.
  2. Kuruluşunuzun dışından bir kişi, iyi niyetle, ancak size veya ekibinize haber vermeden güvenlik denetimlerini etkinleştiriyor
  3. Çalışanlar can sıkıcı bir kontrolü güvenlik ekibine atfediyor, ancak bu aslında tamamen ilgisiz nedenlerle uygulandı.

Bu senaryoların her biri gizli sürtüşmelerle sonuçlanır. Gizli sürtüşmeler ekibinize olan güveni aşındırır ve güvenlik kültürünüzü olumsuzluğa doğru iter.

Gizli sürtünmeye bir çözüm, sürtünme araştırmasıdır.

Gizli sürtüşmeyi bulma

-de Vanta, gizli sürtüşmeleri bulmak için yılda iki kez bir çalışan anketi yürütüyoruz. Çalışanlar aynı zamanda katılım anketleri aracılığıyla anket yaparken “anket yorgunluğunu” önlemek için iki ekiple daha bir araya geliyoruz: Enterprise Engineering ve Privacy, Risk, and Compliance.

Üç ekibimizin her biri, şirketin çalışmalarımızdan kaynaklanan sürtüşmeleri nasıl gördüğünü daha iyi anlamak için az sayıda soruyu bir araya getiriyor.

Güvenlik ekibinde üç soru soruyoruz:

  1. Günlük faaliyetlerinizi gerçekleştirirken Vanta’nın güvenlik kontrollerinin neden olduğu sürtüşmeyi nasıl değerlendirirsiniz? (1-5 ölçekli)
  2. Lütfen güvenlik kontrollerinin Vanta’daki işinizi nasıl ve nerede etkilediğini açıklayın.
  3. Güvenlik Ekibi veya çalışmalarımız hakkında başka düşünceleriniz veya yorumlarınız var mı? (Yukarıdaki sorulardan herhangi biri için 3/nötr veya aşağısını seçtiyseniz, sizden özellikle haber almak isteriz.)

Bu anketi ilk kez 2022’nin 2. Çeyreğinde gerçekleştirdik. Olumlu puanlar aldık ve pek eyleme geçirilebilir geri bildirim almadık. Buna övgü dolu bir incelemeden ziyade sınırlı bir katılımın işareti olarak bakma eğilimindeyim.

Anketi 2022’nin 4. çeyreğinde tekrar yaptık ve çok daha ilginç sonuçlar elde ettik. Güvenliğe atfedilen ancak ekibimizle hiçbir ilgisi olmayan önemli sürtüşme kaynakları keşfettik.

Ayrıca birçok kişinin kullanıma sunmaya başladığımız yeni kimlik doğrulama ilkeleriyle ilgili sorunlarla karşılaştığını da keşfettik. Beklenen akışın ne olduğunu bilmiyorlardı, bu nedenle günde birden çok kez kimlik doğrulaması yapmalarını gerektiren hatalarla karşılaştıklarında bunun yalnızca politikanın bir parçası olduğunu varsaydılar.

Harekete geçmek

Anket sonucunda şirketle paylaşmak üzere sonuçları ve almayı planladığımız aksiyonları özetleyen bir doküman hazırlıyoruz. Mümkün olduğunca şeffaf olmak istiyoruz. Amaç, açık bir değiş tokuş yaptığımız için bir şeyde sürtüşme olduğunda, bir hata yaptığımızda ve insanların kontrolleri daha iyi anlamalarına yardımcı olacak ek bağlam olduğunda bunu netleştirmektir.

Sonuçlar

Sürtünme araştırması, güvenlik kültürünün eski normlarına karşı mücadelede değerli bir araçtır. Her iş arkadaşımızla olumlu çalışma ilişkileri kurarak, ekibimizin başarmayı amaçladığı diğer sonuçlarda çok daha etkili olacağız.

Zamanla, bu sonuçlar güçlü bir program metriği oluşturur ve KPI’larınızın bir parçası olarak izlenebilir.

Not: Ustalıkla hazırlanmış bu makale, Vanta’da Güvenlik Lideri olan Rob Picard tarafından yazılmıştır. Rob Picard başrolde Vanta’nın bilgi güvenliği programı. Katılmadan önce, Y Combinator destekli bir güvenlik girişiminin kurucusu, uzun süredir güvenlik danışmanıydı ve Robinhood’da çeşitli güvenlik işlevleri oluşturdu. Yeni başlayanların modern, etkili ve verimli güvenlik programları oluşturmasına yardımcı olmak için öğrendiği dersleri kullanmaktan keyif alıyor. Bu makale ilk olarak şu adreste yayınlandı: LinkedIn.



siber-2

AMD Ryzen 9 7950X ve Ryzen 7 7700X “İddia Edilen” Zen 4 CPU Karşılaştırmaları Sızıntısı, 16 Çekirdek 5950X’ten %40’a Kadar Daha Hızlı
NASA, ‘tarihi’ lansmanda Avustralya Outback’ten patladı
SonicWall SMA Cihazlarındaki Aktif Olarak Sömürülen Güvenlik Açığı Hakkında Uyarı
En güçlü Nvidia hızlandırıcılarının rakibi, ancak AMD veya Intel’den değil. Microsoft, Athena adlı kendi çipini hazırlıyor
Bu araba Rusya’da bekleniyor. Ruilan Maple Leaf 01 Resmi Fotoğrafları ve Teknik Özellikleri Açıklandı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Yaşam maliyeti baskıları gömülü bankacılığın benimsenmesini sağlıyor
Sonraki Makale Super Mario Bros. Wonder ve Pikmin 4 Gibi Anahtar Oyunlarında 20 Dolar Tasarruf Edin

Sanal Medya

Son Eklenenler

Acil: Windows için Hola Tarayıcısı Kripto Madenciliği için Tehdit Altında
Siber Güvenlik
IPO öncesi Anthropic’in Daniela Amodei, AI’a ilişkin kaygıları aşıyor
Yapay Zeka
Kullanıcı Değiştirebilir Bataryalı Nintendo Switch 2 Avrupa’ya Geliyor
Donanım
Üniversite Futbolu 27’nin PC’ye Gelmesi Heyecan Veriyor
Oyun
Filtr ile Reklamları Engelleyen Yeni Gizlilik Aracı!
Genel
Prime Day’de 800 Dolarlık Ücretsiz Teknoloji Hediye Ediyoruz
Liste