Güvenlik liderleri, devam eden siber güvenlik becerileri eksikliği konusunda yıllardır alarm veriyor. Siber saldırılar giderek daha karmaşık ve sık hale gelse bile, kurumsal savunma ekipleri açık pozisyonları doldurmakta daha fazla sorun yaşıyor. Sorun aşılmaz görünebilir, ancak olmamalıdır.
Birkaç şirketin dikkate aldığı bir çözüm, güvenlik ekibini operasyonlardan kurtarmaktır. Kurumsal güvenliğin odağını yönetişim, gözetim, denetim ve denetime daraltıp güvenlik sistemlerinin uygulanmasını ve yönetimini onları kullanan operasyonel ekiplere zorlarsa, beceri açığı sorununun ne kadar daha az göz korkutucu görüneceğini düşünün.
Böyle bir değişiklik dramatik olurdu. Kurumsal güvenlik işlevi, hem personel hem de sorumlu olduğu belirli görevlerin sayısı açısından önemli ölçüde küçülecek, ancak daha stratejik ve daha etkili hale gelecektir.
Günümüzün Daha Az Verimli Yaklaşımı
Günümüzün tipik güvenlik ekibi, her türlü operasyonel faaliyetle ilgilenmektedir. Örneğin, geliştirme grubu yeni bir uygulama oluştururken, güvenlik personeli tasarım ayrıntılarına, temel teknolojilerin ayarlarına ve hangi kullanıcıların geliştirme sunucularına erişebileceğini belirlemeye dahil olabilir.
Ancak merkezi güvenlik ekibi, bu kararları almak için hemen operasyonel bilgiye sahip olmayabilir. Uygulamanın arkasındaki iş etkenlerini, geliştirme ekibindeki bireylerin yapısını ve uzmanlığını vb. anlamak için önemli ölçüde zaman ayırmaları gerekebilir.
Geliştirme ekibi yöneticileri, çözümlerini bir araya getirmenin operasyonel yönlerinde zaten gerekli uzmanlığa sahiptir. Kurumsal güvenlik ekibi, belirli saldırıları önlemek için gereken kontroller konusunda uzmanlığa sahiptir. Neden her grubun kendi temel yetkinliklerinde uzmanlaşmasına izin vermiyorsunuz?
Nasıl Çalışır?
Tahmin ettiğim gibi, güvenlik ekibi, hem geliştirme sırasında hem de başlatma sonrasında uygulamayı korumak için gereken kontrolleri soyut bir düzeyde oluşturmak için sorumluluk alabilir. Ancak bu kontrolleri oluşturma sorumluluğunu geliştirme grubuna devredebilirler. Geliştirme ekibi, hangi güvenlik yazılımına ve yapılandırmalarına ihtiyaç duyduklarına karar verebilir, belirli güvenlik ilkeleri belirleyebilir ve kullanıcı izinlerini belirleyebilir. Ardından, kurumsal güvenlik ekibi, istenen kontrollerin uygulandığından ve beklendiği gibi çalıştığından emin olmak için geliştirme ortamını ve ortaya çıkan uygulamayı denetleyebilir.
Bu yaklaşım, ayrıntılı karar vermeyi bu kararlara en yakın kişilerin ellerine bırakacaktır. Güvenlik ekibinin, geliştirme grubunun kullandığı teknolojiler hakkında biraz bilgi sahibi olması gerekir, ancak çoğunlukla, operasyon gruplarının elde etmesi gereken güvenlik sonuçları için beklentileri belirleyen kontrol uzmanları olmaları gerekir.
Erişim kontrolünü düşünün. İnsanların şirketin geliştirme ortamına girmek için kimlikleri nasıl doğrulanmalıdır? Söyledikleri kişi olduklarını kanıtlamak için hangi kimlik bilgileri yeterlidir? Kurumsal güvenlik grubunun erişim denetiminin üst düzey yönetimine sahip olması mantıklıdır, ancak bu soruları etkin bir şekilde yanıtlamak için geliştirme ortamı ve geliştirme ekibi hakkında çok şey öğrenmeleri gerekir. Bu arada, geliştirme ekibindeki insanlar zaten bu bilgiye sahip. Gruplarının erişim kontrol politikalarının yabani otlarında karar vermelerine izin vermek sadece mantıklıdır.
Geliştirme süreçleri buna bir örnektir. Düşündüğüm güvenlik ekibi ağ oluşturmaya dahil olmayacaktı; ağ ekibine kontrol gereksinimleri sağlayacak, ardından bu gereksinimlerin takip edildiğinden emin olacaklardı. Bir bulut ortamında, güvenlik ekibi üst düzey beklentiler belirleyebilir, ardından anormallikleri arayarak inceleme taraması yapabilir. Ancak bu, bulut güvenliği kararlarına katılımlarının kapsamı olacaktır.
Bu Değişiklik Ne Anlama Gelir?
Açıkçası, vizyonum BT’nin tamamen yeniden yapılandırılmasını gerektirecekti. Bazı yönlerden, güvenlik faaliyetlerini çeyrek yüzyıl önce oldukları yere daha fazla taşıyacaktır. Güvenliğin genellikle ayrı bir işlev olmadığı zamanlarda şirketler, kuruluş genelindeki operasyonel konu uzmanlarına en iyi güvenlik uygulamalarını öğretirdi. Uzmanlık geniş bir alana yayılmıştı, ancak güvenlik, herkesin iş sorumluluklarının yalnızca küçük bir parçasıydı.
Güvenlik faaliyetlerinin merkezi bir işlevde konsolide edilmesi, bu konuda uzmanlaşmış uzmanlar yaratmıştır. Bu yüksek nitelikli ve bulunması zor profesyoneller, şirketin güvenlik stratejisinin genel yönünü belirlemeye, belirli saldırı türlerini önlemek için gerekli kontrolleri dikte etmeye ve bu kontrollerin etkili olmasını sağlamak için yönetişim ve gözetim sağlamaya odaklanmalıdır.
Endüstrinin, örneğin rutin güvenlik duvarı bakımı veya SaaS uygulamalarının yapılandırması gibi diğer operasyonel sorumlulukların merkezi güvenlik grubu için uygun olup olmadığını yeniden değerlendirmesini istiyorum. Bence bu görevler, şirketin sistemlerini birbirine bağlayan, tasarlayan, tasarlayan, uygulayan ve yapılandıran kişiler için daha uygun. Çok yakından tanıdıkları sistemleri ve süreçleri güvence altına alma konusunda doğru kararlar verme uzmanlığına sahiptirler.
Güvenlik kararlarını operasyon gruplarına kaydıran bir organizasyon yapısı, güvenlik ekibinin günlük sorumluluklarının bir kısmını küçültebilir. Bununla birlikte, aynı zamanda ekibin karar verme düzeyini yükseltecek, personele daha stratejik faaliyetler için zaman ayıracak ve güvenliğe özel kimlik bilgilerine sahip profesyonelleri bulmanın sürekli zorluğuna düzenli bir çözüm sağlayacaktır.
