Siber Güvenlik: Liderlerin Bilmesi Gerekenler

Evden çalışma kültürünün aniden yaygın bir şekilde benimsenmesi, dünyanın dört bir yanındaki şirketlerin siber güvenlik sistemlerini, standartlarını ve geleceğe yönelik stratejilerini gözden geçirmesine neden olduğu için siber güvenlik ihtiyacı son yıllarda patladı.

Bu nedenle BrainStation, finansal hizmetler devi Mastercard , yatırım şirketi Blackstone , profesyonel ağ sitesi LinkedIn ve yazılım geliştiricisi Citrix'te siber güvenlik stratejisi lideri dört endüstri uzmanını BrainStation'ın Dijital Liderlik Etkinlik Serisi kapsamında liderlerin siber güvenlik hakkında bilmesi gerekenler hakkında bir tartışma için bir araya getirdi.

Panel tartışmasının tamamını buradan izleyebilirsiniz:

Siber Güvenlik Nedir?

Siber güvenlik ortamının nasıl değiştiğini keşfetmeden önce, panelistlerimize siber güvenliğin ne anlama geldiğine dair fikirleri soruldu.

LinkedIn Bilgi Güvenliği ekibinin Kıdemli Üyesi Eugene Dvorochkin, siber güvenliği “sistemleri, ağı ve verileri korumak için teknolojiyi, süreçleri ve kontrolleri kullanmak” olarak özetliyor. Nihayetinde, her şey verilere geri dönüyor… Tek yapmaya çalıştığımız bu verileri korumak, bütünlüğünü korumak ve yetkisiz kullanımının [hiçbir] olmadığından emin olmak.”

Citrix Baş Güvenlik Stratejisti Kurt Roemer'in açıkladığı gibi, siber güvenliğin verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaya yönelik geleneksel odağı, dördüncü bir faktörü de içerecek şekilde genişletilmelidir: güvenlik. "IoT'yi ve diğer yapay zekayı ve [artırılmış gerçeklik uygulamalarını] benimserken, güvenliğin kritik önem kazandığı bir şekilde fiziksel dünyamızla bütünleşiyor."

Blackstone'da Kıdemli Başkan Yardımcısı / IAM Lideri - Siber Güvenlik, Puneet Bhatnagar daha felsefi bir yaklaşım benimsiyor: “Kendime şu temel soruyu soruyorum: 'Sistemlerin tasarımında güven oluşturmaya nasıl yardımcı olabilirim? Kişisel bilgilerimi sunarken bir başvuruya kaydolurken kendimi rahat hissediyor muyum? Bu bilgiyi sunduğum markaya güveniyor muyum?' Kurumların siber güvenliği uygulamaları ve ekosistemleri içinde güven oluşturmak için yapmaları gereken her şey olarak görmeleri önemlidir.”

Mastercard Dijital ve Güvenlik Çözümlerinden Sorumlu Başkan Yardımcısı Sukhmani Dev de aynı fikirde. Güvenin her işleme yansıdığından emin olmak istiyoruz” dedi.

Bu nihai hedefe ulaşmak, teknolojinin kendisi kadar dinamik bir süreçtir. Aşağıda, panelistlerimizin belirlediği daha geniş trendlerden sadece birkaçı yer almaktadır.

Siber Güvenlik Her zamankinden Daha Önemli

COVID-19 ve bunun sonucunda evden çalışma kültürünün patlaması, on yıl sürmesi beklenen bir evrimi birkaç aya sıkıştırdı. Bu hızlanma, daha fazla çevrimiçi etkinlik, daha fazla yeni kullanıcı ve bu kullanıcıların güvendiği bireysel sistemlerde daha fazla karmaşıklık anlamına gelir ve bunların tümü kötü oyuncular için fırsat anlamına gelir. Sonuç, daha fazla dijital güvenlik için ani ve şiddetli bir ihtiyaçtır.

Bu ihtiyacın çoğu basit bir hacme indirgenir; karantina sırasında, daha fazla insan evlerindeki cihazlardan çalıştı ve alışveriş yaptı. Dvorochkin şöyle açıklıyor: “Ev ağınızı kullanırken, kurumsal ortamlara ve verilere erişmek için potansiyel olarak kişisel bilgisayarınız veya iPhone gibi kişisel cihazları kullanıyorsunuz ve ayrıca Zoom veya diğer gibi üçüncü taraf sistemlere daha fazla bağımlısınız. iletişim yöntemleri. Güvenli olması daha zor ortamlara giriyorsunuz.”

Birçok büyük uluslararası şirket için uzaktan çalışmaya uyum sağlamak nispeten basitti. Ancak birçok küçük tuğla ve harç işletmesi için bu, dijital dünyaya ilk giriş anlamına geliyordu ve bunlar özellikle bilgisayar korsanlarına karşı savunmasız. Dvorochkin, "Yalnızca büyük, tanınmış şirketlerin saldırıların hedefi olduğu [bu bir yanılgı]," diye devam ediyor. "Bilgisayar korsanları daha gelişmiş hale geldi, ancak aynı zamanda kullandıkları araçlar ve teknikler de temel olarak halka açıldı. Herkes çevrimiçi olabilir ve herhangi bir şirketi hacklemeye başlayabilir. Sofistike bilgisayar korsanları tarafından hedef alınan sadece büyük, tanınmış şirketler değil, kelimenin tam anlamıyla herhangi bir anne-baba dükkanı olabilir.”

Dev, sistemlerin artan karmaşıklığını başka bir vektör olarak tanımlar. “Her şey her zamankinden daha fazla birbirine bağlı” diyor. “Bir bankayı düşünürseniz, tedarikçileri olabilir, ancak tedarikçilerinin tedarikçileri vardır ve bunlar devasa tedarik zincirleridir. Bağlantı noktaları son birkaç yılda katlanarak büyüdü.”

Bu, bilgisayar korsanlarının yararlanabileceği daha zayıf bağlantılar anlamına gelir ve bilgisayar korsanları bunu fark etmiştir.

Sistemlerden Kullanıcılara Geçiş

Ölçek ve karmaşıklıktaki büyüme aynı zamanda siber güvenlik ekiplerinin her zamankinden daha fazla cephede savaştığı anlamına geliyor. Bu da siber güvenlik uzmanlarının görevlerini kavrama biçiminde bir değişikliğe yol açıyor. Amaç, dijital bir kale içindeki verileri güvence altına almaksa, siber güvenliğin işi çevreyi korumaktır - ancak çevre ve ona saldırı modları sürekli değişmektedir. Verileri kilitlemek çözüm değil – kimse erişemiyorsa bir sisteme sahip olmanın bir anlamı yok. Bunun yerine öncelik, ilk olarak, ona erişen kişilerin kimliklerini doğrulamaya ve ikinci olarak, tüm sistem yerine yalnızca ihtiyaç duydukları verilere erişim sağlamaya kayıyor.

Roemer, "Önceden, yalnızca dört duvar arasındayken güvenli sayılabilecek bazı şeylere sahip olabilirdiniz," diyor. “Ya bunu tersine çevirir ve 'Dört duvarın dışında, bulutun içindeyken bunları nasıl emniyete alacağız?' dersen ne olur? Hibrit çalışma modeline baktığınızda, potansiyel olarak her hafta farklı durumlarda çalışan insanlar var - bir ofiste, evlerinde, belki tekrar bir kafede, belki de dışarıda. Bu kişiler için doğru güvenlik ortamına sahip olduğunuzdan nasıl emin olabilirsiniz?”

Bhatnagar için bu, "gerçekten güvence altına alabileceğiniz tek gerçek çevre, kimlik çevrenizdir" anlamına gelir. Bu genellikle, insanların söyledikleri kişi olduklarını doğrulamaya yardımcı olan çok faktörlü kimlik doğrulama gerektirir (“Orada çılgın istatistikler var,” diyor Bhatnagar, “ihlallerin %90'ından fazlasının bir tür e-posta güvenliğinden kaynaklanması gibi” ).

Sonuç olarak, “Sadece iyi bir ağ çevresine sahip olmak veya iyi bir güvenlik duvarı setine sahip olmak yeterli değildir. Düşüncenizi sistem veya ağ merkezli olmaktan kimlik veya kullanıcı merkezli olmaya taşımanız gerekir. İşte o zaman sıfır güvenin bu yeni paradigmalarını düşünmeye başladık. İnsanların sürekli olarak eriştiği bilgi hacmiyle, sadece sistemi yamalamaya veya ağı güvenceye almaya çalışıyorsanız, her zaman arayı kapatacaksınız.”

Odak noktasının kullanıcının kimliğine kaydırılması, dışarıdaki bilgisayar korsanlarına erişimin ortadan kaldırılmasına yardımcı olur, ancak aynı zamanda meşru kullanıcıların bile ihtiyaç duydukları verilere erişimini sınırlayarak içeriden gelen risklerin kontrol altına alınmasına yardımcı olur. Bu, elbette, elinizdeki verileri ayrıştırma yeteneğine bağlıdır. Dvorochkin şöyle açıklıyor: “Eskiden şirketler insanlara aşırı ayrıcalık tanıyordu ve açık açık olan her şeye erişebiliyorlardı, bu da açıkçası çok daha fazla riske yol açıyor. Sahip olduğunuz tüm veriler hakkında çok spesifik olmanız gerekir. Neyi bilmediğinizi bilmiyorsunuz, bu nedenle iyi tanımlama etiketlemesi çok önemlidir – verilerinizin tam olarak nerede olduğunu, ne kadarının orada olduğunu ve özellikle üçüncü taraf tedarikçilerle yaptığınız işlemleri bilmek için . Çünkü, yine, üçüncü taraf uygulamalarına giderek daha fazla bağımlı hale geliyoruz ve açıkçası, şirket içi çalışanlarımızla aynı düzeyde güvene sahip değiller. Her şey, iyi bir varlık envanterine sahip olmak ve onu sınırlandırabilmek için tanımlamaya geri dönüyor. ”

Kültür ve Eğitim Anahtardır

Takım arkadaşlarınız dahil olmadıkça herhangi bir siber güvenlik stratejisi uygulayamazsınız. Ve insanlar her zaman siber güvenlik zincirindeki en zayıf halkadır - çoğu bilgisayar korsanlığı kod yazarak değil, bir otorite gibi davranarak ve birisini bir paroladan vazgeçmesi için kandırarak yapılır. Buradaki çözüm teknolojik olduğu kadar sosyaldir.

Bhatnagar, "Siber güvenlik bir kişinin veya bir ekibin sorumluluğu değildir" diyor. “Herkesin kollarını sıvaması ve ona sahip çıkması gerekiyor. Kimlik avı e-postalarını belirlemelerine, kimlik avı simülasyonları yapmalarına ve bu simülasyonların karmaşıklığını adım adım ilerletmelerine yardımcı olarak son kullanıcı farkındalık eğitimine çok önem veriyoruz, bu nedenle çalışanlarımızı sürekli olarak eğitiyoruz.”

Bu, bireysel veri ihlali örneklerini doğrudan azaltabilir, ancak aynı zamanda siber güvenliğe değer veren şirket çapında bir kültür geliştirmeye yardımcı olur. "Bunu bir kez ortaya koyduğunuzda, herkesin anladığı bir dildir - süper teknik olması gereken sadece siber güvenlik profesyonelleriniz değil, diğer iş liderlerinin anlayabileceği genel bir çerçeve vardır. Bunu, farkındalığı artırmak ve stratejik iyileştirmeler yapmaya devam etmek için ihtiyaç duyduğunuz bütçeyi, finansmanı ve kaynakları elde etmek için kullanabilirsiniz.”

Dev, kurum kültürünün önemini anlıyor. “Kültürle birlikte,” diyor, “eğitim de diyebilirim… Eski sistemlere kıyasla çok farklı bir düşünme ve çalışma şekli. Kültüre karşı tavrınız doğruysa, teknolojinin geri kalanı, tasarımı ve benzerleri yerine oturacaktır.”

Roemer için bu, en tepede başlar. “Güvenlik paylaşılan bir sorumluluktur ve hepimizin güvenlik uygulayıcıları olmamız gerekiyor. Liderlik, İK'ya gitmeli ve kuruluş genelinde güvenlik yeteneklerinin gerekli olduğunu bilmeli ve güvenliği zorlayıcı bir kariyer olarak bulanlar için yeniden beceri kazanma ve ilerleme fırsatları nasıl sağlayabilecekleri hakkında konuşmalı ve bu bireyleri çekmelidir - sadece değil BT organizasyonundan değil, mantıklı olduğu için organizasyon genelinden - ve bu nedenle organizasyonun geri kalanına ulaşın [ve bunu iletin] umutsuzca ek güvenlik uzmanlarına ihtiyacımız var ve hepimizin uygulayıcı olarak kabul edilmesi gerekiyor.”

Taktiklerden Platformlara Geçiş

Toplam sistem güvenliğinden kullanıcı kimliği çevresine odaklanmadaki kayma göz önüne alındığında, biraz paradoksal olarak, aynı zamanda taktiklerden platformlara doğru bir kayma görüyoruz - yani, siber güvenlik çabalarını bir dizi bireysel strateji yerine bütünsel bir strateji halinde organize etmek. yamalar.

Roemer şöyle açıklıyor: “Bunun nedeni, nokta ürünleri [bir koleksiyon] yönetmenin çok zor hale gelmesidir. İyi bir şekilde bütünleşmiyorlar ve onları etkinliklerinde kullanacak kaynaklara sahip değiliz. Dolayısıyla bir platformda ne kadar çok oluşturup birleştirebilirsek, güvenlik yeteneklerini o kadar çok artırabiliriz.”

Dvorochkin, bunun sadece taktikleri değil, tüm ekipleri koordine etmek anlamına geldiğini de ekliyor. “Çoğu zaman, teknoloji alanları veya işlevleri silo edilir. Belli ki hepimiz aynı amaca ulaşmaya çalışıyoruz, bu da firmayı başarılı kılmak.”

Bhatnagar için daha stratejik bir yaklaşım, iyi personele sahip ve finanse edilmiş bir güvenlik operasyon merkezine sahip olmayı içerir. Proaktif olmak her zaman iyidir, ancak bu, bir ihlalin sonunda olmayacağı anlamına gelmez ve gerçekleştiğinde, bir organizasyonun harekete geçmeye hazır olması zorunludur. "Her zaman sol alandan çıkacak şeyler vardır, çünkü bilgisayar korsanları daha da ilerlemeye devam ediyor ve teknikleri daha kalıcı olmaya devam ediyor."

Siber Güvenlik Daima Dinamiktir

Dvorochkin, Bhatnagar'ın düşüncesini yansıtıyor - tepki vermek çok önemli. Saldırılara hem proaktif hem de reaktif olarak karşı koymak için siber güvenlik stratejisinin dinamik olması gerekir. Tepkisel tarafta, “Bu, eğer meselesi değil, ne zaman ihlal edileceğiniz meselesi; sürekli olarak tamamen korunmak neredeyse imkansızdır. Sonunda bir şeyler geçecek. Çevreyi korumak önemlidir, iyi dedektif kontrollere sahip olmak önemlidir - ancak aynı zamanda iyi bir yanıt vermeniz, iyi bir değerlendirme yapmanız ve kendinizi test edebilmeniz gerekir."

Proaktif tarafta bu, stratejinizi sürekli olarak değerlendirmek anlamına gelir; öylece ayarlayıp unutamazsın. Dvorochkin, "'Tamam, peki, teknolojiye yatırım yaptık, bu tek seferlik kurulumu yaptık, bir siber güvenlik programımız var, gitmeye hazırız' şeklinde yanlış bir kanı var," diye devam ediyor Dvorochkin. “Bazı araçları uygulamak için tek seferlik bir kurulum – sizi korumayacaktır. Teknoloji ve siber arasındaki sinerjik ilişki nedeniyle teknoloji neredeyse her gün değişiyor ve siber güvenlik de aynı hızla değişiyor. Bu yüzden dinamik olmalısınız, her zaman güncel olmalısınız ve şirketinizden iyi bir yatırım almalısınız çünkü siber güvenlik ucuz değildir.”

Roemer, "Bilgi teknolojisi portföyünüzü bir dizi yatırım olarak düşünün," diye ekliyor. "Kişisel yatırımlarınızda olduğu gibi, zaman zaman gözden geçirin ve neyin iyi çalıştığını, neyin olmadığını ve köpekleri nereye bırakmanız gerektiğini yeniden değerlendirin ve size daha iyi bir getiri sağlayacak bir şeye geçin. Güvenlik buna çok benzer. Çevikliğe ihtiyacımız var ve bilgi teknolojisi portföyünüzü batık bir kararlar dizisi olarak değil, sürekli olarak değerlendirilen bir yatırım dizisi olarak görürseniz, ilerlemeye ve bugünün ve yarının güvenlik ihtiyaçlarını karşılamaya yardımcı olabilirsiniz."

( Bu makale en son Ocak 2022'de güncellenmiştir. )