strateji
Etkili siber güvenlik programları uygulamak ve güvenlik ekibinin tüm iş süreçlerine derinlemesine entegre olmasını sağlamak için, CISO’nun bu çalışmanın değerini üst yönetime düzenli olarak göstermesi gerekir. Bu, iş dünyasının dilini konuşmayı gerektirir, ancak bunu deneyenleri tehlikeli bir tuzak beklemektedir. Güvenlik uzmanları ve yöneticiler genellikle aynı kelimeleri kullanırlar, ancak tamamen farklı anlamlarda. Bazen, bir dizi benzer terim birbirinin yerine kullanılabilir. Sonuç olarak, üst yönetim, güvenlik ekibinin hangi tehditleri azaltmaya çalıştığını, şirketin gerçek siber dayanıklılık seviyesinin ne olduğunu veya bütçe ve kaynakların nereye tahsis edildiğini anlamayabilir. Bu nedenle, şık gösterge panelleri sunmadan veya güvenlik programlarının ROI’sini hesaplamadan önce, bu önemli terminolojik nüansları detaylı bir şekilde açıklığa kavuşturmak faydalı olacaktır.
Bu terimleri netleştirerek ve ortak bir kelime dağarcığı oluşturarak, CISO ve Yönetim Kurulu iletişimi önemli ölçüde iyileştirebilir ve nihayetinde kuruluşun genel güvenlik durumunu güçlendirebilir.
Siber güvenlik terminolojisi yönetim için neden önemlidir?
Terimlerin farklı yorumlanması sadece bir rahatsızlıktan ibaret değildir; bu oldukça önemli sonuçlar doğurabilecek bir konudur. Ayrıntılarla ilgili belirsizlik şunlara yol açabilir:
- Yanlış yönlendirilmiş yatırımlar: Yönetim, bunun çok daha büyük bir bütçeye sahip uzun vadeli, kapsamlı bir programın sadece bir parçası olduğunu fark etmeden sıfır güven çözümünün satın alınmasını onaylayabilir. Para harcanmasına rağmen, yönetimin beklediği sonuçlar hiçbir zaman elde edilemez. Benzer şekilde, bulut geçişi konusunda yönetim, buluta geçişin tüm güvenlik sorumluluğunu otomatik olarak sağlayıcıya devrettiğini varsayabilir ve bunun sonucunda bulut güvenliği bütçesini reddedebilir.
- Riski körü körüne kabul etmek: İş birimi liderleri, potansiyel etkisini tam olarak anlamadıkları siber güvenlik risklerini kabul edebilirler.
- Yönetim eksikliği: Terminolojiyi anlamadan, yönetim doğru ve zor soruları soramaz veya sorumluluk alanlarını etkili bir şekilde dağıtamaz. Bir olay meydana geldiğinde, genellikle işletme sahiplerinin güvenliğin tamamen CISO’nun sorumluluğunda olduğuna inandıkları, ancak CISO’nun iş süreçlerini etkileme yetkisi olmadığı ortaya çıkar.
Siber risk ve BT riski
Birçok yönetici, siber güvenliğin tamamen teknik bir konu olduğunu ve bu konuyu BT departmanına devredeceklerini düşünür. Siber güvenliğin iş dünyası için önemi tartışılmaz olsa da ve siber olaylar uzun süredir en büyük iş riskleri arasında yer alsa da, anketler birçok kuruluşun hala teknik bilgiye sahip olmayan liderleri siber güvenlik tartışmalarına dahil etmediğini göstermektedir.
Bilgi güvenliği riskleri genellikle çalışma süresi ve hizmet kullanılabilirliği gibi BT sorunlarıyla bir araya getirilir. Gerçekte, siber risk, iş sürekliliği, mali kayıp ve itibar kaybı ile bağlantılı stratejik bir iş riskidir.
BT riskleri genellikle operasyonel niteliktedir ve verimlilik, güvenilirlik ve maliyet yönetimini etkiler. BT olaylarına yanıt vermek genellikle tamamen BT personeli tarafından gerçekleştirilir. Ancak, büyük siber güvenlik olayları çok daha geniş bir kapsamdadır; neredeyse tüm departmanların katılımını gerektirir ve itibar, mevzuata uygunluk, müşteri ilişkileri ve genel finansal sağlık dahil olmak üzere birçok yönden kuruluş üzerinde uzun vadeli bir etkiye sahiptir.
Uyumluluk ve güvenlik
Siber güvenlik, NIS2 ve GDPR gibi uluslararası direktiflerden PCI DSS gibi sınır ötesi endüstri kılavuzlarına ve belirli departmanların zorunlu kurallarına kadar her düzeyde yasal gerekliliklere entegre edilmiştir. Sonuç olarak, şirket yönetimi genellikle siber güvenlik önlemlerini uyumluluk kontrol listesi olarak görür ve yasal gereklilikler karşılandığında siber güvenlik sorunlarının çözüldüğü kabul edilir. Bu zihniyet, güvenlik harcamalarını en aza indirgemek için bilinçli bir çabadan (“bizden istenilenden fazlasını yapmıyoruz”) veya samimi bir yanlış anlamadan (“ISO 27001 denetiminden geçtik, bu yüzden hacklenemeyiz”) kaynaklanabilir.
Gerçekte, uyum, belirli bir zamanda denetçiler ve devlet düzenleyicilerinin asgari gerekliliklerini karşılamaktır. Ne yazık ki, büyük kuruluşlara yönelik büyük ölçekli siber saldırıların tarihi, “minimum” gereksinimlerin bu adı boşuna almadığını kanıtlamaktadır. Modern siber tehditlere karşı gerçek bir koruma sağlamak için, şirketler belirli sektörlerin özel ihtiyaçlarına göre güvenlik stratejilerini ve önlemlerini sürekli olarak geliştirmelidir.
Tehdit, güvenlik açığı ve risk
Bu üç terim genellikle eşanlamlı olarak kullanılır, bu da yönetimin yanlış sonuçlara varmasına neden olur: “Sunucumuzda kritik bir güvenlik açığı mı var? Bu, kritik bir riskimiz olduğu anlamına gelir! Panik veya tersine, hareketsizlikten kaçınmak için, bu terimleri doğru bir şekilde kullanmak ve birbirleriyle nasıl ilişkili olduklarını anlamak çok önemlidir.
Güvenlik açığı; bir zayıflık, bir “açık kapı”dır. Bu, yazılım kodundaki bir hata, yanlış yapılandırılmış bir sunucu, kilitlenmemiş bir sunucu odası veya her e-posta ekini açan bir çalışan olabilir.
Tehdit, bir olayın potansiyel nedenidir. Bu; kötü niyetli bir aktör, kötü amaçlı yazılım veya hatta doğal bir afet olabilir. Tehdit, “o açık kapıdan içeri girebilecek” olan şeydir.
Risk, potansiyel kayıptır. Bu, başarılı bir saldırı olasılığının ve bunun sonucunda kuruluşun kaybedeceği şeylerin (etki) kümülatif değerlendirmesidir.
Bu unsurlar arasındaki bağlantılar en iyi şekilde aşağıdaki basit formülle açıklanabilir:
Risk = (Tehdit × Zayıf Nokta) × Etki
Bu durum şu şekilde açıklanabilir. Eski bir sistemde maksimum önem derecesine sahip kritik bir güvenlik açığı keşfedildiğini hayal edin. Ancak, bu sistem tüm ağlardan bağlantısı kesilmiş, izole bir odada bulunmakta ve sadece üç adet güvenlik kontrolünden geçmiş çalışan tarafından yönetilmektedir. Bir saldırganın ona ulaşma olasılığı neredeyse sıfırdır. Öte yandan, muhasebe sistemlerinde iki faktörlü kimlik doğrulamanın olmaması, hem saldırı olasılığının yüksek olması hem de potansiyel zararın büyük olması nedeniyle gerçek ve yüksek bir risk oluşturmaktadır.
Olay müdahalesi, felaket kurtarma ve iş sürekliliği
Yönetimin güvenlik krizleri algısı genellikle fazla basitleştirilmiştir: “Fidye yazılımlarına yakalanırsak, BT Felaket Kurtarma planını etkinleştirir ve Yedekleme ve Geri Yükleme’den yararlanırız.” Ancak, bu kavramları ve süreçleri birbirine karıştırmak son derece tehlikelidir.
Olay Müdahalesi (IR), güvenlik ekibinin veya uzman yüklenicilerin sorumluluğundadır. Onların görevi; tehdidi yerelleştirmek, saldırganı ağdan atmak ve saldırının yayılmasını engellemektir.
Felaket Kurtarma (DR), bir BT mühendisliği görevidir. Olay müdahalesi tamamlandıktan sonra sunucuları ve verileri yedeklemelerden geri yükleme işlemidir.
İş Sürekliliği (BC), üst yönetim için stratejik bir görevdir. Bu plan, şirketin ana sistemleri hala çevrimdışı durumdayken müşterilere hizmet vermeye, malları sevk etmeye, tazminat ödemelerine ve basınla iletişim kurmaya devam etmesini sağlamayı amaçlamaktadır.
Yönetim yalnızca kurtarma işlemine odaklanırsa, şirket en kritik kesinti dönemi için bir eylem planından yoksun kalacaktır.
Güvenlik bilinci ve güvenlik kültürü
Her seviyedeki liderler bazen sadece güvenlik eğitimi vermekle sonuçların garanti edileceğini varsayarlar: “Çalışanlar yıllık sınavlarını geçtiler, artık kimlik avı bağlantılarına tıklamayacaklardır”. Ne yazık ki, yalnızca İK ve BT tarafından düzenlenen eğitimlere güvenmek yeterli olmayacaktır. Verimlilik, ekibin davranışını değiştirmeyi gerektirir ve bu, işletme yönetiminin katılımı olmadan imkansızdır.
Farkındalık bilgidir. Bir çalışan, kimlik avının ne olduğunu bilir ve karmaşık şifrelerin önemini anlar.
Güvenlik kültürü, davranış kalıplarını ifade eder. Bir çalışanın stresli bir durumda veya kimse izlemediğinde yaptığı şeydir. Kültür; testlerle değil, hataların güvenli bir şekilde rapor edilebildiği ve potansiyel olarak tehlikeli durumların tespit edilip önlenmesinin alışkanlık haline geldiği bir ortamla şekillenir. Bir çalışan ceza almaktan korkarsa, olayı gizleyecektir. Sağlıklı bir kültürde, şüpheli bir posta SOC’ye bildirilir veya bilgisayarını kilitlemeyi unutan bir iş arkadaşına bu konuda uyarıda bulunulur, böylece savunma zincirinde aktif bir halka haline gelinir.
Tespit ve önleme
İş dünyasının liderleri genellikle modası geçmiş “kale duvarı” kategorileriyle düşünürler: “Pahalı koruma sistemleri satın aldık, bu yüzden bizi hacklemenin bir yolu olmamalı.” Bir olay meydana gelirse, bu CISO’nun başarısız olduğu anlamına gelir. Uygulamada, saldırıların %100’ünü önlemek teknik olarak imkansız ve ekonomik olarak çok pahalıdır. Modern strateji; siber güvenlik ve iş etkinliği arasındaki denge üzerine kuruludur. Dengeli bir sistemde, tehdit algılama ve önlemeye odaklanan bileşenler birlikte çalışır.
Önleme; otomatikleştirilmiş, toplu saldırıları engeller.
Tespit ve Müdahale, önleme araçlarını atlatmayı başaran veya güvenlik açıklarını istismar eden daha profesyonel, hedefli saldırıları tespit etmeye ve etkisiz hale getirmeye yardımcı olur.
Günümüzde siber güvenlik ekibinin temel amacı, tam bir güvenlik garantisi vermek değil, saldırıları erken aşamada tespit etmek ve iş üzerindeki etkisini en aza indirmektir. Burada başarıyı ölçmek için sektör genellikle Ortalama Tespit Süresi (MTTD) ve Ortalama Yanıt Süresi (MTTR) gibi ölçütleri kullanır.
Sıfır güven felsefesi ve sıfır güven ürünleri
IT altyapısının tüm bileşenleri için “asla güvenme, her zaman doğrula” anlamına gelen sıfır güven kavramı, kurumsal güvenlikte uzun süredir ilgili ve etkili olarak kabul edilmektedir. Ağın zaten güvenliği ihlal edildiği varsayımıyla, her erişim isteği için kimliğin (kullanıcı hesapları, cihazlar ve hizmetler) ve bağlamın sürekli olarak doğrulanmasını gerektirir.
Ancak, bir güvenlik çözümünün adında “sıfır güven” ifadesinin bulunması, bir kuruluşun bu ürünü satın alarak bir gecede bu yaklaşımı benimseyebileceği anlamına gelmez.
Sıfır güven, “açabileceğiniz” bir ürün değildir; mimari bir strateji ve uzun vadeli bir dönüşüm yolculuğudur. Sıfır güven uygulamasını hayata geçirmek için, kimlik ve cihazların sürekli olarak doğrulanmasını sağlamak üzere erişim süreçlerinin yeniden yapılandırılması ve BT sistemlerinin iyileştirilmesi gerekir. Süreçleri değiştirmeden yazılım satın almak önemli bir etki yaratmayacaktır.
Bulut güvenliği ile buluttaki güvenlik
BT hizmetlerini AWS veya Azure gibi bulut altyapısına taşırken, genellikle toplam risk transferi yanılsaması ortaya çıkar: “Sağlayıcıya ödeme yapıyoruz, dolayısıyla güvenlik artık onların sorunu”. Bu tehlikeli bir yanılgıdır ve Ortak Sorumluluk Modeli olarak bilinen kavramın yanlış yorumlanmasıdır.
Bulut güvenliği, sağlayıcının sorumluluğundadır. Veri merkezlerini, fiziksel sunucuları ve kablolamayı korur.
Buluttaki güvenlik ise, müşterinin sorumluluğundadır.
Bulut projeleri için bütçeler ve bunların güvenlik yönleri ile ilgili tartışmalar, gerçek hayattan örneklerle desteklenmelidir. Sağlayıcı, müşterinin çalışanları tarafından yapılandırılan ayarlara göre veri tabanını yetkisiz erişimden korur. Çalışanlar bir veri tabanını açık bırakırsa veya zayıf parolalar kullanırsa ve yönetici paneli için iki faktörlü kimlik doğrulama etkinleştirilmezse, sağlayıcı yetkisiz kişilerin bilgileri indirmesini engelleyemez. Bu, çok sık rastlanan bir durumdur. Bu nedenle, bu projelerin bütçesi, şirket tarafında bulut güvenlik araçlarını ve yapılandırma yönetimini hesaba katmalıdır.
Zayıf nokta taraması ve sızma testi
Liderler genellikle siber hijyen kapsamına giren otomatik kontrolleri, sofistike saldırılara karşı dayanıklılık açısından BT varlıklarını değerlendirmekle karıştırırlar: “Her hafta tarayıcıyı çalıştırıyorsak neden hackerlara pentest için para ödeyelim?”
Zayıf nokta taraması, belirli bir BT varlıkları listesini bilinen güvenlik açıkları açısından kontrol eder. Basitçe söylemek gerekirse bir güvenlik görevlisinin, ofisin pencere ve kapılarının kilitli olup olmadığını kontrol etmek için devriye gezmesi gibi bir şeydir.
Sızma testi (pentesting), zayıf noktaları kullanarak gerçek dünyada bir ihlal olasılığını değerlendirmek için yapılan manuel bir değerlendirmedir. Bu benzetmeyi sürdürmek gerekirse, bu, ofise girmeye çalışmak için uzman bir hırsız tutmak gibidir.
Biri diğerinin yerini almaz; gerçek güvenlik durumunu anlamak için bir işletmenin her iki araca da ihtiyacı vardır.
Yönetilen varlıklar ve saldırı yüzeyi
Yaygın ve tehlikeli bir yanılgı, BT ve güvenliğin sahip olduğu koruma kapsamı ve genel görünürlük ile ilgilidir. Toplantılarda sıkça duyulan bir söz şudur: “Donanımlarımızın doğru bir envanter listesi var.” Sahip olduğumuz her şeyi koruyoruz.
Yönetilen BT varlıkları, BT departmanının satın aldığı, yapılandırdığı ve raporlarında görebildiği öğelerdir.
Saldırı yüzeyi; saldırganların erişebileceği her şeydir yani şirkete girilebilecek her türlü potansiyel giriş noktasıdır. Buna, çalışanların işlerini hızlandırmak veya basitleştirmek için resmi protokolleri atlatarak kendi başlarına başlattıkları her şey, yani Gölge BT (bulut hizmetleri, kişisel mesajlaşma uygulamaları, test sunucuları vb.) dahildir. Çoğu zaman, güvenlik ekibi varlığından haberdar olmadığı şeyleri koruyamadığı için, saldırıların giriş noktası bu “görünmez” varlıklar olur.
İpuçları