Bulut Güvenliğinde Siber Risklerin Önüne Geçmenin İlk Adımı
Kurumsal bilgi güvenliği yönetişimi, kuruluşların genel risk yönetimi platformlarının gittikçe daha büyük bir kısmını üzerine inşa edebilecekleri bir temel olarak karşımıza çıkıyor. Başarılı bir güvenlik yönetişim programı, temel olarak CEO, Başkan ve Yönetim Kurulu Üyeleri dahil olmak üzere üst yönetim kadrosundan güçlü bir desteğe ihtiyaç duyar.
BT kaynaklarını kontrol eden pozisyondaki paydaşların proaktif desteği olmaz ise politika ve bütçe kısıtlamalarının baskısı sebebiyle en iyi güvenlik sistemleri bile başarısız olabilir.
Özellikle kritik öneme sahip ve ciddi düzenlemelere tabi olan (finansal hizmetler, sağlık hizmetleri, devlet, e-ticaret vb.) büyük işletmeler ve kuruluşlarda güvenlik yönetişim stratejileri, üst yönetimin önderliğinde belirlenmelidir. Dış saldırı ve iç ihlal riski arttıkça yasalar, düzenlemeler ve standartlar da katılaşıyor. İstenen katkıyı yapabilmek, yani saldırıları engelleyebilmek ve kuruluşlarının dijital varlıklarını güvence altına alabilmek için güvenlik uzmanları (direktörler, başkan yardımcıları, baş bilgi güvenliği yöneticileri ve diğer kıdemli BT yöneticileri), "C-suite" ile etkileşime girmeli ve bağlantılı veri ve altyapı varlıklarını korumak amacıyla gerekli yatırımların yapıldığından emin olmak için riskleri dile getirmeye ve bu yatırımların getirilerini anlatmaya hazır olmalıdır.
Bütün sektörlerde, işletmelerde ve devlet kurumlarında dijital dönüşümün son hız devam edeceği günümüz çağında yararlanabileceğiniz en iyi beş güvenlik yönetişimi metodunu sizin için sıraladık:
- Departman yöneticisinden C-Suite ve Yönetim Kuruluna kadar kuruluş genelinde sorumlulukları net bir şekilde belirleyin ve bir veya daha fazla deneyimli güvenlik profesyonelini BT güvenlik programları, uygulamaları ve genel sistemleri tasarlamak, hayata geçirmek, yönetmek ve ilgili raporları yazmak için görevlendirin. Her yıl bir güvenlik planı oluşturun ve bu planı düzenli olarak güncelleyin; ilgili iş tanımlarının ve eğitimin verildiğinden, becerilerin kazandırıldığından, sertifikaların alındığından ve diğer gereksinimlerin karşılandığından emin olun.
- Uyumluluğu sağlamak için ilgili yönetim kadroları tarafından da desteklenen pratik güvenlik politikaları ve prosedürleri belirleyin. Hayata geçirilemeyen ve gerekli kontroller yoluyla anlamlı derecede güvenlik sağlamayan politika ve prosedürler dikkatle değerlendirilmelidir. Gerçek zamanlı müdahale ve düzenli raporlama için ölçütler belirlemek ve verimli araçlar oluşturmak, güvenlik yönetişiminin her seviyede şeffaf olmasına yardımcı olacaktır.
- Yeni yasa ve yönetmelikleri sürekli olarak takip edin ve bu yasa ve yönetmeliklere tabi olacağınız tarihleri sürekli kontrol edin. Kuruluşunuzun büyüklüğüne ve sektörünüze bağlı olarak yönetmelikler (örneğin Sarbannes-Oxley, HIPAA, PII ve diğer yasalar) konusunda kurum içi bir uzman istihdam etmeyi düşünebilirsiniz. Kurumunuz küresel olarak faaliyet gösteriyorsa iş yaptığınız ülke veya bölgelerdeki tüm gizlilik ve veri koruma yasalarının anlaşıldığından ve bunlara uyulduğundan emin olun. Artık güvenlik sadece bazı testlerden geçmekten ibaret değil. Derin bir anlayış ışığında risk ve maruziyetin azaltılmasından sorumlu BT yöneticilerine tam destek vermek gerekir.
- Tüm çalışanların, kuruluşun güvenlik stratejisini desteklemesini sağlayarak güçlü bir "güvenlik kültürü" yaratın. Bu kültürün oluşturulması tesadüfi bir şekilde gerçekleşmemelidir; bu emek gerektirecek bir süreçtir. Tüm sorumluluklarını her yönüyle anlamak, verilerin, uygulamaların ve ağ altyapısının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak her çalışanın görev tanımının bir parçası olmalıdır.
- Son olarak güvenlik programı, düzenli bir şekilde aylık, üç aylık ve yıllık aralıklarla gözden geçirilmelidir. Düzenli ve periyodik olarak hazırlanan raporlardaki bilgiler, çıkarılan dersleri uygulamaya geçirmek, mevcut güvenlik kontrol mekanizmalarının etkinliğini geliştirmek ve yeni tehditlere karşı ihtiyaç duyulacak yeni güvenlik gereksinimlerini karşılamak için gelecekte ne tür kontroller yapılacağını planlamak için kullanılabilir.
Bahsettiğimiz beş strateji, güvenlik yönetişiminde başarının anahtarıdır ve aşağıdakilerin uygulandığı bir yaklaşımın, tüm sektörler ve kuruluşlarda başarılı sonuçlar doğurduğu somut bir şekilde gözlemlenmiştir:
- Güvenlik stratejinizi kurumunuzun ihtiyaçlarına göre tasarlayın ve güncelleyin.
- Program yatırımlarını yönlendiren bir bilgi güvenliği stratejisi geliştirin.
- Bir bilgi güvenliği yönetim yapısı oluşturun ve bu yapıyı düzenli olarak gözden geçirin.
- Tüm C-Suite (CEO, CIO, CMO, CFO ve Yönetim Kurulu Başkanı ve Üyeleri) ile etkin bir iletişim kurun.
- Kabul edilebilir riskin ne olduğunu işbirliği içerisinde belirleyin ve riski bu doğrultuda yönetin. "%100 oranı" her zaman finansal olarak mümkün olmayabilir, bu nedenle yöneticilerin neleri riske edebilecekleri konusunda kaynaklarla dengelenmiş net bir anlayışa sahip olun.
- Güvenlik politikasını, kurumdaki ilgili tüm paydaşların katılımıyla, yöneticiler ve hat çalışanları ile ortaklaşa oluşturun.
- Güvenlik çerçevenizi sektör standartlarına ve en iyi uygulamalara uygun olarak belirleyin.
- İç ve dış denetimlere daima hazır olun.
- Dahili iletişim yoluyla verilerin korunması, veri sızıntılarının sonuçları, dahili ve harici saldırıların riskleri ve kendilerince ek adımlar atsalar bile belirlenen kurumsal güvenlik çözümlerine riayet etmenin neden gerekli olduğunu çalışanlara anlatarak bir güvenlik kültürü oluşturun.
- Kuruluşu etkileyen mevcut ve çıkmak üzere olan yasaları ve düzenlemeleri doğru bir şekilde anladığınızdan emin olun.
- Gerçek zamanlı güvenlik ihlalleriyle ilgili en iyi raporları düzenli olarak takip edin ve diğer kuruluşların yaşadığı güvenlik sorunlarından kendi kurumunuz için dersler çıkarın.
Belli başlı bilgilere sadece izinli kişilerin erişmesini sağlamak için kullanılan Ayrıcalıklı Erişim Yönetimi (Privileged Access Management - PAM) ve benzeri teknolojik çözümler, yüksek kaliteli güvenlik yönetişim programlarının önemli bir parçası olarak öne çıkıyor.
Siz de Kron’un yetenekleriyle dünyanın sayılı PAM çözümlerinden biri olan Single Connect ürünüyle üstün bir güvenlik politikası yürütebilirsiniz. Single Connect hakkında şimdi bilgi edinmek için web sayfasını ziyaret edin veya sorularınız için bizimle iletişime geçin.