Güvenliği Gerçekten Nasıl 'Herkesin Sorumluluğu' Haline Getiriyoruz? - Dünyadan Güncel Teknoloji Haberleri

Güvenliği Gerçekten Nasıl 'Herkesin Sorumluluğu' Haline Getiriyoruz? - Dünyadan Güncel Teknoloji Haberleri
Güvenlik ekibi, kişinin bu tür varlıklarla bağlantısını vurgulamak için bu eki kullanabilir, böylece ilgili güvenlik sorumluluklarını hatırlama olasılıkları artar BT ekipleri, risk bazlı, üzerinde anlaşmaya varılan zaman çizelgelerine göre sistemlere yama uygular Hizmetleri sunan, ürünler geliştiren ve güvenlikle ilgili kararlar almayı gerektiren çeşitli ticari faaliyetlerde bulunanlar, bu ekibin dışındaki kişilerdir Teknik meslektaşların güvenlik ilkelerini projelere dahil etmesi, güvenlik açıklarını düzeltmesi ve teknolojiyi güvenli yollarla dağıtması gerekir Bununla mücadele etmenin anahtarı beklentileri açıklığa kavuşturmak, insanları sorumlu tutmak ve paydaşlarla etkilenen öğeler arasında kişisel bir bağlantı kurmaktır

Pek çok güvenlik kontrolü arasında yama yönetiminin hesap verebilirliğini sağlamak özellikle zordur çünkü bu uygulama genellikle sorumlulukları birden fazla ekibe dağıtır

İnsanlar iş yerinde kullandıkları sistemlere alışırlar

Beklentileri belgelemenin ve diğer iş birimleriyle kendi dillerinde konuşmanın yanı sıra, bir sorumluluk matrisi oluşturmaya yol açan tartışmalar, anlaşmazlıkları veya kapsam boşluklarını ortaya çıkarabilir ve kuruluşa bunları çözme fırsatı verebilir

  • Meslektaşların verileri koruma ihtiyacını vurgularken üçüncü taraflarla paylaşıldığını unutmayın onların Gerekli güvenlik önlemlerine uyulmadığı takdirde etkileşimler tehlikeye girebilir İK ekipleri yeni işe alınan kişileri belirli özgeçmiş kontrolü gerekliliklerine göre inceler onların proje Kişiselleştirin

    Beklentileri iletmenin ve hesap verebilirliği zorlamanın yanı sıra, sorumluluğun yayılmasıyla mücadele etmenin bir başka yolu da kişi ile eldeki görev arasında kişisel bir bağlantı kurmaktır



    siber-1

    Günlük toplama yoluyla güvenlikle ilgili etkinliklerin gözlemlenmesi ve sürekli uyumluluk izlemesi bunun bir parçasıdır Güvenlik risklerini önceden ele almak, kesinti olasılığını en aza indirecektir
  • Ciddi risklere karşı korkuluklar uygulayın İnsanlar kuruluşun makul olarak belirlediği sınırların dışında eylemlerde bulunduğunda

    Ancak sorumluluğun yayılması ilkesi İnsanların bir grubun parçası olduklarında muhtemelen başka birinin harekete geçeceğini düşündükleri için kendilerini daha az sorumlu hissettiklerini öne sürüyor Örneğin, özgeçmiş kontrollerinin gerçekleştiğini doğrulamak için, kaçırılan çalışan taramalarını tespit etmek amacıyla İK ve özgeçmiş kontrol sistemlerini sorgulayabiliriz

    Tedarik veya hukuk ekipleri, satıcıların güvenlik incelemelerini tanımlanmış bir sürece göre dahil eder ve gerekli güvenlik gereksinimlerini sözleşmelere dahil eder

  • Güvenlik sorumluluklarını paydaşlar arasında paylaştırırken, kuruluş personelinin ulaşmayı amaçladığı ortak iş hedeflerine de işaret edin Dizüstü bilgisayarı en iyi durumda tutmak (örneğin, güvenlik yamalarını uygulamak için yeniden başlatmak), en iyi işleri yapmalarını sağlar

    Departmandan bağımsız olarak, bir kuruluştaki herkes bilgilerin doğru şekilde kullanılmasından, şüpheli etkinliklerin izlenmesinden ve rapor edilmesinden ve şirketin güvenlik korkuluklarını içeren yerleşik şablonların, kitaplıkların ve standartların kullanılmasından sorumludur

    1 Örneğin:

    • Son kullanıcıların yama uygulama sorumlulukları olduğunda dizüstü bilgisayarları için insanlara bunların onların sistemler Güvenlik görevlerini bu bağlamda çerçeveleyerek, güvenliği aslında herkesin sorumluluğu haline getiren bir güvenlik programı oluşturma olasılığınız artar Örneğin, Terraform gibi kod olarak altyapı araçları, mühendislerin genel altyapıyı kontrol etmesine izin verirken kullanıcıların önceden onaylanmış modüller içinde özgürce çalışmasına olanak tanır Örneğin, yalnızca çalışanlara 2FA’yı etkinleştirmelerini hatırlatmak yerine, kullanıcı kimlik doğrulamasını iki faktörlü kimlik doğrulama (2FA) gerektirecek şekilde yapılandırın Çalışma belgelerini sakladıkları klasörleri “kendi” klasörleri, özelleştirdikleri uygulamaları ise “kendi” uygulamaları olarak görüyorlar Pek çok kişi şirket tarafından sağlanan dizüstü bilgisayarı “kendi” dizüstü bilgisayarı olarak düşünmeye başlıyor Örneğin, hesap verebilirliği sürdürmek için BT ekibi çalışanların merkezi olarak yönetilmeyen onaylı uygulamaları yüklemesine izin verebilir, ancak uygulamaların güncelliğini yitirdiğini takip edebilir ve son kullanıcılara harekete geçmelerini hatırlatabilir

      3
    • Boşlukları izleyin ve harekete geçin Doğru güvenlik adımları atılmadığında

      2 Yazılıma DevOps, BT, geliştiriciler, harici satıcılar ve hatta son kullanıcılar tarafından yama yapılabilir

      Siber güvenlik liderleri genellikle bir kuruluşun güvenlik programını tasarlar ve yönetir, dolayısıyla diğer çalışanlara güvenlik rehberliği sağlamaları gerekir Başarılı olmak için çalışanların, kuruluşun iş hedeflerini ve güvenlik sorumluluklarının şirketin bu hedeflere ulaşmada nasıl yardımcı olabileceğini veya engelleyebileceğini anlamaları gerekir Beklentileri Netleştirin

      Aşağıdaki gibi bir sorumluluk matrisi kullanabiliriz: RACIGüvenlikle ilgili belirli faaliyetler için sorumlu, hesap verebilir, danışılması ve bilgilendirilmesi gereken tüm kuruluş genelinde kimleri yakalamak



      Soru: “Güvenlik herkesin sorumluluğundadır” sözünün insanların güvenliğin kimsenin sorumluluğunda olmadığı hissine yol açmamasını nasıl sağlayabilirim?

      Axonius’un CISO’su ve SANS Enstitüsü Öğretim Üyesi Lenny Zeltser: Bu özlü sloganın arkasında, kuruluştaki herkesin güvenlik programına katkıda bulunması fikri yatmaktadır Bunu yapma şanslarını artırmak için üç yaklaşımın bir kombinasyonunu kullanabiliriz:

      • Güvenlik beklentilerini hayata geçirin Güvenli olmayan seçimleri veya eylemleri önlemek için teknolojiyi kullanmak Resmi olarak güvenlik ekibinde yer alan çalışanlar bile bilgi varlıklarını kendi başlarına koruyamaz
      • İnsanların projelere güvenliği dahil etmeyi hatırlamaları gerektiğinde veya tasarım tartışmaları, saklamanın faydalarını vurgulayın onların veri güvenliğini, bir güvenlik uzmanının tavsiyelerine uyarak elde etme olasılıkları daha yüksektir Sorumluluğu Uygulamak

        En iyi niyetle bile, asıl işi siber güvenlik olmayan kişiler bazen güvenlikle ilgili sorumluluklarını unutacak veya yerine getirmeyecektir