Artık Bilgi güvenliği, Bilgi Teknolojilerinin (BT) ayrılmaz bir parçası haline gelmiş durumdadır. Hemen hemen her şirkette, bu iki kavramda organizasyonel açıdan neredeyse birbirinden ayırt edilemez durumdadır. Birçok şirket, günden güne BT güvenlik stratejisini BT stratejisiyle daha sıkı bir şekilde bütünleştirmeye çalışıyor. Bu durum, bu disiplinleri harmanlayarak, liderlik yapılarını değiştirerek ve güvenliği daha ileri geliştirme noktasına yerleştirmek anlamına gelmektedir.
Gerçekleştirilen anket sonuçlarına göre, kuruluşların yaklaşık üçte ikisinde BT güvenlik stratejileri ve BT stratejisinin sıkı şekilde entegre olduğunu, BT güvenliğinin de BT yol haritalarının ve projelerinin kilit bir bileşeni olduğunu göstermektedir. Bilgi güvenliği genellikle BT departmanının bir altkümesi olarak kabul edildiği, güvenlik duvarları ve e-posta filtreleri gibi güvenlik araçlarının yönetildiği yerlerdeyken, şimdi InfoSec ekiplerinin risk yönetimi fonksiyonlarıyla birlikte gerçekte nerede olduklarını gördükleri bir ortama doğru yaygınlaşarak evrildiğini gözlemliyoruz.
Bugünün siber güvenlik ekipleri, kod geliştiricisinin test aşamasından üretime(production) kadar bilginin nasıl güvenli bir şekilde taşındığına dair endişe duymaktadırlar. İşte tam da bu noktada güvenlik stratejileri, insan hatası veya hataları nedeniyle kodun tehlikeye atılabileceği veya bütünlüğünü kaybedebileceği alanları belirleyecek ve bu riskleri azaltmak veya ortadan kaldırmak için yapılması gerekenler için öneriler sunmaktadır.
BT ekiplerinin mevcut altyapıya hangi araçların en iyi oturacağını belirlemesi, mevcut geliştirme araçları, süreçleriyle bütünleşmesi ve bu kontrolleri sağlamak için doğru teknolojiyi uygulaması amacıyla doğru adımların atılması gerekiyor. Bu noktada güvenlik uygulamalarını BT stratejinize daha sıkı bir şekilde entegre etme konusunda aşağıda belirttiğim şekilde önlemler ve aksiyonlar alabilirsiniz.
Güvenlik işlevinin organizasyonun uygun bir seviyesinde olması gerekmektedir, en azından CEO olmasa da CIO’ya rapor verilmesi gerekmektedir. Güvenlik tarafından gelen sesleri, veri ve altyapı gibi diğer BT işlevlerinin içinde bastırılmadan duyulmasını sağlamak için bağımsız bir yapıda olması gerekmektedir.
BT ve güvenlik ekiplerinin hem neyi başarmaya çalıştıklarını hem de kuruluş için neden önemli olduğunu birlikte anlamaları gerekiyor. İki taraf birbiriyle konuşmadığında, risk stratejilerini teknoloji hedefleriyle uyumlaştırmak kolaydır. Ayrı işlevler olsa da, birbirlerinin başarısı için ayrılmaz durumdadırlar, bu yüzden sürekli iletişim kurmadan hiçbir zaman eşzamanlı olmayacaklardır. İki disiplinin birbiriyle daha iyi ilişkiler kurması bu açıdan önemlidir. Bilgi güvenliği çalışanları, bazen projelere engel teşkil eden ve iş akışlarını engelleyen şeyler olarak görülmektedir.
Köprü kurmaya yardımcı olmak için, bilgi güvenliği ekibinin takım oyununu olduğunun vurgulaması gerekir. BT tarafı ve bilgi güvenliği ekibi yaklaşmakta olan değişiklikleri, projeleri, zorlukları ve her iki tarafın yararına olabilecek diğer endişeleri tartışmak için aylık toplantılar düzenlemesi gerekmektedir.
Bir şirket içindeki güvenlik operasyonlarını standartlaştırmak için bir çerçevenin kullanılması, güvenliğin tüm yönlerinin tanımlanmasını, risk ve olgunluk hedefleri için önceliklendirilmesini sağlar. Bir şirket bir güvenlik çerçevesi seçerek, belirli bir duruma ne kadar uygulanabilir olduğuna bağlı olarak çeşitli unsurları kullandığında, şirket temelde bir güvenlik stratejisine sahiptir.
Güvenliğin, yalnızca kendi işlevi dahilinde belirli bir hedefe ulaşması çok nadirdir. Genellikle bir güvenlik hedefine ulaşmak için diğer işlevlerin bir birleşimini şeklinde olur, bu nedenle genel BT stratejisiyle bu tür bir entegrasyon başarının anahtarıdır.
Standartlara ek olarak, BT ve güvenlik kuruluşları karşılaştırılabilir ölçümleri kullanmayı hedeflemelidir, böylece nihai hedefler konusunda bir karışıklık içerisinde olunmaz.
Son zamanlarda popüler olan kimlik avı saldırılarının ortaya çıkmasıyla, herhangi bir şirket çalışanlarının gizlice bağlanan bir bağlantıya tıklanma, şifre bilgilerini girme riskiyle karşı karşıya olma riskini taşıyor. Hackerlar, yalnızca Active Directory altyapınıza erişime sahip olmakla kalmayıp; ayrıca süreçlerinize ve prosedürlerinize de erişebilir. Bu durum genellikle daha odaklı bir oltalama saldırısıyla başarılıyor.
Nesnelerin interneti (IoT) saldırı yüzeyini genişletir ve arttırır. İnternete çıkan her şey, işletmeye potansiyel bir giriş noktası haline getiriyor. Telefonlar, tabletler, dizüstü bilgisayarlar, masaüstü bilgisayarlar, güvenlik kameraları, aydınlatma kontrolleri, termostatlar, VR [sanal gerçeklik] cihazları vb. Bu cihazların hepsinin bir tür yama yönetimi ve güvenlik açığı yönetimi sürecine girmesi gerekiyor.
Bilgisayar korsanları tartışmasız dünyanın en zeki insanlarından oluşan bir gruptur. Çevrenize sızmaya kararlı olduklarında ve odaklandıklarında, hedeflerine ulaşmak için gereken her türlü aracı ve giriş noktalarını kullanacaklardır Bunu ister sosyal mühendislik ister bir kimlik avı saldırısıyla gerçekleştirselerde, şirketler her zaman dikkatli olmalı ve yüksek güvenlik bilincinde olmalıdır.