Artık Bilgi güvenliği, Bilgi Teknolojilerinin (BT) ayrılmaz bir parçası haline gelmiş durumdadır. Hemen hemen her şirkette, bu iki kavramda organizasyonel açıdan neredeyse birbirinden ayırt edilemez durumdadır. Birçok şirket, günden güne BT güvenlik stratejisini BT stratejisiyle daha sıkı bir şekilde bütünleştirmeye çalışıyor. Bu durum, bu disiplinleri harmanlayarak, liderlik yapılarını değiştirerek ve güvenliği daha ileri geliştirme noktasına yerleştirmek anlamına gelmektedir.
Gerçekleştirilen anket sonuçlarına göre, kuruluşların yaklaşık üçte ikisinde BT güvenlik stratejileri ve BT stratejisinin sıkı şekilde entegre olduğunu, BT güvenliğinin de BT yol haritalarının ve projelerinin kilit bir bileşeni olduğunu göstermektedir. Bilgi güvenliği genellikle BT departmanının bir altkümesi olarak kabul edildiği, güvenlik duvarları ve e-posta filtreleri gibi güvenlik araçlarının yönetildiği yerlerdeyken, şimdi InfoSec ekiplerinin risk yönetimi fonksiyonlarıyla birlikte gerçekte nerede olduklarını gördükleri bir ortama doğru yaygınlaşarak evrildiğini gözlemliyoruz.
Bugünün siber güvenlik ekipleri, kod geliştiricisinin test aşamasından üretime(production) kadar bilginin nasıl güvenli bir şekilde taşındığına dair endişe duymaktadırlar. İşte tam da bu noktada güvenlik stratejileri, insan hatası veya hataları nedeniyle kodun tehlikeye atılabileceği veya bütünlüğünü kaybedebileceği alanları belirleyecek ve bu riskleri azaltmak veya ortadan kaldırmak için yapılması gerekenler için öneriler sunmaktadır.
BT ekiplerinin mevcut altyapıya hangi araçların en iyi oturacağını belirlemesi, mevcut geliştirme araçları, süreçleriyle bütünleşmesi ve bu kontrolleri sağlamak için doğru teknolojiyi uygulaması amacıyla doğru adımların atılması gerekiyor. Bu noktada güvenlik uygulamalarını BT stratejinize daha sıkı bir şekilde entegre etme konusunda aşağıda belirttiğim şekilde önlemler ve aksiyonlar alabilirsiniz.

1. Üst Düzey Güvenlik Yöneticilerinin Güçlendirilmesi
BT ile güvenliği bir araya getirmek, üst yönetimi güvenlik yöneticilerinden uzaklaştırmak anlamına gelmemelidir; Aslında, stratejik planlamada daha çok söz sahibi olmaları gerekmektedir.
Güvenlik işlevinin organizasyonun uygun bir seviyesinde olması gerekmektedir, en azından CEO olmasa da CIO’ya rapor verilmesi gerekmektedir. Güvenlik tarafından gelen sesleri, veri ve altyapı gibi diğer BT işlevlerinin içinde bastırılmadan duyulmasını sağlamak için bağımsız bir yapıda olması gerekmektedir.
2. Üst düzey yöneticilerden entegrasyon konusunda destek alınması
Kuruluştaki en üst düzey insanlardan destek alınamadığınız için kaç girişiminiz başarısız oldu hiç düşündünüz mü ? Bu durum BT ve güvenlik entegrasyonunda da aynı kaderle yüzleşebileceğiniz anlamına gelmektedir. Bu konuda Yönetim Kurulu, C seviyesi ve liderlik ekiplerinden destek alınması gerçekten önemli ve gereklidir. Avantajları göstermek, liderlerin kabulünü ve desteğini kazanmak, engelleri yıkmaya yardımcı olmaktadır. Ayrıca, üst düzey yöneticiler güvenliğin değerini iyi anlarsa, BT ve güvenlik entegrasyonunun değer yarattığını görmeye daha yatkın olacaklardır.
3. Sık iletişim ve ilişkiler kurulması
BT ve güvenlik ekipleri arasında iyi iletişim kurma gereği etkili entegrasyon için hayati öneme sahiptir. İnsan unsuru bugün herhangi bir BT organizasyonunun karşılaştığı en büyük risktir. Derinlemesine gerçek bir savunma sağlamak için, BT ve güvenlik birimleri, şirket içi çözümler veya bulut tabanlı olsun, saldırı yüzeyindeki çözümleri uygulamak için birlikte çalışmalıdır. Güvenlik grubunun altyapıya uyguladığı değişiklikler ve altyapı tarafınında uygulanan değişikliklerde güvenliği etkiler. Gerçekten bu noktada güvenlik grubu ve altyapı grubu koordineli bir şekilde ilerlemeleri gerekir.
BT ve güvenlik ekiplerinin hem neyi başarmaya çalıştıklarını hem de kuruluş için neden önemli olduğunu birlikte anlamaları gerekiyor. İki taraf birbiriyle konuşmadığında, risk stratejilerini teknoloji hedefleriyle uyumlaştırmak kolaydır. Ayrı işlevler olsa da, birbirlerinin başarısı için ayrılmaz durumdadırlar, bu yüzden sürekli iletişim kurmadan hiçbir zaman eşzamanlı olmayacaklardır. İki disiplinin birbiriyle daha iyi ilişkiler kurması bu açıdan önemlidir. Bilgi güvenliği çalışanları, bazen projelere engel teşkil eden ve iş akışlarını engelleyen şeyler olarak görülmektedir.
Köprü kurmaya yardımcı olmak için, bilgi güvenliği ekibinin takım oyununu olduğunun vurgulaması gerekir. BT tarafı ve bilgi güvenliği ekibi yaklaşmakta olan değişiklikleri, projeleri, zorlukları ve her iki tarafın yararına olabilecek diğer endişeleri tartışmak için aylık toplantılar düzenlemesi gerekmektedir.
4. Güvenlik standartlarından yararlanılmalı ve karşılaştırılabilir ölçümler kullanılmalı
BT ve güvenliği entegre etmek isteyen şirketler, güvenlik ortamı için hedefler belirlemek için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından oluşturulan standartlar gibi standart bir güvenlik çerçevesi kullanmayı tercih etmelidirler. Bu, etkin bir şekilde öncelik verilebilecek ve yıllık hedefler belirlemek için tüm işlevlerle paylaşılabilecek bir güvenlik yol haritasının oluşturulmasına olanak sağlayacaktır.
Bir şirket içindeki güvenlik operasyonlarını standartlaştırmak için bir çerçevenin kullanılması, güvenliğin tüm yönlerinin tanımlanmasını, risk ve olgunluk hedefleri için önceliklendirilmesini sağlar. Bir şirket bir güvenlik çerçevesi seçerek, belirli bir duruma ne kadar uygulanabilir olduğuna bağlı olarak çeşitli unsurları kullandığında, şirket temelde bir güvenlik stratejisine sahiptir.
Güvenliğin, yalnızca kendi işlevi dahilinde belirli bir hedefe ulaşması çok nadirdir. Genellikle bir güvenlik hedefine ulaşmak için diğer işlevlerin bir birleşimini şeklinde olur, bu nedenle genel BT stratejisiyle bu tür bir entegrasyon başarının anahtarıdır.
Standartlara ek olarak, BT ve güvenlik kuruluşları karşılaştırılabilir ölçümleri kullanmayı hedeflemelidir, böylece nihai hedefler konusunda bir karışıklık içerisinde olunmaz.
5. Şirket içerisinde veri korumasının oluşturulması
Etkili BT ve güvenlik entegrasyonu, bir şirketin müşterilerine sağladığı ürün ve hizmetleri genişletmeli, sektörden bağımsız olarak dahili olarak kullanmalıdır. Örneğin, bir çalışana şirket cep telefonu verildiğinde, derhal bir uç nokta yönetim sistemine kaydedilmelidir. Çalışanların kendi cihazlarını getirmesi durumunda, bunların da kayıtlı olması veya cihazların herhangi bir şirket kaynağına erişmesine izin verilmemesi gerekir.
Son zamanlarda popüler olan kimlik avı saldırılarının ortaya çıkmasıyla, herhangi bir şirket çalışanlarının gizlice bağlanan bir bağlantıya tıklanma, şifre bilgilerini girme riskiyle karşı karşıya olma riskini taşıyor. Hackerlar, yalnızca Active Directory altyapınıza erişime sahip olmakla kalmayıp; ayrıca süreçlerinize ve prosedürlerinize de erişebilir. Bu durum genellikle daha odaklı bir oltalama saldırısıyla başarılıyor.
Nesnelerin interneti (IoT) saldırı yüzeyini genişletir ve arttırır. İnternete çıkan her şey, işletmeye potansiyel bir giriş noktası haline getiriyor. Telefonlar, tabletler, dizüstü bilgisayarlar, masaüstü bilgisayarlar, güvenlik kameraları, aydınlatma kontrolleri, termostatlar, VR [sanal gerçeklik] cihazları vb. Bu cihazların hepsinin bir tür yama yönetimi ve güvenlik açığı yönetimi sürecine girmesi gerekiyor.
Bilgisayar korsanları tartışmasız dünyanın en zeki insanlarından oluşan bir gruptur. Çevrenize sızmaya kararlı olduklarında ve odaklandıklarında, hedeflerine ulaşmak için gereken her türlü aracı ve giriş noktalarını kullanacaklardır Bunu ister sosyal mühendislik ister bir kimlik avı saldırısıyla gerçekleştirselerde, şirketler her zaman dikkatli olmalı ve yüksek güvenlik bilincinde olmalıdır.