Siber güvenlik yanıtını destekleyen iş uygulamaları nasıl oluşturulur?

İskoç yazar Robert Burns, “Bir Fareye” şiirinde şöyle yazdı: “Fareler ve insanlar tarafından sunulan en etkili tasarımlar. Çirkin’in arkasındaki çete.” Bu ifade daha popüler biçiminde tanınabilir: “Farelerin ve insanların en iyi hazırlanmış planları çoğu zaman başarısız olur.” Planlama süreci, iş uygulamalarınızın buna tepkinizi nasıl etkilediğini anlamayı içermelidir. siber güvenlik.

Bu ifade, olay müdahale ekipleri, iş sürekliliği planlayıcıları ve kriz yöneticileri için bir ilham kaynağı olabilir. İlk atış yapıldıktan sonra herhangi bir planın etkisiz olduğunu biliyorlar. Ancak, eski Başkan Dwight D. Eisenhower, “Savaşı planlarken her zaman planların yararsız olduğu ve planlamanın gerekli olduğu sonucuna vardım” dedi. Hazırlanmak için, hangi iş uygulamalarının ve prosedürlerin yanıtı etkileyebileceğini anlayarak başlayın ve ardından güçlü bir şirket oluşturmaya yardımcı olacak bir yönetişim sistemi geliştirin.

Olay müdahale planlaması tek başına yeterli değildir. Katılımcıların ve planlamacıların, şirketlerinin genel olarak nasıl gittiği hakkında daha fazla bilgi edinmesi gerekiyor. Bu, planlamacıların müdahale boyunca kademeli olarak artabilecek sonuçlar yaratabilecek uygulamalar ve prosedürler gibi alanları belirlemesine olanak tanır.

Bu planlamayı, NIST 800-160 ilkeleri gibi bir sistem tasarım metodolojisi olarak, ancak iş süreci perspektifinden düşünün.

Başka bir deyişle, iş uygulamaları onu engelliyorsa, bozuyorsa veya çalışmasını engelliyorsa, sağlam bir olay müdahale sistemi ne işe yarar? Kağıt üzerinde ve belki de tek başına siber güvenlik planınız harika görünebilir. Bununla birlikte, gerçekte, işinizin geri kalanıyla birlikte çalışırken, çığlıklar atarak durma noktasına gelebilecek ekstra bir süreçtir.

Planınız ihtiyaçlarınız için anlamlı mı?

Bir olay müdahale planı esnek olmalı, ancak yapılandırılmış kalmalı ve yapıyı korumalıdır. Aksi takdirde, protokol karar vericilerinin, eskalasyon protokollerinin ve iletişim eksikliğinin yapılandırılmamış vahşi batısı haline gelebilir.

Şirket küçük değilse, merkezi kontrol genellikle iyi bir fikir değildir. Merkezi kontrol verimsiz olabilir (iletişim problemlerinden muzdarip) ve bilinçli kararlar vermek için olaydan çok uzakta olabilir.

Bunun yerine, bu iki grubu bir araya getirmelisiniz. Hatları ve işbirliğini belirleyerek programa yön veren bir anayasa olarak düşünün. Uyumlu olmayan modeller zayıf yanıta neden olabilir.

İşte koordinasyonla ilgili yinelenen bazı hıçkırıklar

  • Politika ve uygulama mutlaka uyumlu değildir
  • Planlama gereksinimlerinin organizasyon yapısı ile entegrasyonu mümkün değildir
  • Sorumluluklar ve roller kolayca tanımlanmaz veya tanımlanmaz.
  • Varlığın süreci ve tanımlanması tanımlanmadı veya sürdürülmedi.
  • Varlıkların ve süreçlerin tanımlanmış bağımlılıkları yoktur
  • Her adımın tek başına veya silolar halinde gerçekleştirilmesi nedeniyle iş öncelikleri güvenlik önlemleriyle rekabet etmekte veya çelişmektedir.
  • Kaynakların tutarsızlığı veya kullanılamaması
  • Bütünleşik ve reaktif bürokratik yapılar süreç değişimini engellemekte ve süreçlerin düzenlenmesini zorlaştırmaktadır.

Planlama gerçek dünya süreçleriyle buluştuğunda

Sağlam bir siber güvenlik programınız olduğunu ve tehditlere nasıl yanıt vereceğinden emin olduğunuzu varsayar. Kendi kendine iyi test eder.Sisteme entegre edildiğinde ne olur?

Örneğin, olay müdahalesinin başarısı, siber güvenlik alanında olmayan ek bir süreçten (bağımlılık) gelen girdilere bağlıdır. Her zaman maddenin çıktığı bir “yutma kaynağı” vardır. Bu, bir Güvenlik Operasyon Merkezi veya bir üçüncü taraf olabilir. Diyelim ki müşteri hizmetleri.

Şirketinizin teknoloji hizmetleri sunduğunu hayal edin. Henüz olağandışı bir gösterge fark etmemiş olabilirsiniz, ancak müşterileriniz kötü hizmetten şikayet ediyor. Genel prosedür, müşteri hizmetleri ekibinizle iletişime geçmektir.

Müşteri hizmetleri süreci çalışmadığında ne olur? Bu örnekte kötü bir müşteri deneyimi olabilir (ör. uzun bir form doldurmak, telefonda yanıt alamamak, hatalı bir biletleme sistemi vb.). Bu durumda, ana yutma kaynaklarından biri engellendiğinden sorun daha sonra keşfedilmeyebilir.

Yutma kaynağını boğduğunuzda ne olur? Cevabın yönlendirileceği yer neresidir? “Tıkanıklık” (belirti) veya hastalık, bu durumda bir saldırı mı?

Şimdi, aşağı yönlü etkileri olan siber olmayan bir iş yaklaşımını benimseme zamanı.

Yukarı ve aşağı hareket

Bu tür sorunlar, siber güvenlik üzerinde çalışanların ötesine geçebilir. Bu bir ekip çalışması yöntemidir. Yukarı ve aşağı uygulama ve prosedürlerin haritalanması, siber güvenliği iyileştirebilecek veya engelleyebilecek alanları belirleyebilir.

Potansiyel olarak, tehdit aktörleri müşteri hizmetleri güvenlik açıklarınızın farkındaydı (kötü uygulama). Bu kötü uygulamaları kendi çıkarları için kullanabilirler. Örneğin, müşteri desteği, müşterilere odaklanmak ve müşteri desteğini yönetme planlarınızın üstesinden gelmek için sosyal mühendisliği kullanmanın bir yolu olabilir.

Zararı nasıl en aza indirebilirsiniz?

Hangi iş uygulamaları olay müdahalesini etkiler?

İlk olarak, cevabınızı etkileyebilecek her olası süreci, vektörü ve yanıtı anlamak çok fazla kaynak gerektirir. Bu bir hatadır ve yatırımınızdan size iyi bir getiri sağlamayacaktır. Ancak, en yaygın oyun türleri için plan yapabilirsiniz. 20. sırada ve iyi durumda olduğunuzu hayal edin. Güçlü olduğun yerden başla.

Sağlam bir yönetişim yapınız ve bir olay müdahale planınız olduğunu varsayalım. Ne eksik Sorunlu noktalar şunları içerebilir:

  • Yutma kaynakları bilinmiyor
  • Siber olmayan güvenlik uygulamaları veya güvenli olmayan yöntemler
  • Paylaşılan bilgiler (örneğin çok fazla açık kaynak verisi) sosyal mühendislik saldırılarına kapı açar.
  • Yetersiz bilgi paylaşımı (örn. uygulamalar veya prosedürler anlaşılmamıştır) kör noktalara yol açar
  • Güvenlik önlemlerini atlamak için çatışmayı kullanma
  • Süreçler, iş üzerindeki etkilerinden bağımsız veya bağımsız tasarlanmamıştır.

“Bilinenlere” dönüştürülmesi gereken birkaç “bilinmeyen bilinmeyeniniz” olabileceği doğrudur. Sonunda, prosedürlerinizin ve uygulamalarınızın siber güvenlik yanıtınızı nasıl etkilediğini daha iyi anlamalısınız. Bu biraz araştırma (sektörü bilmek) ve yenilikçi olmak (tehdit aktörü gibi düşünmek) anlamına gelir.

Etki kategorilerinin tanımı

Ünlü isimlerin sayısından emin olduğunuzda bir sonraki adım nicel ve nitel bir analiz yapmaktır. Bunu yapmak için, etkiyle ilgili metriklere ve kategorilere ihtiyacınız var. Aşağıdakiler dahil kullanılabilecek birkaç kategori vardır:

  • Parasal
  • Düzenlemeler ve Uyum
  • Dahili işlemler
  • Dış operasyonlar
  • şöhret, itibar
  • Sağlık & Güvenlik.

Her organizasyonun kendi etki alanları vardır. Bunları iş süreçlerinizle alakalı bulun. Bu alıştırmayı uygulayarak yalnızca siber güvenliğinizi geliştirmekle kalmayacak, aynı zamanda tehditlere karşı yanıtınızı da iyileştireceksiniz.

Örneğin bahsettiğimiz müşteri hizmetleri sorununu hatırlıyor musunuz? Süreçleri ve varlıkları doğru bir şekilde haritalandırabilirsek, etkilenecek insanları ve şeyleri ve ne tür bir etkinin ortaya çıkacağını belirleyebiliriz. Hangi yönlerin niceliksel ve niteliksel olarak en önemli olduğunu belirleyebiliriz.

belki sen Siber Güvenlik Cevabı Yöntem, müşteri hizmetleri yöntemine (tüketim kaynağı ve bağımlılık) bağlıdır. Müşterilerin ekibinize ulaşamaması iç süreçleri etkileyebilir. Ek olarak, bu sorunların farkında olan kötü niyetli bir aktör ekleyin ve tehdit artar.

Ayrıca iş ve siber süreçlerinizin nasıl bağlantılı olduğunu belirleyemeseniz bile var olurlar. Bu, daha önce tartıştığımız veri yaşam döngüsü sürekliliğine çok benzer. Bu konuda önlem almazsanız, bir kazanın veya hatanın sonuçları olması gerekenden daha büyük olabilir.

peki şimdi ne

Birçok sorun ve zorluk belirledik. Peki, bu sorunları nasıl aşıyorsunuz? İşte bazı öneri ve öneriler:

  • Tanımlanmış iş süreçlerini bulmak ve izlemek için bir sistem oluşturun ve ardından bir süreç haritası oluşturun. Ne keşfettiğinize şaşırabilirsiniz. Önemli olduğunu düşündüğünüz şey hiç önemli olmayabilir ve bağlantılı olmadığını düşündüğünüz şey çok önemli olabilir. Bu yaklaşımı, bakım ve güncellemeleri otomatik ve düzenli olarak gerçekleştiren herhangi bir kayıt sisteminize entegre etmek mümkünse bonus puanlar.
  • Şirketinizin ihtiyaçlarını ve süreçlerini karşılayan ilgili yükseltme gereksinimleriyle etki kategorileri oluşturun. Genel kriterler ve eşiksiz kriterler, yoruma çok şey bırakır ve cevabınızı karıştırabilir. Gri alanları ortadan kaldırmak için nicel ve nitel eşikler gereklidir (örneğin, günlük 500.000$’lık zarara karşı “önemli” finansal risk).
  • Prosedürlerinizin İş Etki Analizini (BIA) gerçekleştirin. BIA, bilgisayar korsanlarının hangi iş eylemlerinden yararlanabileceğini tespit edemez, ancak eylemleri nedeniyle risk altında olan süreçleri keşfedebilirsiniz. Bunların hepsi şirketinizi keşfetmenin ve anlamanın bir parçası.
  • Müşterilerinizin gözünden dünyaya bakın. Tabii ki, çoğu şirket bunu pazarlama ve genişleme nedenleriyle yapıyor. Ancak bunu olay müdahalesi açısından düşünüyor musunuz? İyi haber şu ki, son iki yılda yaşanan aksaklıklar, şirketleri aksamalara uyum sağlamaya zorladı. Bu yaklaşımı benimsemeye karar verirseniz, güvenlik ve iş ekipleriniz için işbirliği ve bilgi paylaşımı bir zorunluluktur.

Haritalar düşmanla buluştuğunda

En önemli şey, süreçlerinizi ve eylemlerinizi denetlemek. Harika stratejiler ve politikalar yazılabilir, ancak çok katı veya kısıtlayıcı olabilir, bu da onları takip etmeyi veya uygulamayı imkansız hale getirir. Ayrıca, iş politikanızda tüm kuruluşunuzu tek bir hızlı hareketle ele geçirebilecek zayıf bir bağlantınız olabilir.

Genel olarak güvenlik ve veri güvenliği artık normal bir iş uygulamasıdır. Yani siber güvenlik Prosedür, zayıflıkları, güvenlik açıklarını ve hatta iş büyüme fırsatlarını artırmanın yollarını belirlemek için diğer süreçlerle entegre edilmelidir. En iyi planlarınızı buna değer yapın.

Bagikan:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.