ICT Media
Siber saldırganların sıkça saldırı gerçekleştirdiği günümüzde CISO'ların üçüncü taraf şirketlerden oluşabilecek riskleri en aza indirmesi, fidye yazılımlarına karşı savunmayı güçlendirmesi, dijital dönüşüm çalışmalarının temposunu artırması gibi birçok görevi bulunuyor. BugBounter, CISO'ların dijitalleşme ile siber saldırıların arttığı bu dönemde göz önünde bulundurması gereken konuları sıralıyor.
Şirketlerin güvenlik açıklarını bulma ve doğrulama ihtiyacını bünyesindeki 1.000 bağımsız araştırmacıyla hızlı ve güvenilir bir şekilde karşılayan BugBounter.com, şirketlerini her yönden gelen siber tehditlere karşı koruması gereken CISO'ların dikkat etmesi gereken konuları ele alıyor.
Güvenliğin temel ögelerinden uzaklaşmamak gerekiyor
Şirketler güvenliğin temel alanlarına öncelik vermeye devam ediyor. Temel alanlar arasında varlık yönetimi, yama, güvenlik açığı yönetimi ve yapılandırmasını sorunsuz bir şekilde gerçekleştirmenin yanı sıra çalışanlara ve yazılım ekiplerine güvenlik bilincini artıracak eğitimleri sunmak gibi konular yer alıyor.
Üçüncü taraf risklerin tespit edilmesi ve en aza indirilmesi çok önemli
Yaşanan örneklerinden ötürü üçüncü taraflardan oluşabilecek riskler CISO'ların ajandasında üst sıralarda yer alıyor. Son dönemde farklı sektörlerde tanıklık ettiğimiz ifşa olan müşteri verileri gibi, tedarikçi güvenliği özel dikkat gerektiriyor. Üçüncü taraf şirketler üzerinden başarıya ulaşan saldırılar, CISO'ların şirketlerinde kullanılan tüm teknolojileri anlaması gerektiğini ve riskleri en başarılı şekilde azaltacak stratejileri geliştirmesi gerektiğini gözler önüne seriyor.
Hız kesmeden artan fidye yazılımları CISO'ların odağında
2021'in sadece ilk 6 ayında rekorlar kıran fidye yazılımları, CISO'ları dikkatli davranmaya itiyor. CISO'lar üçüncü taraf güvenlik ve uyumluluk değerlendirmelerinin yanı sıra önde gelen küresel siber güvenlik uzmanlarını dahil ederek harici testler üzerinden şirketin güvenlik yapısını denetliyor. En kritik tedarikçilerinin yaşayacağı fidye saldırılarından kendi şirketlerinin de etkileneceği gerçeği, konuya daha geniş perspektiften bakılması gerektiğini ortaya koyuyor.
Ekiplerin bilgi birikimi ve çevikliği artırılıyor
CISO'lar çevikliğini artırırken güvenlik yapılarını sürekli testlerle dayanıklı tutmak ve günümüzün dijital dünyasına uyum sağlamak için kendilerini ve ekiplerini eğitiyor. Böylece tüm siber güvenlik ekibi farklı yapılara sahip tehditlere karşı gereken esnekliği gösterebiliyor. Senede bir veya birkaç kez yapılan rutin sızma testlerinin bugünün dinamik ihtiyacını karşılamadığı görülüyor. Ayrıca pandemiyle birlikte ofansif siber güvenlik pozisyonlarında farkı yeteneklerdeki kişilere duyulan ihtiyaç da artıyor. Bu ihtiyacın, kurumun güvenlik ekiplerinin yoğun ve sürekli artan iş gündemleri arasında karşılanması her geçen gün zorlaşıyor. Bu yüzden CISO'lar da halihazırda rekabetin yüksek olduğu bir alanda yetenek avantajına sahibi olabilmek için daha yaratıcı iş modellerini dikkate alıyor.
BugBounter Kurucu Ortağı Murat Lostar, konuyla ilgili şunları söyledi: “CISO'lar, pandemiyle birlikte gözle görülür derecede artan siber saldırılara karşı şirketlerin savunma mekanizmasında en kritik rollerden birine sahip. Önceliklerini güncelleyerek doğru şekilde belirlemesi ve tehditlere göre doğru savunmalar geliştirmesi, şirketlerin olası bir siber saldırıya karşı göstereceği performansta belirleyici rol oynuyor. Bu noktada CISO'ların dikkat etmesi gereken birçok şey olduğu gibi kullanabileceği de birçok yöntem bulunuyor. En etkili yöntemlerden birisi olan bug bounty (ödül avcılığı) programları da CISO'ların sistemlerini olası bir sızmaya karşı en uygun maliyetle, en yetenekli kişilere sürekli denetletmesine imkan sağlıyor. CISO'lar, BugBounter'ın ülkemizde öncülük ettiği bu sistem sayesinde sadece varlığı deneyimli ekipler tarafından kanıtlanmış güvenlik açıkları için ücret ödeyerek bütçeyi verimli yönetiyor. Bu sayede güvenlik testleri için ayrılan zaman ve bütçe, yanlış bilgilerle (false positive / false negative) ve hipotez raporlarla boşa gitmiyor. Ek olarak şirketler vereceği ödülü, programın takvimini ve kapsamını kendi her an belirleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak kontrol ettirebiliyor. Platformun bağımsız siber güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili ekiplerimiz kısa sürede doğrulama süreçlerini tamamlıyor, önemine göre derecelendiriyor ve şirketin belirlediği güvenlik ekiplerine iletiyor. Giderilen açıkların kontrolü de yine aynı uzmanlarca gerçekleştiriliyor.”
