CISO’lar Bunları Göz Önünde Bulundurmalı

CISO’lar Bunları Göz Önünde Bulundurmalı
Okunuyor CISO’lar Bunları Göz Önünde Bulundurmalı

Şirketlerin güvenlik açıklarını bulma ve doğrulama muhtaçlığını bünyesindeki 1.000 bağımsız araştırmacıyla süratli ve emniyetli bir halde karşılayan BugBounter.com, şirketlerini her taraftan gelen siber tehditlere karşı muhafazası gereken CISO’ların dikkat etmesi gereken mevzuları ele alıyor.

Güvenliğin temel ögelerinden uzaklaşmamak gerekiyor

Şirketler güvenliğin temel alanlarına öncelik vermeye devam ediyor. Temel alanlar ortasında varlık idaresi, yama, güvenlik açığı idaresi ve yapılandırmasını meselesiz bir halde gerçekleştirmenin yanı sıra çalışanlara ve yazılım gruplarına güvenlik şuurunu artıracak eğitimleri sunmak üzere bahisler yer alıyor.

Üçüncü taraf risklerin tespit edilmesi ve en aza indirilmesi çok değerli

Yaşanan örneklerinden dolayı üçüncü taraflardan oluşabilecek riskler CISO’ların ajandasında üst sıralarda yer alıyor. Son periyotta farklı dallarda tanıklık ettiğimiz ifşa olan müşteri dataları üzere, tedarikçi güvenliği özel dikkat gerektiriyor. Üçüncü taraf şirketler üzerinden muvaffakiyete ulaşan taarruzlar, CISO’ların şirketlerinde kullanılan tüm teknolojileri anlaması gerektiğini ve riskleri en başarılı halde azaltacak stratejileri geliştirmesi gerektiğini gözler önüne seriyor.

Sürat kesmeden artan fidye yazılımları CISO’ların odağında

2021’in yalnızca birinci 6 ayında rekorlar kıran fidye yazılımları, CISO’ları dikkatli davranmaya itiyor. CISO’lar üçüncü taraf güvenlik ve uyumluluk değerlendirmelerinin yanı sıra önde gelen global siber güvenlik uzmanlarını dahil ederek harici testler üzerinden şirketin güvenlik yapısını denetliyor. En kritik tedarikçilerinin yaşayacağı fidye hücumlarından kendi şirketlerinin de etkileneceği gerçeği, mevzuya daha geniş perspektiften bakılması gerektiğini ortaya koyuyor.

Grupların bilgi birikimi ve çevikliği artırılıyor

CISO’lar çevikliğini artırırken güvenlik yapılarını daima testlerle güçlü tutmak ve günümüzün dijital dünyasına ahenk sağlamak için kendilerini ve gruplarını eğitiyor. Böylelikle tüm siber güvenlik takımı farklı yapılara sahip tehditlere karşı gereken esnekliği gösterebiliyor. Senede bir yahut birkaç sefer yapılan rutin sızma testlerinin bugünün dinamik muhtaçlığını karşılamadığı görülüyor. Ayrıyeten pandemiyle birlikte ofansif siber güvenlik konumlarında farkı yeteneklerdeki bireylere duyulan gereksinim da artıyor. Bu muhtaçlığın, kurumun güvenlik takımlarının ağır ve daima artan iş gündemleri ortasında karşılanması her geçen gün zorlaşıyor. Bu yüzden CISO’lar da halihazırda rekabetin yüksek olduğu bir alanda yetenek avantajına sahibi olabilmek için daha yaratıcı iş modellerini dikkate alıyor.

BugBounter Kurucu Ortağı Murat Lostar, mevzuyla ilgili şunları söyledi: “CISO’lar, pandemiyle birlikte gözle görülür derecede artan siber taarruzlara karşı şirketlerin savunma düzeneğinde en kritik rollerden birine sahip. Önceliklerini güncelleyerek gerçek halde belirlemesi ve tehditlere nazaran gerçek savunmalar geliştirmesi, şirketlerin mümkün bir siber hücuma karşı göstereceği performansta belirleyici rol oynuyor. Bu noktada CISO’ların dikkat etmesi gereken birçok şey olduğu üzere kullanabileceği de birçok formül bulunuyor. En tesirli formüllerden birisi olan bug bounty (ödül avcılığı) programları da CISO’ların sistemlerini mümkün bir sızmaya karşı en uygun maliyetle, en yetenekli şahıslara daima denetletmesine imkan sağlıyor. CISO’lar, BugBounter’ın ülkemizde öncülük ettiği bu sistem sayesinde yalnızca varlığı tecrübeli takımlar tarafından kanıtlanmış güvenlik açıkları için fiyat ödeyerek bütçeyi verimli yönetiyor. Bu sayede güvenlik testleri için ayrılan vakit ve bütçe, yanlış bilgilerle (false positive / false negative) ve hipotez raporlarla boşa gitmiyor. Ek olarak şirketler vereceği mükafatı, programın takvimini ve kapsamını kendi her an belirleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak denetim ettirebiliyor. Platformun bağımsız siber güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili gruplarımız kısa müddette doğrulama süreçlerini tamamlıyor, kıymetine nazaran derecelendiriyor ve şirketin belirlediği güvenlik gruplarına iletiyor. Giderilen açıkların denetimi de yeniden tıpkı uzmanlarca gerçekleştiriliyor.”

Online Müracaat