Güvenlik topluluğunun çoğu üyesi, genel riski azaltmak için siber güvenliğin iyileştirilmesi için sistematik kurumsal farkındalık, ölçüm ve izleme anlamına gelen gelişmiş bir güvenlik kültürüne duyulan ihtiyacı kabul eder. Kim Zetter’in kritik altyapı genelinde önemli güvenlik iyileştirmeleri yapılmasını gerektiren Black Hat USA 2022 açılış konuşmasına bir bakın.
Çoğu zaman, etkili güvenliğin önündeki engel, zorunlu olarak teknik değil, kültürel bir meseledir. Çoğu kişi yanlışlıkla kullanıcı eğitimini ve eğitimini bir güvenlik kültürünün yaratılmasıyla eşitler. Kullanıcı eğitimi, sorunlar ve yükümlülükler hakkında bilgi paylaşımı ile ilgiliyken, güvenlik kültürü, güvenliği destekleyen davranış değişiklikleri ile ilgilidir.
Kullanıcı farkındalığı ve bir güvenlik kültürü oluşturmak, farklı zorluklara sahip farklı alıştırmalar olsa da, ortak bir noktayı paylaşıyorlar.: Ciddi dikkat ve desteğe ihtiyaçları var. Bunu akılda tutarak, bu iki egzersiz aslında birbirini tamamlıyor.
Şunu bir düşünün: CISO raporlama yapıları hakkında pek çok tartışma olsa da, bir güvenlik kültürünü yönlendirmek için gereken destek bu hiyerarşiye bağlı değildir; genel kabul görmüş ticari işlemler yoluyla kullanıcı davranışının değiştirilmesine bağlıdır. Bu bütünsel iş süreci değişikliği, güvenlik kültürünün yukarıdan aşağıya doğru yönlendirilmesinin nedenidir.
Kullanıcı farkındalığı, bir kuruluşun güvenlik araçlarına yerleştirilmeli ve sistemlerde uzlaşma belirtileri aramak kadar tutarlı bir şekilde yer almalıdır. Kullanıcı farkındalığı, bir güvenlik kültürünün yaratılmasının yerini almaz ve bununla aynı şey değildir – daha ziyade, herhangi bir etkili güvenlik kültürünün gerekli bir bileşenidir.
Güvenlik kültürü oluşturmaya yönelik sahiplenme ve destek, yönetim kurulu düzeyinde yönlendirilmelidir. Bunun nedeni, birçok istismar ve saldırının yönetilmesi gereken başka bir güvenlik uyarısından başka bir şey olmamasına rağmen, yetenekli bir düşman işin içine girdiğinde ciddi risklerin ortaya çıkmasıdır. Her zaman söylediğim gibi: Amatörler sistemleri hacklerler; profesyoneller insanları hackler. Bir güvenlik riski kategorisi olarak insanı hacklemek, yüksek bir başarı getirisine sahiptir ve teknolojik korumaları aşar.
İşin püf noktası, davranışı kontrol ederek ve şekillendirerek insan operatörü insan doğasının tuzaklarından korumaktır. Bu genellikle yerleşik iş uygulamaları hakkında eleştirel düşünmeyi gerektirir. Gerekli değişikliklerin gerçekleştirilmesine yönelik destek, büyük ölçüde yukarıdan aşağıya etkiye dayanacaktır.
OT ortamları, güvenlik kültürlerini inceleme ve geliştirme konusunda daha da önemli zorluklarla karşı karşıyadır. Yalnızca iş kullanıcıları ayrılmaz bir rol oynamakla kalmaz, aynı zamanda OT mühendisleri de güvenlik olaylarını önlemek ve bunlara yanıt vermek için hayati öneme sahiptir.
BT ve OT arasındaki ilişki, bütünsel bir güvenlik kültürünün yaratılmasının, genel iş ve operasyonel süreçlere eleştirel olarak bakmak için yukarıdan aşağıya desteğe ihtiyaç duyacağı yerdir. Bir güvenlik çabasını desteklemeye yönelik en ciddi girişimleri baltalayabilen şeyler, bütçeleri tek tek konumlar arasında uygulamak için muhasebe süreci veya güvenlik için sahiplik algısı kadar şüphe götürmez olabilir.
Bu örnekler buzdağının görünen kısmı olsa da, kurum içinde bütünsel ve sürekli bir süreç iyileştirme programı oluşturmak ve “Güvenlik kültürümüz nasıl geliştirilebilir?” sorusunu sormaya devam etmek önemlidir.
OT’den farklı olarak, teknoloji ihtiyacının tanınması BT’de iyi tanımlanmıştır. Örneğin, varlık envanteri ve görünürlük, BT için bir emtia ürünüdür. Aralarından seçim yapabileceğiniz birçok varlık yönetimi satıcısı vardır ve yetenekli bir BT ekibi bu araçları hızla benimseyebilir. Teknoloji seçme süreci, BT merkezli bir süreçten etkilenebilir. OT tarafında tamamlayıcı ürünlerin seçimine daha iyi uyacak kültürel değişiklikler bulunabilir.
Varlık envanteri, güvenlik açığı ve risk yönetimi, teknolojinin ve topolojinin doğası gereği OT’de daha zordur. Personel tipik olarak süreçte uzmanlaşmış mühendislerdir ve hareketli moleküllerin işlemleriyle nasıl etkileşime girdikleri konusunda araç (sistemler) olması gerekmez. OT varlıklarının sahipleri, BT sahiplerinden farklı bir misyon odağına sahiptir ve eğitimleri mutlaka güvenliği içermez. Bir güvenlik kültürünün yaratılması, bu farklı zihniyetleri hesaba katmalı ve davranışı değiştirmek için ilişkilendirilebilir taktikler kullanmalıdır.
Risk tabanlı bir yaklaşım, üretim kapasitesi ve verimlilik üzerindeki etkinin yanı sıra yaşam, sağlık, güvenlik gibi temel ölçütleri standart hale getirerek BT ve OT uzmanlarına yardımcı olacaktır. Bu yaklaşım aynı zamanda maksimum tolere edilebilir arıza süresini (MTD) ve ortalama kurtarma süresini (MTR) içermelidir.
Bu, personelin güvenliği neden önemsemesi gerektiğine ilişkin yanıtları yönlendirecektir. Kuruluşlar, kolektif ekibe başarı için bir şans vermek isteyecektir. Gruplar arasında görev atamak için iş süreçlerine bakarken, bir güvenlik merceğinden bakıldığında ince değişiklikler ortaya çıkabilir. Sistem sahipliğinin yapısal, operasyonel olarak yönlendirilen ihtiyaçlar nedeniyle çatallanmış kalması gerekirken, BT/güvenlik/OT ekiplerinin tümü kritik güvenlik açıklarını, olası güvenlik olaylarını ve olay yanıtını/kurtarmayı ele almak için adım adım çalışmalıdır. Hız ve verimlilik her şeyden önemlidir.
Bunlar, bir güvenlik kültürü yaratmanın yalnızca iki yönüdür, ancak davranış değiştirmenin neden basit bilgi paylaşımından daha fazlasının olduğuna dair mükemmel bir örnek teşkil eder. Güvenlik teknolojisi yatırımlarını artırmak için herhangi bir kuruluş için bir güvenlik kültürü oluşturmak hayati önem taşır, ancak hızlı tempolu ihlal yanıt sürecinde bir OT operatörünün hayatta kalması için vazgeçilmezdir.
siber-1