Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Bir Güvenlik Stratejisi, Tümleştirme ve İdare uzmanlık alanı oluşturma veya modernleştirme açıklanmaktadır. Bu disiplin, bir güvenlik modernleştirme programı genelinde yön, koordinasyon ve sürekli gözetim sağlayarak kuruluşların parçalanmış denetimlerin ötesine uyumlu, sonuç odaklı bir güvenlik duruşu için ilerlemesini sağlar.
Güvenlik disiplinleri , kuruluşların teknoloji varlıklarının tamamında tutarlı bir şekilde güvenlik sonuçları sağlamasına yardımcı olan ilgili güvenlik çalışmaları gruplandırmalardır. Güvenlik benimseme modeli kapsamında disiplinler, güvenlik yatırımlarının güvenlik benimseme modelinin bir parçası olarak gerçek ölçülebilir sonuçlara dönüşmesini sağlayarak iş senaryoları ile teknik uygulama arasında bir köprü sağlamaya yardımcı olur.
Neden bu disiplin?
Birçok kuruluş, denetimlere ve dış uyumluluğa öncelik veren geleneksel idare, risk ve uyumluluk (GRC) modelleri aracılığıyla güvenlik idaresi yaklaşımını benimser. Gerekli olsa da, bu klasik GRC yaklaşımları genellikle operasyonel kesintiye, veri kaybına, kurtarma maliyetlerine ve itibar hasarına neden olan gerçek dünya olaylarının risklerini yönetememektedir.
Güvenlik Stratejisi, Tümleştirme ve İdare disiplini, güvenliği tek başına veya reaktif bir işlev yerine kurumsal karar alma ve işlemlerin ayrılmaz bir parçası haline getirerek bu modeli modernleştirir.
Disiplin üç temel öğeyi bir araya getirir:
- Strateji: İş hedeflerine, risk toleransı ve mevzuat yükümlülüklerine uygun güvenlik sonuçlarını, önceliklerini, dengelenmeyi ve başarı önlemlerini tanımlar.
- Tümleştirme: Güvenliği iş stratejisine, işletim modellerine, teknoloji ortamlarına, idare süreçlerine ve daha geniş iş ekosistemine ekler.
- İdare: Net karar hakları, sorumluluk, ölçüm ve gözetim yoluyla güvenlik programını sürdürebilir ve sürekli geliştirir.
Etkin strateji, tümleştirme ve idare olmadan, güvenlik programlarında genellikle net bir yön ve koordinasyon eksiktir. Bu boşluk düşük öncelik belirlemeye, tutarsız yürütmeye, boşa harcanan ve yinelenen çalışmaya, olay sıklığı ve etkisinin artmasına ve kurumsal riskin artmasına neden olur.
Etkili olmak için bu disiplin, Sıfır Güven ilkelerinin tüm güvenlik disiplinlerinde ve tüm güvenlik yaşam döngüsü boyunca tutarlı bir şekilde uygulanmasını sağlar. SIG, yalıtılmış teknik çözümleri etkinleştirmek yerine kararları, denetimleri ve işlemleri paylaşılan bir güvenlik modeliyle uyumlu hale getirir.
Aşağıdaki diyagramda Güvenlik Stratejisi, Tümleştirme ve İdare uzmanlık alanlarının güvenlik disiplinleri genelinde ve tüm güvenlik yaşam döngüsü boyunca Sıfır Güven ilkelerini tutarlı bir şekilde uygulayarak güvenlik dayanıklılığını nasıl sağladığı gösterilmektedir.
Görev ve sonuçlar
Güvenlik Stratejisi, Tümleştirme ve İdare uzmanlık alanı, güvenlik programının tüm yaşam döngüsü boyunca yön, tümleştirme ve gözetim sağlar. Kuruluşların şunları yapmasını sağlar:
- Net bir güvenlik vizyonu ve yön ayarlayın: İş hedeflerine, risk toleransı ve mevzuat yükümlülüklerine uygun güvenlik sonuçlarını, önceliklerini ve dengeleri tanımlayın. Kuruluş için iyi güvenliğin nasıl göründüğüne ve başarının nasıl ölçüldüğne ilişkin paylaşılan bir anlayış oluşturun. Bu anlayışı gerektiği gibi güncelleştirin.
- Güvenliği kuruma entegre etme: Güvenliği iş planlamasına, teknoloji stratejisine, mimariye, geliştirmeye, operasyonlara ve iş ortağı ekosistemlerine entegre edin; böylece sonradan düşünülen bir unsur veya bağımsız bir işlev olarak ele alınmaz.
- Güvenlik kararlarını ve yatırımlarını idare edin: Güvenlik ve teknoloji ekipleri arasında tutarlı önceliklendirme ve yürütmeyi yönlendiren karar hakları, sorumluluk, ilkeler, standartlar ve başarı önlemleri oluşturun.
- daha iyi ve daha hızlı iş kararları alın: Liderlerin fırsat, risk ve maliyet dengelemesine yardımcı olarak güvenlik riski bağlamı için merkezi bir merkez görevi görür ve yeni girişimlere "evet, güvenli bir şekilde" deyin.
- Öncelik belirlemeyi ve odaklanmayı geliştirme: Ekiplerin en görünür veya acil sorunlar yerine en önemli risklere odaklanması için iş önceliklerini eyleme dönüştürülebilir güvenlik stratejisine, ilkelerine ve standartlarına çevirin.
- Değişikliğe uyum sağlama: Gelişen tehditleri, yeni teknolojileri (yapay zeka dahil), mevzuat değişikliklerini ve iş önceliklerini değiştirmek için stratejiyi, yol haritalarını, mimarileri ve idareyi sürekli güncelleştirin.
- Olay etkisini azaltma: Güvenlik programı genelinde tutarlılığı, koordinasyonu ve sorumluluk düzeyini geliştirin, olayların sıklığını ve önem derecesini azaltın ve kurtarma sonuçlarını geliştirin.
Bu disiplin nasıl uygulanır?
Strateji, Tümleştirme ve İdare uzmanlık alanını etkili bir şekilde uygulamak için kuruluş genelinde net bir yön, sorumluluk ve uyum oluşturmaya odaklanın:
-
İş önceliklerine ve risklerine uygun güvenlik stratejisi tanımlama
Kuruluş hedeflerini, kritik varlıkları ve işletme için en önemli riskleri yansıtan net hedefler oluşturma -
Ekipler arasında idare ve sorumluluk oluşturma
Güvenlik çalışmalarının eşgüdümlü ve tutarlı bir şekilde yürütülmesini sağlamak için rolleri, sorumlulukları ve karar alma yapılarını tanımlayın -
Tutarlı yürütmeye yol gösteren ilkeler ve standartlar ayarlama
Güvenlik denetimlerinin ve uygulamalarının kuruluş genelinde tutarlı bir şekilde uygulanmasını sağlayan net beklentiler sağlayın. -
Güvenlik çalışmalarını disiplinler ve girişimler arasında uyumlu hale getirme
Mimari, operasyon ve mühendislik çalışmalarının yalıtılmış olarak çalışmak yerine paylaşılan sonuçlara doğru çalıştığından emin olun. -
İlerleme durumunu ölçme ve sürekli iyileştirme
Zaman içinde verimliliği izlemek, öncelik belirlemeyi sağlamak ve stratejiyi geliştirmek için ölçümleri, risk içgörülerini ve operasyonel geri bildirimleri kullanın.
Kuruluş değişikliğini yönetme
Bu disiplin, kuruluşların onay kutusu uyumluluğundan iş ile uyumlu risk yönetimine geçiş yaparken yasal yükümlülükleri karşılamaya devam etmelerine yardımcı olur.
Bu şekilde modernleştirmek, düşük değerli denetimlerde harcanan çabayı azaltır, sorumluluğu netleştirir ve doğru bağlamla doğru paydaşlar tarafından güvenlik kararları alınmasını sağlar. Zaman içinde bu, güvenliğin daha kolay çalışmasını, daha etkili ve daha sürdürülebilir olmasını sağlar.
Kuruluşlar ayrıca, verimsiz denetimleri korumak veya başka bir yerde alınan kararlar için resmi olmayan bir şekilde sorumluluk almak gibi eski yükleri atabilir ve bunları daha net ve daha dayanıklı bir işletim modeliyle değiştirebilir.
Disiplin rolleri ve iş ortakları
Bu disiplin öncelikli olarak yön belirleme, güvenliği kuruluşla tümleştirme ve yürütmeyi yönetmeden sorumlu güvenlik liderliğine aittir. Büyük kuruluşlarda bu sorumluluklar resmi roller ve süreçler arasında dağıtılır. Daha küçük kuruluşlarda roller birleştirilebilir ve strateji daha resmi olmayan bir şekilde geliştirilebilir. Ölçeklendirmeden bağımsız olarak, stratejinin geliştikçe belgelenmesi kesinlikle önerilir.
Birincil roller genellikle şunları içerir:
- Bilgi Güvenliği Müdürü (CISO)
- İş Bilgileri Güvenlik Görevlileri (BISO)
- Güvenlik Yöneticileri
- Güvenlik Mimarları
Bu roller güvenlik stratejisi, tümleştirme ve idare, eğitim ve katılım, içeriden risk yönetimi, güvenlik duruşu yönetimi ve güvenlik uyumluluğu yönetimi gibi işlevler tarafından desteklenir.
Etkili teslim, kuruluş genelinde yakın işbirliğine bağlıdır:
- İş liderleri öncelikler ve risk toleransı hakkında bağlam sağlar.
- Teknik liderler , güvenliği teknoloji stratejileri ve işletim modelleriyle tümleştirir.
- Mimari rolleri , stratejiyi standartlara ve korumalara çevirir ve fizibilite geri bildirimi sağlar.
- Mühendislik ve BT ekipleri , uygulama ve bakım aracılığıyla gereksinimleri kullanıma hazır hale getirmektedir.
- Güvenlik operasyonları (SecOps), stratejiyi ve idareyi bilgilendirmek için olaylar, tehditler ve saldırgan davranışından sürekli geri bildirim sağlar.
Uzmanlık alanı bileşenleri
Güvenlik Stratejisi, Tümleştirme ve İdare uzmanlık alanı, tutarlı ve ölçülebilir güvenlik sonuçlarını bir arada sağlayan geniş bir özellik kümesini kapsar.
| Özellik | Ayrıntılar |
|---|---|
| Sürekli öncelik belirleme | Aşağıdakiler için gereksinimleri sürekli olarak önceliklendirme: - İş uyumluluğu: Güvenliğin bir iş etkinleştiricisi olduğundan emin olun. Güvenlik için gereken iş değişikliklerini yönlendirin. - Teknoloji uyumluluğu: Güvenlik riski değerlendirmesi ve yönetimini kurumsal teknolojiyle uyumlu hale getirme. - Tasarım ve varsayılan olarak güvenli: Güvenliğin tüm sistem ve süreç tasarımının ayrılmaz bir yönü olduğundan emin olun. - Tasarıma/varsayılana göre gizliliği güvence altına alma: Gizliliğin tüm sistem ve süreç tasarımının ayrılmaz bir yönü olduğundan emin olun. - Tasarıma/varsayılana göre uyumlu: Uyumluluğun tüm sistem ve süreç tasarımının ayrılmaz bir yönü olduğundan emin olun. |
| Sürekli planlama | Kasıtlı, düzenli olarak güncelleştirilmiş güvenlik yol haritalarını ve başarı ölçümlerini koruyun. |
| İş/teknoloji işletim modeli tümleştirmesi | Dağıtımdan sonra denetim uygulamak yerine fikri işleme, iş gereksinimleri tanımlarına, tasarıma, derlemeye ve işlemlere güvenlik ekleyin. |
| Kurumsal risk tümleştirmesi | Güvenliği, riskin nasıl tanımlandığı, yönetildiği ve liderlik, düzenleyiciler ve paydaşlara nasıl bildirildiğiyle tümleştirin. |
| Yaşam döngüsü ve teknik borç yönetimi | Eski, desteklenmeyen ve eski teknolojilerden gelen güvenlik riskini yönetin. |
| Stratejik güvenlik simülasyonları | Düzenli simülasyonlarla masa üstü ve kriz yönetimi süreçlerini güçlendirin. |
| Temel idare bileşenleri | Kuruluş yapısını, karar haklarını, sorumlulukları, ilkeleri, standartları, mimarileri, korumaları ve uyumluluk yönetimini tanımlayın. |
| Güvenlik zekası paylaşımı | Tehdit bilgilerine iş bağlamı ekleyin ve güvenlik, iş ve teknoloji ekiplerinin içgörülerini paylaşın. |
| Dış risk yönetimi | Tedarik zinciri, iş ortağı, açık kaynak, birleşme ve alım risklerini yönetin. |
| Eğitim ve katılım | Kuruluş genelindeki rollerin güvenliğin neden önemli olduğunu, nelerin gerekli olduğunu ve nasıl davranacaklarını anladığınızdan emin olun. |
| İçeriden risk yönetimi | Kasıtlı veya kasıtsız olarak zarara neden olabilecek yetkili kullanıcıların risklerini yönetin. |
| Güvenlik işlemleri gözetimi | Duruş yönetimi, işlemler ve mimari üzerinde gözetim sağlar ve denetimlerin etkili bir şekilde dağıtılıp dağıtılmadığını ve sürdürülebilir olup olmadığını ölçer. |
Diğer disiplinlerle uyum
Güvenlik Stratejisi, Tümleştirme ve İdare disiplini diğer tüm güvenlik disiplinlerinde çalışır. Rolü sorumluluklarını değiştirmek veya yinelemek değil, güvenlik programı genelinde tutarlı sonuçlara olanak tanıyan, tümleştiren, öncelikleri belirleyen ve izleyen gözetim sağlamaktır.
| Discipline | Rol |
|---|---|
| Uçtan uca güvenlik mimarisi | Stratejiyi ve ilkeyi eşgüdümlü bir teknik yaklaşıma çevirir. Stratejinin eyleme dönüştürülebilir, önceliklendirilebilir ve teknoloji ekiplerine açıkça iletilmesini sağlamaya yardımcı olur. |
| Teknik strateji disiplinleri | Teknik kararların, ödünleşimlerin izole biçimde değil bilinçli olarak yapıldığı şekilde, iş öncelikleri, risk toleransı ve politikayla uyumlu olmasını sağlar. |
| Operasyonel disiplinler | Operasyonel sinyalleri (olaylar, algılamalar, saldırgan davranışı) liderlik kararlarına geri bağlayarak strateji ve denetimlerin sürekli iyileştirilmesini sağlar. |
Teknoloji sütunlarıyla hizalama
Teknoloji sütunu düzeyinde Güvenlik Stratejisi, Tümleştirme ve İdare uzmanlık alanı şunları sağlar:
- Denetimler kurumsal strateji, ilke ve standartlarla uyumludur.
- Uygulama zaman içinde tutarlı olmaya devam eder ve kaymaz.
- Sürekli iyileştirme strateji, tümleştirme ve idare genelinde yönlendirilir.
Bu teknoloji temel alanlarıyla uyumludur:
- Identities: kimlik riski önceliklerini, erişim ilkelerini (ayrıcalıklı erişim dahil), yaşam döngüsü standartlarını ve Sıfır Güven uyumlu başarı ölçülerini tanımlar.
- Uç Noktalar/Altyapı: Uç noktalar ve altyapı platformları genelinde güvenlik riskini yönetmek için yaşam döngüsü, bakım ve kullanımdan kaldırma gereksinimlerini ayarlar.
- Uygulamalar: SaaS ve özel uygulamalarda tutarlı kaynak oluşturma, geliştirme, dağıtım ve yaşam döngüsü standartları oluşturur.
- Veri: İş değeri ve riskle uyumlu veri koruma önceliklerini, sınıflandırmayı, erişim modellerini ve idareyi tanımlar.
- Ağ: Eski ve modern ağ risklerini yönetirken ağ yapılandırmalarının ve denetimlerinin kimlik odaklı stratejileri desteklemesini sağlar.
- Yapay zeka: Yapay zeka kullanımı ve yapay zeka destekli tehditlerin oluşturduğu riskleri ele almak için güvenlik stratejisini, becerileri, araçları ve idareyi güncelleştirir.
Sonraki Adımlar
CISO atölyesini kullanmanızı öneririz.
CISO Atölyesi, güvenlik stratejisi, tümleştirme ve idarenin modernleştirilmesini hızlandırmaya yardımcı olur. Atölye, Microsoft Unified kapsamında uzmanlar tarafından sunulan bir hizmet olarak sağlanmaktadır.
Atölyeler şunlardır:
- CISO Brifingi - Önemli öğrenmeler ve en iyi yöntemlere odaklanan dört saatten kısa bir tartışma.
- Full CISO Workshop - Ek ayrıntılar, Microsoft örnek olay incelemesi, olgunluk modeli tartışmaları ve referans modernleştirme planları sağlayan iki günlük bir atölye.
Daha fazla bilgi için müşteri başarı hesabı yöneticinize başvurun.
CISO atölyesi, bir dizi video olarak self servis olarak da kullanılabilir. Daha fazla bilgi edinin