Güvenlik Dönüşümünün Rolü

0
10

İş gücü, iş ortağı ve müşteri personeli genelinde dijital katılım talebi tehdit ortamını genişletirken, güvenlik ihlalleri ve olaylar günlük olarak manşetlere çıkıyor. Bir kuruluş genelinde operasyonel çeviklik veya daha doğru bir şekilde “uyarlanabilirlik” elde etmek zordur, ancak gereklidir. Güvenlik, müşteri verilerini, fikri mülkiyeti ve kritik altyapı ve sistemleri ele alacak şekilde katmanlandırıldığında, daha da zordur.

İş modeli ve BT (Bilgi Teknolojisi) dönüşümleri kendi içlerinde karmaşıktır. Çok disiplinli bir yaklaşım gerektirirler ve genellikle “her zamanki gibi” faaliyetleri ve operasyonel sürekliliği desteklerken uygulanmaları gerekir. Daha da önemlisi, kuruluşların dönüşüme ilişkin doğal riski ve eski faaliyetlerinden kalan riskleri yönetirken esnek olmalarını gerektirirler. Günümüzde, olgun güvenlik uygulamaları, üçüncü taraf uygulamalarının entegrasyonunu destekleyerek, çoklu bulut BT ekosistemlerinin benimsenmesini sağlayarak ve güvenlik duruşlarını bozmadan günlük operasyonları düzenleyerek uyarlanabilirlik sergiliyor.

Güvenlik dönüşümünü sağlamak

Güvenlik dönüşümü sadece teknoloji ile ilgili değildir. Aynı zamanda organizasyon yapısı ve tasarımı, kültür değişikliği, yetenek kazanımı ve etkinleştirme ve işletim modeli uyarlamasını da içerir. Bu nedenle, güvenlik dönüşümünü yönlendiren işlevsel alanlar ve temel yeteneklerle başlayacağım.

Güvenliğin geniş bir konu olduğunu kabul ederek, başarılı bir güvenlik dönüşümü için gerekli olan bazı temel yetenekler ve özellikler burada verilmiştir.

Risk ve uyumluluk

Risk ve uyum alanında kritik öneme sahip iki alan, risk yönetimi ve güvenlik yönetişimidir. Bunlar, başarılı bir güvenlik dönüşümü uygulamak için özel dikkat gerektirir.

Risk yönetimi

Risk yönetimi ortamı birkaç önemli şekilde değişiyor:

Risk yönetimi, stratejik hedef düzeyinde odak topluyor, yani kuruluşlar, iş zorunlulukları ve bunlarla ilişkili uygulama (ve 2. Gün operasyonel) yaklaşımlarıyla ilişkili doğal ve artık riskleri akut bir şekilde yönetiyor.

Risk, BT işletim modeline entegre ediliyor ve beraberinde hem bireysel uygulama hem de ortak operasyon seviyelerinde bir spot ışığı getiriyor.

Teknik borcun üstesinden gelmek, çözüm kalitesini etkiler, çok ihtiyaç duyulan modernizasyonu geciktirir, nüanslı istisna yönetimini zorlar ve iş inovasyonunu boğar.

Bu nedenle kuruluşlar, BT uygulama alanı ve iş birimi düzeyinde birleşik bir modelden yararlanırken, kurumsal düzeyde stratejik olarak yönetilebilen ve koordine edilebilen kapsamlı bir risk yönetimi çerçevesi ve yaklaşımı arıyorlar.

Güvenlik dönüşümü girişimi bağlamında etkili bir risk yönetimi yaklaşımı oluşturmak için bazı kritik uygulama faaliyetleri.

Hibrit BT Ekosisteminde Gerçek Zamanlı Görünürlük Geliştirin

Sistem ve Hizmet Güvenilirliğinin Öncü Göstergelerini Anlayın

Teknik Borçları Azaltın

Hem proaktif hem de reaktif sorun ve olay yönetimi için Otomatik Yanıt Çerçevesini dağıtın

Ortak SDLC ve ölçeklendirilmiş teslimat yaşam döngüleri aracılığıyla İşlevler Arası Çözümleri düzenleyin

Tehdit Modelleme ve Riski Stratejik Planlamaya Entegre Edin

Güvenlik yönetimi

Güvenlik yönetişimi işlevinin kimliği ve rolü, aynı zamanda sürekli uyumluluğu ve risk yönetimini sürdürürken, değişim ve ölçülebilir iş etkinleştirme için bir katalizöre dönüşüyor. İş Birimleri ve uygulama geliştirme ekipleri, değer elde etme süresini hızlandırmak ve kurumsal standartlar ve politikalarla (artık katı olmayan) uyumu sağlamak için kritik bir hizmet olarak güvenlik özelliklerini tüketmeye ihtiyaç duyarken, iş sorunlarını çözmek için umutsuzca serbestlik arıyorlar. ).

Güvenlik dönüşümüne yönelik yüksek işlevli bir yönetişim yaklaşımı oluşturmak için bazı kritik uygulama etkinlikleri aşağıda verilmiştir.

Güvenlik uygulamasının ve yerel işletim modelinin işlevsel, operasyonel ve stratejik hazırlığına ilişkin içgörüler geliştirin

Değişim, sürekli uyumluluk ve yürütmeyi ve sonuçları yönlendirmeyle ilişkili doğal riskleri aktif olarak yönetmeyi içeren bir yönetişim tüzüğüne sahip bir dönüşüm programı ekibi oluşturun

“İleriye dönük başarısızlık” anlayışını kolaylaştıran ve teşvik eden bir öğrenme gündemi oluşturun

Gerçek zamanlı öğrenmeyle bütünleştirmek için standartları ve politika yönetimini zenginleştirin

Kritik değişim ajanlarını tanımlayın ve yetkilendirin

İşlevler arası bir liderlik ve yönetim ekibinden katılım ve kayıt kazanın

Siber savunma ve güvenlik operasyonları

Bir güvenlik dönüşümünün uzun vadeli başarısı ve sürdürülebilirliği söz konusu olduğunda, kuruluşlar bu iki yeteneğe öncelik vermelidir – yama yönetimi ve tehdit ve güvenlik açığı yönetimi. Bu iki yetenek, teknik borç envanterinin önemli bir yüzdesini temsil ettikleri için bir güvenlik uzmanı ve uygulama alanı için özellikle ilgi çekicidir.

Yama yönetimi

Birçok kuruluş için yama yönetimi, rutin olarak yolun sonuna gelen bir faaliyettir. Sağlam yönetim, güvenilir güvenlik, çalışma süresi ve güvenilirlik, sürekli uyumluluk ve satıcı yazılımı ve hizmet sağlayıcı özelliklerini ekosisteme dahil etme yeteneği gibi kritik sonuçlar sağladığından, bu mantık dışıdır.

Bu alanda yüksek derecede uyarlanabilirlik elde etmek için, yama yönetimi mükemmelliğine ulaşmak için genellikle zenginleştirmeyi gerektiren çeşitli yetenekler vardır.

Standartlaştırılmış Güvenlik Kontrol Çerçevesi

Veri ve Uygulama Sınıflandırma Sistemi

Varlık Yönetimi ve Bakımlı Sistem Envanteri

Yazılım Tanımlı Ekosistem

Otomatik CI/CD Ardışık Düzeni

Değişmez Altyapı

Gelişmiş Dağıtım Teknikleri – Kanarya, Mavi/Yeşil ve Kırmızı/Siyah

Sık sık yama yapın. Hızlı bir şekilde yama yapın. Her yerde yama, tabiri caizse.

Tehdit ve güvenlik açığı yönetimi

Tehdit ve güvenlik açığı yönetimi, derin ve karmaşık bir uygulamadır. “Sola kayma” paradigmasında fırsat, bir uygulamanın ve onunla ilişkili mimarinin kavramsallaştırılmasıyla başlar. Bir uygulamanın kapsamlı işlevi belirlendikten sonra, uygulama oluşturulmadan önce potansiyel tehditler için gözden geçirilebilir.

Bir tehdit modelleme yönteminin seçilmesi ve çalıştırılması, bir uygulamanın yaşam döngüsü içinde erken bir aşamada konuşmaya güvenliği getirir. Tutarlı bir kurumsal tehdit modeli yöntemi seçmeniz ve bu tür analizlere ihtiyaç duyacak uygulama türlerini sınıflandırmanız önemle tavsiye edilir. Her uygulama tehdit modellemeye ihtiyaç duymaz. Üçüncü taraf uygulamalar için, satıcının tehdit modelleme analizinin bir kopyasını isteyin veya güvenli olduğunu onaylayan bir rapor alın.

İş yükleri bir dağıtım hattına girerken, altyapı düzeyinde olduğu kadar uygulama düzeyinde de testler vardır (kod olarak altyapı/kod/güvenlik açığı testi olarak altyapı.) Güvenlik açığı testleri ve uyumluluk testleri, kuruluşun yönetebileceği bir dereceye kadar otomatikleştirilmelidir. Otomasyon, optimizasyon veya yenilik yapma fırsatı sağlamak için değişiklikleri mümkün olduğunca çabuk yapmak için bir boru hattının “hızlı başarısız” eylemini teşvik etmelidir. Bu süreç için dikkate alınması gereken personel etkileri de vardır. Kuruluşlar genellikle bir kuruluştaki her işlem hattını izleyecek ölçeğe sahip değildir, bu nedenle güvenlik gereksinimlerine uyulması için bir güvenlik proxy’si atanmalıdır.

İş yükü ortama dağıtıldıktan sonra, güvenlik açığı ve uyumluluk kontrolleri de operasyonel hale getirilmelidir. Bu nedenle, kuruluşların şu anda bozulmamış iş yüklerindeki değişiklikleri algılamasına izin vermek için sürekli bir tarama gerçekleştirilecektir. Bu mekanizmalara sahip olmanın değeri, sapmayı (mutabık kalınan tasarım parametrelerinden hareket) veya boru hattı çevresinde dolaşan potansiyel aktörleri belirleyebilir.

Tehdit ve güvenlik açığı yönetimi uygulamasıyla entegrasyon için dikkate alınması gereken bazı yüksek öncelikli yetenekler aşağıda verilmiştir.

Penetrasyon testi

Varlık Yönetimi ve Bakımlı Sistem Envanteri

Öngörülebilir Yama Yönetimi

Gerçek Zamanlı Keşif

Güvenilir Tehdit İstihbarat Kaynaklarının/Yayınlarının Entegrasyonu

Önceliklendirme Planı

Otomatik ve Orkestralı İyileştirme

API Kataloğu

Sonuç olarak

İş beklentileri ve kalıcı düşmanca tehditler, dönüşüm ihtiyacını tetiklediğinden, güvenlik uygulamaları, riski azaltmak ve hibrit BT ekosistemlerini korumak için kasıtlı ve kapsamlı stratejiler kullanmalıdır. Her şey kapsamlı bir görünürlük ve insanların, süreçlerin, teknolojinin ve politikanın etkinliğinin ve entegrasyonunun derinlemesine anlaşılmasıyla başlar.

Kuruluşlar, hedef işletim modellerine ulaşmak için gereken farklılaştırılmış yatırımı belirleyebilmeleri için KPI’ları (Anahtar Performans Göstergeleri) ve uyarlanabilirlik ve değere dönüşme süresi için metrikleri tanımlayıp ölçerek başlamalıdır. Unutmayın, dönüşüm gerektiren tek alan güvenlik değildir. Ölçülebilir (ve devam eden) iş sonuçları sağlayan kapsamlı bir dönüşümü sağlamak için işlevler arası bir yaklaşımın kullanılması zorunludur.

Geleceğin uyarlanabilir işletmelerinin ihtiyaçlarını karşılamak için güvenlik uygulamanızı yeniden şekillendirme ve modernleştirme konusunda ciddiyseniz, HPE’nin size yardımcı olacak uçtan buluta bir işletim modeli vardır.

Daha fazla bilgi için lütfen www.hpe.com/greenlake/cloud-adoption-framework adresini ziyaret edin.

Bu makale, HPE Edge-to-Cloud Adoption Framework’ün sekiz yetenek alanını ele alan serilerden biridir. Diğer yedi makale burada bulunabilir:

Bir Bulut İşletim Modelinde Uygulama Yönetiminin Önemli Rolü
Hibrit Bulut Stratejisini Yönlendiren Her Yerdeki Verilerden İçgörü
Şirketinizin Eksiksiz Bir İnovasyon Çerçevesi Var mı?
BT Organizasyonunuzu Dönüştürmek için Beş Odak Alanı
DevOps ve Dijital Dönüşüm: Şimdi ve Gelecek
Dijital Uçta Katılımı Destekleyen Bir İşletim Modeli
Çoklu Bulut Yolculuğunu Hızlandırmak için Strateji ve Yönetişimin 3 Temel Öğesi

______________________

Mark Gilmor Hakkında

gilmor inart

Mark Gilmor, HPE Pointnext Hizmetleri’nde Güvenlik Riski ve Uyumluluk Uygulamasından sorumlu Baş Güvenlik Stratejistidir. Daha önce Mark, HPE tarafından satın alınan Bulut Teknolojisi Ortaklarında Bulut Güvenliği Uygulamasını, yüksek düzeyde düzenlemelere tabi şirketlere odaklanarak oluşturmuş ve yönetmiştir. Uygulama, Mobil ve Bulut alanında güvenlik stratejisi ve iş çözümleri sunma konusunda 25 yılı aşkın deneyime sahip olan Mark, güvenliği bir engelleyiciden bir organizasyonun etkinleştiricisine kaydırmaya odaklanıyor. Karmaşık bir pazarda uyarlanabilirliği teşvik eden kurumsal hedeflere ulaşmak için güvenlik odaklı gelişen uygulamaları uygulayarak istenen sonuçları elde etmek için çevik yaklaşımlardan ve düşünceden yararlanır.

Steve Fatigante hakkında

stevef

Steve Fatigante, dijital dönüşüm ve hibrit bulut çözümleri sunma konusunda 28 yılı aşkın deneyime sahip bir Bilgi Teknolojisi Yöneticisidir. Hem düzenlenmiş hem de büyüme odaklı endüstriler için dijital dönüşüm, hibrit bulut benimseme, bilgi güvenliği, esnek ve genişletilebilir mimariler ve hizmet güvenilirliğini vurgulayan bilgi teknolojisi stratejilerini formüle etmede kapsamlı bir geçmişe sahip, azimli bir liderdir. İnsanları, süreci, teknolojiyi ve yeniliği sorunsuz bir şekilde entegre ederek ölçülebilir sonuçlar elde etmek için girişimcilik becerilerinden ve eyleme yönelik önyargıdan yararlanır. Steven’ın stratejik uygulamalar, teslimat ve yürütme ve dönüşümü taktik ve pratik hissettirme konusunda bir becerisi var. Beş ABD teknoloji patentinde mucittir.

Telif Hakkı © 2021 IDG Communications, Inc.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz