Benimseme ile ilgili rol ve sorumlulukları gözden geçirin

Sıfır Güven güvenlik modelini benimsemek, kuruluşun tamamını etkileyen ve iş, güvenlik ve teknoloji ekiplerinde net sahiplik ve koordinasyon gerektiren stratejik bir dönüşümdür. Tek bir teknoloji dağıtımı veya tek seferlik bir proje değildir. Başarılı benimseme ve operasyon, sürekli liderlik ve Sıfır Güven uygun ölçekte planlayan, uygulayan ve kullanıma hazır hale getiren rollerin uyumlu hale getirmesine bağlıdır.

Bu makalede, Sıfır Güven benimsemede yer alan temel kuruluş rolleri açıklanır ve bu rollerin Sıfır Güven uygun ölçekte planlamak, uygulamak ve kullanıma hazır hale getirmek için birlikte nasıl çalıştığı açıklanır.

Rollerin benimsemede önemli olmasının nedeni

Sıfır Güven, güvenliği çevre tabanlı bir modelden kullanıcıları, cihazları, uygulamaları, verileri ve daha fazlasını sürekli doğrulayan bir modele değiştirir. Bu değişiklik iş süreçlerini, kullanıcı deneyimlerini, BT işlemlerini ve risk yönetimini etkiler.

Net roller ve sorumluluklar olmadan:

  • Güvenlik girişimleri durdurulmuş veya parçalanmış.
  • Teknoloji ekipleri, iş ve güvenlik önceliklerine uygun hale getirmek yerine yerel olarak en iyi duruma getirmektedir.
  • Liderler, güvenlik modernleştirmesi ilerleme durumu ve sonuçları konusunda görünürlük sahibi değil.

Rol sahipliğini tanımlamak, Sıfır Güven stratejisini kuruluş genelinde eşgüdümlü eyleme ve ölçülebilir güvenlik iyileştirmelerine çevirmeye yardımcı olur.

Güvenlik herkesin işidir

Güvenlik temelde insan tehdit aktörlerinin riskini yöneten bir insan disiplinidir. Otomasyon ve yapay zeka önemli roller oynasa da, insanlar güvenlik sonuçlarının merkezinde yer alır.

  • Güvenlik, her iş alanının iç kısmıdır. Emanet ve risk açısından sonuçlar doğurur; iş yetkinliklerini, icrayı ve tüm teknolojileri etkiler.
  • Güvenlik herkesin işidir. Yönetim kurulundan teknoloji ekiplerine, finans ve hukuk gibi teknik olmayan ekiplere ve bilgi/ön cephe çalışanları.
  • Etkin güvenlik riski yönetimi için, her kişinin rolü bağlamında güvenliği anlaması ve güvenlik hedeflerini etkin bir şekilde desteklemesi gerekir.
  • Kuruluştaki herkes güvenlik riski oluşturabildiğinden veya yükseltebildiğinden, herkesin günlük eylemlerinde ve kararlarında güvenlik ilkelerini uygulaması gerekir.

Open Group güvenlik rolleri ve sözlük standardındaki bu diyagram, bir kuruluş genelinde güvenlik hesap verebilirliği ve sorumluluğunun nasıl devredileceğini göstermektedir:

Bir kuruluş aracılığıyla güvenlik sorumluluğu ve sorumluluğunu devretmeyi gösteren çizim

Güvenlik bir takım sporudur

Güvenlik riskini etkili bir şekilde yönetmek için sorumluluk ve işbirliği gerekir:

  • Sorumlu ve sorumlu taraflar arasındaki işbirliği kritik önem taşır.
  • İyi güvenlik kararları vermek sağlıklı ve ilişki gerektirir. Sorumlu karar alıcılar ve güvenlik uzmanları fikirleri güvenli bir şekilde paylaşabilmeli ve varsayımlara meydan okuyabilmelidir.

Bu ilkeler göz önünde bulundurularak, güvenlik riski finansal ve yasal risklere benzer bir şekilde yönetilmelidir. Her rolün sorumluluğu atamak ve hatta yalnızca güvenlik ekiplerine suçlamak yerine günlük kararlarına yol gösteren ilkeleri ve eğitim/eğitimleri vardır.

Sorumlu ve sorumlu tarafların nasıl işbirliği yapması gerektiğini gösteren çizim

Rol tanımı sonuçları

Roller açıkça tanımlandığında, hizalandığında ve bağlandığında:

  • Liderlik öncelikleri ve sorumlulukları belirler.
  • İş ve risk işlevleri güvenliği sonuçlarla uyumlu hale getirir.
  • Mimari ve teknik liderlik, ölçeklenebilir çözümler tasarlar.
  • Mühendislik ve operasyonlar güvenlik denetimlerini uygular ve sürdürebilir.
  • Güvenlik işlemleri etkinliği doğrular.
  • Herkes kuruluşun korunmasına katılır.

Net sahiplik ve paylaşılan sorumluluk, Sıfır Güven bir istekten dayanıklı, ölçülebilir bir güvenlik stratejisine dönüştürebilir.

Roller ve terminoloji

Rol terminolojisi ve tanımları , Açık Grup Güvenlik Rolleri ve Sözlük Standardı'nı temel alır. Bu grafik rol listesini gösterir.

Microsoft Güvenlik Benimseme Çerçevesi’ndeki güvenlik rollerinin gösterimi

Rol sorumlulukları

Kurumsal liderlik ve idare

Amaç: Karar hakları ve sorumluluklar dahil olmak üzere kuruluş yönünü, önceliklerini ve idaresini oluşturun. Yönetici liderliği, kuruluş önceliği olarak Sıfır Güven oluşturur ve uzun vadeli başarı koşullarını oluşturur.

Sorumluluklar şunlardır:

  • Sıfır Güven'ı bir iş ve risk yönetimi stratejisi olarak desteklemek.
  • Güvenlik hedeflerini iş hedefleri, mevzuat yükümlülükleri ve risk toleransı ile uyumlu hale getirme.
  • Sürekli finansman, personel ve kurumsal destek sağlama.
  • İdare modelleri ve sorumluluk yapıları oluşturma.
  • Ölçülebilir güvenlik sonuçlarından sorumlu liderleri tutma.

Liderlik Sıfır Güven teknik bir proje yerine iş etkinleştiricisi olarak değerlendirdiğinde benimseme ivme ve dayanıklılık kazanır.

İş yönetimi ve operasyonlar

Amaç: Sıfır Güven'ı günlük iş süreçlerine entegre etmek. İş liderleri ve operasyon yöneticileri, Sıfır Güven üretkenliği, müşteri güvenini ve operasyonel dayanıklılığı desteklediğini güvence altına alır.

Sorumluluklar şunlardır:

  • Sıfır Güven gereksinimlerini iş süreçleri ve iş akışlarıyla tümleştirme.
  • Güvenlik denetimlerini kullanıcı deneyimi ve operasyonel verimlilikle dengeleme.
  • Korumayı önceliklendirmek için kritik iş varlıklarını, süreçlerini ve verilerini belirleme.
  • Ekipler ve işlevler arasında değişiklik benimsemeyi destekleme. Güvenlik kararlarının iş etkisini ölçme.

Sıfır Güven, güvenlik bir engel olarak algılanmaktansa iş operasyonlarını etkinleştirdiğinde başarılı olur.

Güvenlikle bitişik liderlik

Amaç: GenelKurmay Başkanı, Ürün Sorumlusu, Uyumluluk/Denetim Sorumlusu gibi güvenlikle bitişik liderlik rolleri, güvenlik stratejisini kurumsal risk, uyumluluk ve gizlilik hedefleriyle uyumlu hale getirme.

Bu roller, Sıfır Güven daha geniş kurumsal risk yönetimi ve güvence işlevlerine bağlar.

Sorumluluklar şunlardır:

  • Sıfır Güven ilkelerini risk, uyumluluk ve gizlilik gereksinimlerine çevirme.
  • Mevzuat, yasal, gizlilik ve diğer sektör yükümlülüklerine uyum sağlama.
  • Denetim, değerlendirme ve güvence etkinlikleri aracılığıyla denetimleri doğrulama.
  • Risk ödünleşmeleri ve kalıntı risk konusunda liderlik ekibine danışmanlık yapmak.
  • Güvenlik, uyumluluk ve idare etki alanları arasında koordinasyon.

Katılımları, Sıfır Güven savunulabilir, denetlenebilir ve kuruluş yükümlülükleriyle uyumlu olmasını sağlar.

Diğer işlevsel disiplinler

Purpose: Hukuk, finans, PR ve iletişim gibi teknik olmayan disiplinler, Sıfır Güven benimsenmesini teknik olmayan iş destek fonksiyonları genelinde uyumlaştırır. Sıfır Güven sözleşmeleri, bütçeleri, iletişimleri ve dış güveni etkiler.

Sorumluluklar şunlardır:

  • Yasal: Veri korumayı, sözleşmeleri, mevzuat yorumunu ve olay yönetimi süreçlerini destekleme.
  • Finans: fon modelleri, maliyet idaresi, yatırım önceliklendirmesi ve güvenlik riski niceleme.
  • İletişim ve PR: Olaylar veya değişiklikler sırasında iç ve dış mesajlaşma.
  • İK ve insan ekipleri: politika uygulaması, eğitim uyumu ve iş gücü bağlılığı.

Bu roller, Sıfır Güven benimsemenin sürdürülebilir, uyumlu ve iyi iletişimde olmasını sağlamaya yardımcı olur.

Teknik liderlik

Amaç: Stratejiyi yürütülebilir teknik yöne çevirin. Teknik liderler, iş amacını ve mühendislik yürütmeyi köprüler.

Sorumluluklar şunlardır:

  • Sıfır Güven sonuçlara uygun stratejik gereksinimleri tanımlama ve stratejik yol haritalarını ve stratejiyi onaylama.
  • Etki alanları ve mühendislik ekipleri arasında Sıfır Güven yaklaşımlar üzerinde koordinasyon sağlama.
  • İş paydaşlarına güvenlik, performans ve kullanılabilirlik arasındaki denge kararları konusunda danışmanlık sağlama.
  • Kimlik, uç nokta, uygulama, veri ve altyapı etki alanları arasında tutarlılık sağlama.
  • Eski sistemlerin modernleştirilmesini destekleme.

Güçlü teknik liderlik, silolu uygulamaları ve parçalanmış güvenlik duruşlarını önler.

Architecture

Purpose: Sıfır Güven ilkelerine uygun ölçeklenebilir, tutarlı çözümler tasarlayın. Güvenlik ve kurumsal mimarlar, kurumsal mimari ve çözümleri işbirliğiyle tanımlar.

Görev ve sorumluluklar şunları içerir:

  • Hedef durumdaki Sıfır Güven mimarilerinin tanımlanması.
  • Platformları, hizmetleri ve iş yüklerini Sıfır Güven ilke ve kavramlarla uyumlu hale getirme.
  • Mimari boşlukları, bağımlılıkları ve tümleştirme noktalarını belirleme.
  • Tasarım konusunda rehberlik ve referans desenleri sağlamak.
  • İş ve teknoloji değişikliği ile çözümlerin ölçeklendirilmesi.

Mimari, ilkeleri zaman içinde gelişebilecek sistemlere dönüştürür.

Uygulama ve ürün geliştirme

Purpose: Tasarım gereği uygulamalar ve hizmetlere Sıfır Güven oluşturun. Geliştirme ekipleri, uygulama katmanında Sıfır Güven zorunlu tutmada kritik bir rol oynar.

Sorumluluklar şunlardır:

  • Açıkça doğrulayan ve en az ayrıcalık uygulayan uygulamalar tasarlama.
  • Kimlik, erişim denetimi ve veri korumayı uygulamalarla tümleştirme.
  • Güvenli API'leri, hizmet-hizmet erişimini ve iş yükü kimliklerini destekleme.
  • Hıza zarar vermeden riski azaltmak için güvenlik ekipleriyle iş ortaklığı yapmak.
  • Geliştirme yaşam döngüsünün başlarında güvenliği ele alma.
  • Güvenli iş istasyonları ve CI/CD sistemleri kullanma.

Uygulamaların örtük güven varsaymadığı durumlarda Sıfır Güven en güçlüdür.

Güvenlik stratejisi rolleri ve sorumlulukları

Amaç: Güvenlik eğitimi, iç risk, duruş ve uyumluluk yönetimi gibi güvenlik stratejisi rolleri, uzun vadeli güvenlik davranışını ve olgunluğunu şekillendirmeye yardımcı olur. Bu roller kişilere, ilkelere ve sürekli güvenlik verimliliğine odaklanır.

Sorumluluklar şunlardır:

  • Güvenlik stratejisini, standartlarını ve yol haritalarını tanımlama.
  • Insider risklerini ve kullanıcıyla ilgili tehditleri yönetme.
  • Güvenlik farkındalığını, eğitimi ve kültürü yönlendirme.
  • Güvenlik duruşlarını izleme ve iyileştirmeleri yönlendirme.
  • Güvenlik uyumluluğunu ve politika uygulamasını gözetme.
  • Olgunluğu ve ilerlemeyi Sıfır Güven hedeflere göre ölçme.

Sıfır Güven’ın yalnızca kuruluşun teknolojiyi nasıl devreye aldığına değil, nasıl işlediğine de yerleşmesini sağlarlar.

Teknik mühendislik ve operasyonlar

Purpose: Sıfır Güven denetimleri uygulama ve çalıştırma. Mühendislik ve operasyon ekipleri, tasarımları çalışan sistemlere dönüştürür.

Sorumluluklar şunlardır:

  • Kimlik, cihaz, uygulama, veri ve altyapı genelinde güvenlik denetimleri dağıtma.
  • Güvenliği operasyonel iş akışları ve platformlarla tümleştirme.
  • Kesintiyi en aza indirmek için değişikliği yönetme, test etme ve dağıtma.
  • Sistem güvenilirliğini, kullanılabilirliğini ve performansını koruma.
  • Geri bildirim ve telemetri temelinde denetimleri sürekli iyileştirme.

Bu ekipler Sıfır Güven gerçek ve güvenilir hale getirir.

Güvenlik işlemleri (SecOps / SOC)

Purpose: Tehdit algılama ve yanıta varlık odaklı Sıfır Güven yaklaşımı uygulayın. Güvenlik operasyonları ekipleri, önleyici denetimlerden kaçınan saldırılara yanıt verir.

Sorumluluklar şunlardır:

  • Telemetri verilerini ve kullanıcılar, cihazlar ve iş yükleri arasındaki sinyalleri izleme.
  • Tehditleri, ilke ihlallerini ve anormal davranışları algılama.
  • Olaylara müdahale etme ve izolasyon ile kurtarma çalışmalarını koordine etme.
  • operasyonel içgörüleri ilkelere, mimariye ve otomasyona geri döndürme.
  • Algılama, yanıt ve etki ölçümleri aracılığıyla etkinliği ölçme.

Sıfır Güven varsayımları günlük işlemler aracılığıyla test edilir ve iyileştirilir.

Sonraki Adımlar