Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
elektronikci
FD Üye
Şirketlerin güvenlik açıklarını bulma ve doğrulama gereksinimini bünyesindeki 1.000 bağımsız araştırmacıyla süratli ve emniyetli bir biçimde karşılayan BugBounter.com, şirketlerini her istikametten gelen siber tehditlere karşı muhafazası gereken CISO'ların dikkat etmesi gereken mevzuları ele alıyor.
Güvenliğin temel ögelerinden uzaklaşmamak gerekiyor
Şirketler güvenliğin temel alanlarına öncelik vermeye devam ediyor. Temel alanlar ortasında varlık idaresi, yama, güvenlik açığı idaresi ve yapılandırmasını sıkıntısız bir formda gerçekleştirmenin yanı sıra çalışanlara ve yazılım takımlarına güvenlik şuurunu artıracak eğitimleri sunmak üzere hususlar yer alıyor.
Üçüncü taraf risklerin tespit edilmesi ve en aza indirilmesi çok kıymetli
Yaşanan örneklerinden dolayı üçüncü taraflardan oluşabilecek riskler CISO'ların ajandasında üst sıralarda yer alıyor. Son devirde farklı kesimlerde tanıklık ettiğimiz ifşa olan müşteri dataları üzere, tedarikçi güvenliği özel dikkat gerektiriyor. Üçüncü taraf şirketler üzerinden muvaffakiyete ulaşan akınlar, CISO'ların şirketlerinde kullanılan tüm teknolojileri anlaması gerektiğini ve riskleri en başarılı halde azaltacak stratejileri geliştirmesi gerektiğini gözler önüne seriyor.
Sürat kesmeden artan fidye yazılımları CISO'ların odağında
2021'in yalnızca birinci 6 ayında rekorlar kıran fidye yazılımları, CISO'ları dikkatli davranmaya itiyor. CISO'lar üçüncü taraf güvenlik ve uyumluluk değerlendirmelerinin yanı sıra önde gelen global siber güvenlik uzmanlarını dahil ederek harici testler üzerinden şirketin güvenlik yapısını denetliyor. En kritik tedarikçilerinin yaşayacağı fidye ataklarından kendi şirketlerinin de etkileneceği gerçeği, mevzuya daha geniş perspektiften bakılması gerektiğini ortaya koyuyor.
Grupların bilgi birikimi ve çevikliği artırılıyor
CISO'lar çevikliğini artırırken güvenlik yapılarını daima testlerle sağlam tutmak ve günümüzün dijital dünyasına ahenk sağlamak için kendilerini ve gruplarını eğitiyor. Böylelikle tüm siber güvenlik takımı farklı yapılara sahip tehditlere karşı gereken esnekliği gösterebiliyor. Senede bir yahut birkaç defa yapılan rutin sızma testlerinin bugünün dinamik muhtaçlığını karşılamadığı görülüyor. Ayrıyeten pandemiyle birlikte ofansif siber güvenlik konumlarında farkı yeteneklerdeki bireylere duyulan muhtaçlık da artıyor. Bu gereksinimin, kurumun güvenlik gruplarının ağır ve daima artan iş gündemleri ortasında karşılanması her geçen gün zorlaşıyor. Bu yüzden CISO'lar da halihazırda rekabetin yüksek olduğu bir alanda yetenek avantajına sahibi olabilmek için daha yaratıcı iş modellerini dikkate alıyor.
BugBounter Kurucu Ortağı Murat Lostar, hususla ilgili şunları söyledi: "CISO'lar, pandemiyle birlikte gözle görülür derecede artan siber akınlara karşı şirketlerin savunma sisteminde en kritik rollerden birine sahip. Önceliklerini güncelleyerek yanlışsız halde belirlemesi ve tehditlere nazaran gerçek savunmalar geliştirmesi, şirketlerin mümkün bir siber taarruza karşı göstereceği performansta belirleyici rol oynuyor. Bu noktada CISO'ların dikkat etmesi gereken birçok şey olduğu üzere kullanabileceği de birçok prosedür bulunuyor. En tesirli usullerden birisi olan bug bounty (ödül avcılığı) programları da CISO'ların sistemlerini mümkün bir sızmaya karşı en uygun maliyetle, en yetenekli şahıslara daima denetletmesine imkan sağlıyor. CISO'lar, BugBounter'ın ülkemizde öncülük ettiği bu sistem sayesinde yalnızca varlığı tecrübeli takımlar tarafından kanıtlanmış güvenlik açıkları için fiyat ödeyerek bütçeyi verimli yönetiyor. Bu sayede güvenlik testleri için ayrılan vakit ve bütçe, yanlış bilgilerle (false positive / false negative) ve hipotez raporlarla boşa gitmiyor. Ek olarak şirketler vereceği mükafatı, programın takvimini ve kapsamını kendi her an belirleyebildiği için sistemlerinin güvenliğini o anki bütçelerine ve iş planlarına uygun olarak denetim ettirebiliyor. Platformun bağımsız siber güvenlik araştırmacıları, buldukları zafiyetleri raporladıktan sonra yetkili gruplarımız kısa müddette doğrulama süreçlerini tamamlıyor, ehemmiyetine nazaran derecelendiriyor ve şirketin belirlediği güvenlik takımlarına iletiyor. Giderilen açıkların denetimi de yeniden birebir uzmanlarca gerçekleştiriliyor."
