Muhtemelen, bir bilgi güvenliği uzmanının yüzleşmesi gereken en korkunç görev, BT altyapısını söküp değiştirmektir. Ancak uluslararası bir firmanın Kanada merkezli bilgi güvenliği şefi (CISO), birçok liderin daha da büyük bir işle yüzleşmesi gerektiğini söylüyor: Büyük bir bölgesel veya daha büyük BT kesintisinden kurtulmak için iş sürekliliği planlarını söküp değiştirmek.
Helsinki merkezli CISO ve Bilişim Kurulu Başkanı (CIO) James Arlen, “Hepimizin – kabul etmek istesek de istemesek de – çılgınca güncelliğini yitirmiş, fazlasıyla eksik iş sürekliliği planlarına sahibiz” dedi. Aivenbir hizmet olarak veritabanı sağlayıcısı, sektör konferans perşembe.
“İş etki değerlendirmeleri, işletmeleri anlamayan insanlar tarafından yapıldı, çünkü iş adamlarından biriyle, araçları bittiğinde ne olacağı hakkında sizinle sohbet etmek isteyemezsiniz. Umurumda değil. ‘Sadece çalışmasını sağlayın’ gibiler. İş tarafı BT’ye, ‘Bilgisayarlar büyülüdür. Sadece bazı şeylere tıklayın! Orada yaptığın şey bu.”
Gerçek şu ki, Arlen, bugünlerde uygulamaların diğer uygulamalara, özellikle de bulut uygulamalarına bağımlı olduğunu söyledi.
Infosec liderlerinin yapması gereken, bu bağımlılıkları yeni bir süreklilik planında dikkatlice haritalamaktır. Aksi takdirde, büyük bir bulut sağlayıcısında büyük bir çöküş olduğunda ne yapacaklarını gerçekten bilemeyecekleri konusunda uyardı.
Arlen şunları söyledi: Aralık 2020’de Google OAuth kimlik doğrulama hizmetlerini gerektiren Google uygulamaları – Gmail ve Workspace uygulamaları dahil – 47 dakika boyunca kullanılamadı.
Bir elektrik şebekesi çöktüğünde, elektrik kuruluşlarının altyapıyı nasıl tekrar çevrimiçi hale getireceğini bilmesi gerekir. Benzer şekilde Arlen, BT ve bilgi güvenliği yöneticilerinin altyapılarını büyük bir çöküşten nasıl geri getireceklerini bilmeleri gerektiğini söyledi. Ancak, bağımlılıklar da dahil olmak üzere donanım ve yazılımlarının tam bir envanterine sahip değilse, herhangi bir planın sakat kaldığını da ekledi.
Arlen, yaratılması gerekenin, elektrik şebekesi siyah olduğunda başlayarak, kamu hizmeti endüstrisinin Kara Başlangıç planı olarak adlandırdığı şeye benzer. Buna Siber Kara Başlangıç diyor.
Mevcut iş sürekliliği planınızı değiştirmeyi düşünmeyin, diye vurguladı. Sıfırdan başlamak. Mevcut plan referans materyal olarak kullanılabilir. “Ama baştan başlamak zorundasın,” diye devam etti. “Giderken bunun hakkında derinlemesine düşünmelisin. Cyber Black Start’ı bir araya getirmek birkaç gün, birkaç hafta, hatta ay sürmeyecek. Bu bir yıllık çalışmaya değer.”
Bir bağımlılık grafiği veya haritası – özellikle hibrit bir altyapıda – “neredeyse korkunç derecede dev” olacağı konusunda uyardı. Bunun nedeni, firmanızın güvendiği büyük bir bulut tabanlı uygulamanın, örneğin bir hizmet sağlayıcı olarak platforma güvenebilmesidir.
Kaç Kanadalı kuruluşun eski planları var? Arlen, bir konuşma sonrası röportajında, çoğu orta ve küçük firma, dedi.
“Çoğu bilgi güvenliği uzmanı, uygulamaların birbiriyle ilişkisini dikkate almıyor” dedi. “Son 10 yılda meydana gelen sürünen bir karmaşıklık seviyesi var. Son iki veya üç yılda, özellikle bunların etkilerini ve personelin onlara nasıl bağımlı hale geldiğini düşünmeden yeni sistemler ekledikleri pandemi nedeniyle çok hızlandı.” Örneğin, video konferans eskiden güzeldi. Şimdi, birçok organizasyonda bu bir zorunluluktur. Ancak çok az kuruluş bunu dikkate almak için süreklilik planlarını güncelledi.
Sonuç, büyük bir internet krizinde çoğu kuruluş “bir süreliğine maddi olarak işlevsiz hale gelecektir”.
Birçok çalışanın artık evden çalıştığını kaydetti. Bir sabah her zamanki gibi giriş yapamazlarsa ne yapacaklarını biliyorlar mı? BT desteği için telefon numarasını biliyorlar mı? Kuruluşun SMS metni gibi alternatif bir iletişim mesajlaşma sistemi var mı?
Arlen röportajda “Arkamızı sıvazladık ve ‘Bir iş etki değerlendirmesi yaptık ve 24 saat boyunca iyi olabiliriz’ diyoruz” dedi. Ancak bir personel, oturum açamamalarının kovuldukları anlamına geldiğini düşünebilir.
Ne yapalım?
İlk olarak, Arlen, infosec liderlerinin BT varlıklarının tam bir listesini derlemeleri gerektiğini söyledi – ki zaten sahip olduklarını düşünebileceklerini, ancak ihtimallerin tam olmadığını söyledi. Arlen’in ekibi kısa süre önce şirketin doğrudan veya dolaylı olarak altyapı ve hizmet olarak platform sağlayıcıları da dahil olmak üzere 197 araca ve hizmete sahip olduğunu ve her birinin kendisine bağlı bazı verileri olduğunu fark etti.
Avrupa merkezli firmaların bir avantajı var, diye ekledi: Belirli hükümleri yerine getirmeleri gerekiyor. Genel Veri Koruma Yönetmeliği, bu nedenle kişisel olarak tanımlanabilir bilgilerin dahili olarak nasıl hareket ettiğine ilişkin veri akış şemalarını korumanız gerekir. Bu, uygulamaların ve araçların nerede ve nasıl birbirine bağlı olduğunu anlamada yardımcı olur.
GDPR’yi takip etmiyor musunuz? Ardından bilinen uygulamaların bir listesini yaparak başlayın, ardından her bir iş birimine gidin ve eklenecek veya silinecek bir şey olup olmadığını sorun. Her uygulamaya ve araca sahip olduğunuzdan emin olduğunuzda, bağımlılık grafiğini oluşturmaya başlayın.
Arlen, bazı bağımlılıkların yalnızca bir ürünün pazarlama materyalinde arama yapılarak keşfedilebileceği konusunda uyarıyor. Her aracın bağımlılıkları vardır ve yalnızca pazarlama materyalinde veya bir SOC 2 raporunda bulunabilen gizli bağımlılıklar olabilir.
Arlen, hala oyun kitaplarına ihtiyaç olduğunu ekledi. Ancak düzenli olarak güncellenmeleri gerekir. Ve aynı oyun kitabının farklı kişiler tarafından yazılmış kopyaları olduğunu görebilirsiniz.
Kaynak : https://www.itworldcanada.com/article/most-business-continuity-plans-are-wildly-out-of-date-sector-conference-told/507177