Kalıcı ve sürekli gelişen siber tehdit ortamı nedeniyle kurumlar daha akıllı güvenlik çözümlerine ihtiyaç duyulmakta ve buna uygun harekete geçmektedir. Kurumlar acısından güvenlik operasyon merkezi (SOC) oluşturma güvenlik açıklarını azaltmak ve siber saldırılara karşı etkili bir yoldur. SOC bilgi teknolojisi (BT) alanında tehdit izleme, tespit, olay yönetimi, müdahale, güvenlik raporlaması konularında çalışan insanları, süreçleri ve teknolojileri içermektedir.
Bu kapsamda tamamen iç operasyon ve süreçler, teknolojiler ve kurum personeli bulunabileceği gibi dışarıdan görevlendirilmiş ve iç yetenekleri de içeren hibrit bir yapı da bulunabilir. Bir diğer yol ise SOC’un tamamen kurum dışında yapılandırılmasıdır.
Özellikle yüksek miktarda veri işleyen büyük organizasyonlar, bu işlemler için karmaşık yasalara veya yönetmeliklere bağlı olan işletmeler, karmaşık siber saldırı risklerinden ötürü kendi içlerinde SOC oluşturmalıdır. Nispeten daha küçük ve maliyete daha duyarlı dijitalleşmiş kurumlar ise SOC hizmetini uzmanlaşmış kurumlardan destek hizmeti kapsamında almalıdır.
Kurumlar gerek iç kaynaklarıyla gerekse dışardan hizmet alım yoluyla SOC oluşturarak tehdit yönetimi faaliyetleri üzerinde ve kritik verilerinizin korunmasında daha fazla kontrol sağlayabilir ve küresel tehdit kalıpları gibi güvenlikle ilgili yetkinlikler geliştirebilir.
Tehdit ortamı, kuruluşun operasyonlarında hemen hemen her alanda risk teşkil ediyor. Aynı zamanda paydaşlar arasında dağılan ve gün geçtikçe bulut tabanlı platformlar, mobil ağlar gibi yapılar üzerinde büyüyen karmaşıklık ve yapılandırılmış ve yapılandırılmamış verileri yönetmek kuruluşlar için gittikçe daha zor hale gelmektedir.
En fazla saldırıya uğrayanlar en hassas kişisel müşteri verilerine sahip olan kuruluşlar olup, sağlık hizmetleri ortalama haftada 10.1 milyon saldırı, finans ve sigortacılık sektörü ise kabaca haftada ortalama 3.6 milyon saldırı ile karşılaşmaktadır.
Teknoloji, tehdit ortamındaki sürekli değişime, gerektiği kadar hızlı uyum sağlayamamaktadır. Burada sorulması gereken soru, kuruluşunuzun saldırıya uğrayıp uğramayacağı değil, ne zaman saldırıya uğrayacağıdır. Ve bu saldırı gerçekleştiğinde, kurumunuzun sahip olduğu güvenlik altyapısının tehdidin etkisini azaltmada, niteliğini ve ciddiyetini hızla saptamada ve yönetime iş riskini etkin biçimde yönetmede fark yaratıp yaratmayacağıdır.
Kurumsal güvenlik operasyon merkezi, tanımlı süreçler dahilinde çalışan ve tipik olarak bir ya da daha fazla şirket içi tesiste barındırılan bütünleşik güvenlik istihbaratı teknolojileriyle desteklenen uzman bir ekip olarak faaliyet gösterir. Genel güvenlik operasyonları ortamınız kapsamında faaliyet gösteren kurumsal güvenlik operasyon merkezi, özellikle siber tehditleri izlemeye, adli soruşturmalara, güvenlik olayı yönetimine ve raporlamaya odaklanır. Kurumsal güvenlik operasyon hizmeti kurum dışından alınsa bile hizmet kapsamının siber tehditleri izlemeye, adli soruşturmalara, güvenlik olayı yönetimine ve raporlamaya odaklanmalıdır.
Kurumsal güvenlik operasyon merkezleri oluşturma amaçlarını belirtmek gerekirse;
– Siber olaylara karşı hazırlık, müdahale ve siber tehditlerin iş altyapısını etkilemesinin önlenmesi,
– İş sürekliliğine ve verimli kurtarmaya olanak sağlanması ,
– Risklerin hızla ortadan kaldırılması için güvenlik duvarları, izinsiz giriş önleme sistemleri ve yönlendiriciler gibi kritik altyapı bileşenlerini yöneten grupların potansiyel tehditlerden haberdar olmasının sağlanması.
Kurumsal güvenlik operasyon merkezinin başlıca sorumlulukları ise;
• İzinsiz giriş olaylarının izlenmesi, analiz edilmesi, ilişkilendirilmesi ve üst kademelere iletilmesi,
• Güvenlik tehditlerindeki eğilimlerin ve bunların işletme üzerindeki potansiyel etkisinin belirlenmesi,
• Koruma, savunma ve müdahale için uygun tepkilerin geliştirilmesi,
• Kriz operasyonlarına ve iletişimlerine destek sağlanması,
Bunlar, genel olarak kuruluşlar için kritik önem taşıyan BT güvenliği işlevleridir, ancak bunların bir kurumsal güvenlik operasyon merkezi aracılığıyla yönetilmesi, özellikle katı hukuki ve uyumlulukla ilgili gereksinimlere tabi olan ve ele geçirilmesi durumunda yıkıcı sonuçlar doğurabilecek yüksek hacimli hassas verilerle uğraşan şirketler için avantajlı olabilir.
Buna bağlı olarak kurum içerisinde oluşturulacak olan bir kurumsal güvenlik operasyon merkezi, özellikle finans kuruluşları, büyük ilaç şirketleri ve devlet kurumları için uygun bir çözümdür. Bunula birlikte dışardan hizmet alımı yöntemiyle oluşturulacak olan bir kurumsal güvenlik operasyon merkezi, Küçük ve orta ölçekli işletmeler ve yoğun regülasyona tabi küçük ölçekli finans kuruluşları için daha uygun bir çözümdür.
Büyük ve kaynakları nispeten daha fazla olan kuruluşlar, kendi içerisinde kurumsal bir güvenlik operasyon merkezinin oluşturulup yönetilmesi ve 24 saat izleme yeteneğinin geliştirilmesi için gerekli olan insan kaynağını, teknolojileri ve fiziksel alanı daha kolay oluşturup organize edebilirken, küçük kuruluşlar bu yapıyı oluşturmakta zorlanabilmektedir. Küçük ölçekli şirketler nitelikli insan kaynağını sürekli olarak temin etmede ve teknolojiyi optimum kullanmada zorlanabilmektedir.
Kurumsal bir güvenlik operasyon merkezi genel olarak aşağıda belirtilen avantajları sağlayabilir:
• Kişiler, süreçler ve teknolojiler tarafından desteklenen ve güvenlik olaylarını daha etkili bir biçimde önleyen, azaltan ve çözen, 24 saat etkin bir operasyon yapısı
• Başka şekilde manuel keşif ve ilişkilendirme gerektirecek olan siber saldırılara, virüslere ve kötü amaçlı kullanıma ilişkin iyileştirilmiş görünürlük
• Güvenlik programınızın operasyon risklerini ve buna bağlı olarak iş risklerini nasıl azalttığına ilişkin daha iyi bir anlayış
• Giderek artan uyumluluk gereksinimlerinin karşılanmasına yardımcı olması için iyileştirilmiş analitik ve raporlama
• Güvenlik yapınızın mevcut durumuna ilişkin içgörü
• Harici hizmet sağlayıcıların tehdit akışları ve analitiği aracılığıyla olanak sağlanan daha kapsamlı bir tehdit görünümü
• İşletmenizin değişen risk yönetimi gereksinimlerinin karşılanması için güvenlik teknolojilerinizin güncellenmesinde daha fazla esneklik
• Kuruluşunuzun en değerli varlıklarından biri olan bilgilerinizi yönetmenize yardımcı olması için tehdit denetiminin daha iyi merkezileştirilmesi
• Güvenlik tehditlerinin önlenmesine ve etkisinin azaltılmasına yardımcı olarak maliyetlerin ve işletme markasının uğrayabileceği zararın azaltılması
Hemen her kuruluşun birtakım güvenlik operasyonları vardır ve hatta çoğu kuruluş, özel olarak tahsis edilmiş güvenlik operasyon ekibi oluşturmuştur. Ancak, bunlar genellikle optimum düzeyin altında faaliyet gösterirler ve gerekli tehdit koruması düzeyini sağlamazlar.
Bazı durumlarda güvenlik operasyonları, tehdit izlemenin ağ aygıtları için ilke yönetimi süreçleri ile bağlantılı hale getirilmesi amacıyla ağ operasyon merkezine entegre edilir. Buradaki risk, grubun yönetişim önceliklerinin tehditleri belirlemeye ve analiz etmeye yeterince ağırlık vermemesi olabilir. Ayrıca, odak noktası ağın yönetilmesi olduğundan, ağ bağlamının dışındaki tehditler konusunda boşluklar ortaya çıkabilir.
Özel olarak tahsis edilmiş bir güvenlik operasyon merkezi, tehditlerin hem operasyon bakımından hem de planlama bakımından işletmeyi nasıl etkileyebileceğine öncelik verebilir. Bu ayrıca, kuruluşun, tehditlerin gelişen yapısına ve işletmeyi nasıl etkilediğine ilişkin bilgileri daha kolay paylaşabilecek becerikli analistlerden oluşan bir ekibi bir araya getirmesine yardımcı olur. Mevcut operasyonun değerlendirilmesinde göz önüne alınacak önemli noktalardan biri, mevcut olgunluk düzeyidir. Mevcut operasyonların olgunluğu, kuruluşun korunması için gerekli olan tehdit yönetimi yeteneklerinin sağlanmasındaki etkinliğin bir ölçüsüdür. Olgunluk düzeyleri, artan olgunluk ölçeği doğrultusunda çok sayıda yetenek veya bileşen boyutu esas alınarak değerlendirilmelidir. Ölçülecek yetenekler veya bileşenler arasında;
• Teknoloji
• Süreç ve prosedürler
• Organizasyon
• Ölçüler ve
• Yönetişim
Bu alanların her birinin incelenmesi yoluyla, bunları ilk temel yeteneklerden optimize edilmiş bir ortama kadar, beş tanım genelinde derecelendirerek mevcut yapının sektördeki en iyi uygulamalara göre durumunu belirleyebilirsiniz. Bu alanlardan herhangi birindeki düşük bir derecelendirme, yönetimin daha fazla ilgi göstermesi ve yatırım yapması gerektiğini gösterir. Benzer şekilde, yetenekler ya da bileşenler arasındaki bir uyumsuzluk (birinin düşük, diğerinin yüksek olması), yatırım kaynaklarının verimsiz bir biçimde tahsis edildiğini ifade edebilir.
Kurumsal bir güvenlik operasyon merkezinin avantajlarını gerçeğe dönüştürmeniz, temel kurumsal güvenlik operasyon merkezi işlevlerine yönelik stratejiyi ne kadar etkili bir biçimde tanımladığınıza bağlıdır. Bu beş temel işlev;
• Güvenlik tehditlerinin izlenmesi
• Güvenlik olayı yönetimi
• Personelin işe alınması, elde tutulması ve yönetilmesi
• Süreçlerin geliştirilmesi, yönetilmesi ve optimizasyonu
• Yükselen tehdit stratejisi dir.
Kurumlar bu beş temel ilkeyi kendi içlerinde kuracakları organizasyon ile gerçekleştirebilecekleri gibi, Yönetim ve performans izleme faaliyeti kurum içinde kalmak üzere bu beş işlevi dışardan hizmet alımı yöntemiyle de gerçekleştirebilirler.