Nisan 2023'teki Siber Temel Program Değişiklikleri İşletme Riskini Artıracak

NCSC CyberEssentials ( CE ), özetle, şirketleri güvenlik yoksulluğundan kurtarmayı amaçlayan, Birleşik Krallık hükümeti destekli bir programdır. Programa uymayı tercih edenler, en yaygın siber saldırılara karşı korumadan yararlanıyor. Kutunun etiketinde okuyabileceğiniz şey budur, ancak kutunun içinde çok daha fazlası var.

Programın iki çeşidi vardır: CE ve CE+ .

CE , daha sonra IASME tarafından incelenecek çevrimiçi bir anketin doldurulmasıyla gerçekleştirilen bir öz değerlendirmedir. Yanıtların yeterli kalitede ve netlikte olması durumunda firmaya sertifika verilmektedir. Şirket başlangıçta değerlendirmede başarısız olursa, düzeltmesi ve hiçbir ek ücret ödemeden yeniden sunması için kendisine birkaç gün süre verilecektir.

CE+, uygulamalı teknik doğrulamayı da içermesi nedeniyle CE'den farklılık gösterir; başka bir deyişle, gönderilen bilgiler sızma testi yoluyla bağımsız olarak doğrulanır.

Diğer bir artı ise, Birleşik Krallık'ta yerleşik ve cirosu 20 milyon £'un altında olan sertifikalı bir şirketin aynı zamanda değeri 25.000 £'a kadar olan Siber Sorumluluk sigortasına hak kazanması, yurtdışındaki şirketlerin ise sertifikayı tanıyan brokerların sigorta indirimlerinden yararlanabilmesidir.

Programı bir kez aşıldığında, bir işletmeye iş yapma konusunda daha yüksek düzeyde güven ve daha iyi bir itibar garanti eden bir engel olarak görürseniz, o yıl için haklı olursunuz.

Her iki çeşidin de ihmal edilebilir bir satın alma maliyeti vardır, ancak iş dünyası liderleri değerlendirmenin tamamlanmasına izin verecek kadar yeterli süreyi hesaba katmalı ve ayırmalıdır; bu önemsiz değildir. Ayrıca, sertifikasyon gerekliliklerini karşılamak için ihtiyaç duyulacak kültürel ve operasyonel değişikliklere de işgücünü hazırlamalıdırlar.

Hazır olsun veya olmasın, güvenlik beyin yıkama serüvenine bir kez girişildiğinde, işletme konuyu daha derinlemesine anlayacak ve gelişmiş bir güvenlik duruşuyla ortaya çıkacaktır.

Biraz eleştiri

1- Daha fazlasını isteyenlerden

Bazı güvenlik profesyonelleri, programın değerlendirme bulgularına göre farklı gri tonları sunacak şekilde gelişmesini istiyor; bu, yalnızca "sertifikalı" damgasından daha ayrıntılı bir sınıflandırma sunması gerektiği anlamına geliyor.

Bu eleştiriyi sosyal medyada gözlemledim ve destekçilerini zaten bariyerin diğer tarafında duran ve tedarik zinciri güvenliği değerlendirmelerinde durum tespiti yorgunluğu yaşayanlar olarak gruplandırdım. Topu IASME'ye verme isteklilikleri potansiyel olarak şirketlerinin maliyetlerini düşürecek ve alınan tek tip yanıtları azaltacaktır. IASME'nin bunu kabul edip etmeyeceğini merak ediyorum.

Biraz daha düşününce, kendilerini diğer sertifikalı işletmelerden farklılaştırmayı arzulayanların çok sevimli varlığını da kabul ettim. Sertifika almak için işin kolayına kaçmadıkları ve başkalarının bunu yaptığına inandıkları için ya da X'e ulaşmanın belirli yollarının aslında NULL değer sağladığını bildikleri için veya hatta durumun böyle olmadığı halde uyumluluğu bildiren şirketlerin olduğunu bildikleri için olabilir.

Bununla birlikte, ben kendi adıma, programın önerilen bu mutasyonunu onaylamıyorum, çünkü sertifikalı şirketlerin sayısı, sertifikasyonu yoksulluğu değiştirmek yerine artık bir amaca hizmet etmeyecek kadar yüksek olana kadar sürdürülmesi gerektiği görüşündeyim. maratonun ortasında açlık görevi.

Benim mantığım, güvenlik yoksulluğunu deneyimlemiş olmamdan ve bir işletmeyi bu durumdan kurtarmak için gereken çaba düzeyini tanıyabilmemden kaynaklanıyor. Hal böyleyken, her yıl yeniden sertifika almanın ilk kez yapılan kadar heyecan verici ve dönüştürücü olmayacağını anlasam da, birkaç yıl sonra bir şirketin sahip olduğu tek güvenlik sertifikası olarak kalırsa kaşlarımı çatarım…

2- Daha fazlasına ihtiyacı olanlardan

Öte yandan, planın 2014'ten bu yana elde ettiği başarıya rağmen, yetersiz bilgi konusunda şikayetler ve çeşitli konularda daha fazla netlik sağlanması yönünde talepler almaya devam ediyor. Benim de sorularım vardı.

Bununla birlikte, programın hedeflenen geniş kitlesi göz önüne alındığında, bu geri bildirimin kaçınılmaz ve beklenen olduğunu düşünüyorum, çünkü çok az şey yapılabilir, ancak yalnızca farklı bir izleyici kitlesine kısa bir mesaj iletirken bile büyük düzeyde yankı uyandırmayı umabiliriz.

Ancak bu önemli ve tekrarlanan eleştiri, yoksulların ve yanlış yola sapmışların yardıma uzandığını ve daha iyisini yapmak istediklerini açıkça vurguluyor! Ancak aynı zamanda çıtayı yükseltmenin gerçekten idealin altında veya erken olup olmadığını da sorguluyor.

3- Katılmayanlardan

Ayrıca programın bazı ayrıntılarına itiraz eden bazı güvenlik profesyonelleri de var. Tüm güvenlik profesyonellerinin sorunun içeriğini kolaylıkla kavraması gerektiğinden, burada dikkatli olunmalı ve duraklatılmalıdır. Bu nedenle, birisi etik dışı uygulamalara devam etme niyetiyle BAĞIRMAYA başladığında, diğerleri bunun arkasındaki gerçek nedeni sorgulayacak, her zaman aynı temel nedene sahip olacak: finansal maliyetlerin yokluğundan ziyade finansal maliyetler. risklere ilişkin bilgi.

Bunun yalnızca belirlenen maliyetin ağırlığının, elde edilen ödünleşimlerle eşleşmemesinden kaynaklandığına inanıyorum. Bununla birlikte, burada yavaş bir süreç olacak ve herhangi bir müdahaleden önce özel tehdit modelleme, risk tanımlama ve nicelik belirleme ile daha iyi hizmet edecek ortak bir aydınlanma durumuna izin verecek şekilde eğitim hedefiyle savaşların birer birer yapılması gerektiğinin farkındayım. tedavi (kabul, aktarım, hafifletme, kaçınma).

Her ne kadar şu ana kadar etki alanım ve görünürlüğüm nedeniyle ortaya çıkan zorlukları onaylamamış olsam da, programın daha fazla değer sunma ve eğer Y'nin ihlal edilmesi durumunda hangi yasaların ihlal edilebileceğinin sıralanması şeklinde belgelendirmeye istekli olanlara yardımcı olma fırsatını da kabul ediyorum. ve Z yerinde değil. Bunlar Birleşik Krallık'a özgü olsa da, içgörü yararlı olabilir ve direnci azaltabilir.

İşletmenize zarar verebilecek yaklaşan değişiklikler

Önerilen değişikliklerden ikisini sorguluyorum, çünkü diğerlerinin tümü şu anda iyileştirme gibi görünüyor, ancak yeniden ziyaret etmekte özgür olmayı seviyorum.

1- Sistem artık kullanıcı cihaz modellerinin raporlanmasını gerektirmeyecek

IASME'nin çok sayıda varlığa sahip işletmelerden sürecin ne kadar yavaş ve sancılı olduğuna dair şikayetler aldığını hayal edebiliyorum. Ben de oradaydım, ancak bu şikayeti yapan herhangi biri, şirketin söz konusu varlıkları nasıl izlediği, kontrol ettiği ve değiştirdiği ve şirketin güvenliğini artırmak için doğru olanı yapmanın bir parçası olduğu konusunda acil soruları gündeme getiriyor. Bu nedenle değişikliğin nedeni olarak bunu kabul etmiyorum.

Bu değişikliğin, çalışma seviyelerini düşürmek isteyebilecek ve dolayısıyla daha esnek bir sunuma izin vererek çıtayı düşürmeye istekli olabilecek IASME ve muhtemelen CE+ değerlendirme şirketlerinin lehine olduğuna inanma eğilimindeyim. Değerlendirilen kuruluşun büyüklüğüne bağlı olarak harcanan zamanın, karşılanmayan maliyetlere yol açabileceği anlamında bu, gerçeğe daha yakın hissettiriyor.

Ancak bana göre, farklı modeller farklı destek yaşam döngülerine sahip olabileceğinden ve ilişkili farklı işletim sistemlerine ve donanım yazılımlarına sahip olabileceğinden, bu olumsuz bir değişiklik.

Bir örnek olarak şunu bildirebiliriz: Belirli modeller halihazırda farklı güvenlik gereksinimlerini destekleyemediğinde "yalnızca Mac'leri kullanıyoruz". Bu, gönderilen bilgilerin anlaşılmasını zorlaştırır.

2- Şema yalnızca yönlendirici ve güvenlik duvarı ürün yazılımı raporlarını gerektirecektir

Bu beni şaşırtıyor. Şirketlerin wifi tekrarlayıcıları var ve aygıt yazılımına sahip olanların, aygıt yazılımına sahip sunucuları ve diğer tüm cihazları var… hepsi aygıt yazılımına sahip.

Burada bu tür bilgileri paylaşmayan sanallaştırma ve bulut sağlayıcılarına işaret ediyorum. Ve eğer yakınsam, maddi ve maddi olmayan varlıklar için ayrı gerekliliklere sahip olmanın daha mantıklı olup olmayacağını IASME'ye sorardım.

Bir cihazda hangi donanım yazılımının kullanıldığını bilmemek, varlığın ihtiyaç duyduğu güvenlik düzeyine ilişkin karar vermeyi olumsuz etkiler. Yani bu, daha az güvenliğe yol açan başka bir olumsuz değişiklik.

Daha az kontrol daha iyi değil, daha az kontrol en kötüsüdür. En azından bu iki durumda.

Sertifikanın değerinin düşürülmesi doğru değil.

Okuduğunuz için teşekkürler. Bu değişiklikler hakkında ne düşünüyorsunuz? Aşağıdaki yorumlarda bize bildirin!