NIS2 uyumluluğunu sağlamak için kimlik güvenliği çok önemli bir rol oynar. On gereksinimden beşi bununla karşılanabilir. Kimlik güvenliği bu nedenle AB'nin belirlediği en iyi uygulamalar arasında da önemli bir araç olarak anılıyor. Yelken Noktası.
17 Ekim 2024, NIS2 politikasının geçerlilik tarihidir. Eğer şirketler henüz uygulamaya başlamadıysa şimdi tam zamanı.
Bilgi sistemleri için risk analizi ve güvenlik
Bilgi sistemlerine yönelik güvenlik konsepti, kimliklere ilişkin kuralları içermelidir;
- genel hesapların aksine adlandırılmış hesapların kullanılması;
- ayrıcalıklı hesapları kontrol etmek;
- en az ayrıcalık ve sıfır güven ilkelerinin uygulanması;
- Kuruluş için tehdit oluşturan, riskli erişime sahip kişilerin proaktif olarak belirlenmesi.
Görevler Ayrılığı (SOD), iş risklerinin kontrol edilmesinde ve önlenmesinde de önemli bir rol oynar. Bu kuralların etkinliği riskin azaltılması açısından ölçülmelidir. Kimlik güvenliği, BT erişiminin gerçekliğine ilişkin içgörü ve politika sapmalarını tespit edip düzeltmeye yönelik araçlar sağlar.
Tedarik zinciri güvenliği
NIS2'nin bir diğer önemli yönü tedarik zinciri güvenliğidir. Şirketler, tedarikçiler, satıcılar, ortaklar, yükleniciler ve diğerleri gibi çalışan olmayan kişilerin kimliklerine yönelik saldırılar nedeniyle dolaylı olarak giderek daha fazla tehdit altındadır. Bir tedarikçiye yapılan başarılı bir saldırı, şirketin tehlikeye girmesine ve bazı durumlarda artık harekete geçememesine neden olabilir. Bu tür tedarik zinciri saldırıları, kötü amaçlı yazılım veya fidye yazılımı saldırılarından daha yaygın hale geliyor ve çok ciddiye alınması gerekiyor. Hizmet sağlayıcıların, tedarikçilerin, danışmanların veya ortakların kimlikleri de dahil olmak üzere tüm kimliklerin yönetilmesi ve korunması kritik öneme sahiptir. Yalnızca ihtiyacınız olan kaynaklara doğru zamanda erişebildiğinizden emin olmak her zaman önemlidir.
Risk yönetimi önlemlerinin etkinliği
Kuruluşlar genellikle güvenlik önlemlerinin etkinliğini değerlendirmede veya bu önlemlere rağmen devam eden güvenlik açıklarını belirlemede zorluk yaşarlar. Pek çok kişi, rol değiştirdiğinde veya şirketten ayrıldığında çalışanlarının erişimini derhal iptal etmekte zorlanıyor. Avrupa Komisyonu, kritik altyapı operatörlerinin sıfır güven stratejileri ile kimlik ve erişim yönetimi uygulamasını tavsiye ediyor. Bu tür yaklaşımlar, yetkili tarafların yalnızca en gerekli sistemlere ve mümkün olan en düşük haklara erişebildiğini ima ediyor. Bu, iş ortağı ve yüklenici erişimini yönetmek için gerekli olabilir.
Temel siber hijyen
Sağlam bir siber hijyen sağlamak için şirketlerin tüm donanım ve yazılımlarına ve bunlara kimlerin erişebileceğine ilişkin genel bir bakışa sahip olması gerekir. Buna şifre hijyeni de dahildir. Çalışanların tüm hesaplarda aynı parolayı kullanmasını önlemek için şirketler kimlik yönetimine güvenebilir: Bu, sürekli büyüyen ve değişen bir BT ortamına otomatik erişim sağlarken potansiyel güvenlik ve uyumluluk risklerini de azaltır.
NIS2 politikası ayrıca çalışanların, ortakların ve şirket içindeki herkesin siber güvenlik konusunda eğitilmesini ve duyarlı hale getirilmesini gerektirir. IDC'nin NIS2 uygulamasına ilişkin raporuna göre, Avrupalı şirketlerin dörtte üçünün (yüzde 72) hâlâ siber güvenlik eğitimlerini sunma konusunda çalışmaları gerekiyor.
Erişim kontrolü ve varlık yönetimi
NIS2 kılavuzu aynı zamanda “personel güvenliğine” de atıfta bulunmaktadır. Bu çok geniş bir alan ama aynı zamanda kullanıcıları yönetmenin siber güvenliğin önemli bir yönü olduğunu da gösteriyor. Kullanıcıları hedeflemek, siber suçlular için merkezi bir yöntemdir. İnsan ve makine kimliklerinin rol tabanlı erişim kontrolü, ilgili kullanıcının rolü için farklı kaynaklar ve yetkilendirme düzeyleri kullanır. Bu, şirketlerin yapay zeka ve makine öğrenimi kullanılarak politikaların proaktif olarak geliştirildiği ve uygulandığı bir kimlik yönetimi yaklaşımını benimsemesine olanak tanır. Aynı zamanda hem kullanıcıya hem de erişilen kaynağa ilişkin bağlam da dahil edilebilir. Bu, BT ve güvenlik ekiplerinin yönetim yükünü basitleştirir ve siber suçlular bu güvenlik açıklarını istismar etmeden önce güvenlik açıklarının azaltılmasını sağlayabilir.
"Kullanıcı erişimine ilişkin gerçek zamanlı bilgiler, kimlik güvenliği duruşuna ilişkin gelişmiş göstergeler oluşturabilir. Bu özellikle sahipsiz veya paylaşılan hesaplar, devre dışı bırakılmamış hesaplar veya yüksek ayrıcalıklara sahip olanlar için geçerlidir. Ayrıca, şirkete zarar verebilecek kullanılmayan haklara ve erişim hakları birikimlerine de yardımcı oluyor" diyor SailPoint Baş Kimlik Stratejisti Klaus Hild. "Bu, yüksek riskli durumların tespit edilmesine ve iyileştirici eylemlere öncelik verilmesine olanak tanıyor. Yapay zekanın kullanılması, iyileştirici eylemler için ek bilgiler ve özel öneriler oluşturulmasına yardımcı olur. Sonuç, önemli ölçüde daha kısa yanıt süreleri ve genel olarak daha yüksek bir güvenlik düzeyidir. Erişimin gerçekliği hakkında daha fazla şey bilinirse daha iyi BT güvenliği kararları alınabilir."
Daha fazlası SailPoint.com'da
SailPoint Hakkında
SailPoint, modern kuruluşlar için kimlik güvenliğinde liderdir. Kurumsal güvenlik, kimlikler ve bunlara erişimle başlar ve biter, ancak kimlikleri yönetme ve güvence altına alma yeteneği artık insan yeteneklerinin çok ötesindedir. Yapay zeka ve makine öğrenimi ile desteklenen SailPoint Kimlik Güvenliği Platformu, doğru kimliklere ve kaynaklara doğru zamanda doğru düzeyde erişim sağlar.