Menkul Kıymetler ve Borsa Komisyonu'nun siber ifşa kurallarını uygulamaya koyması sayesinde Yönetim Kurulu'nun siber güvenlik hazırlığı daha fazla önem kazanıyor. İşletmeleri hedef alan siber tehdit riski artıyor ancak siber olaylara yönelik potansiyel cezalar da artıyor.
Ancak işletmelerin ele alması gereken bir bilgi açığı var.
Kurumsal Yönetim Enstitüsü ve Yönetim Kurulu İstihbaratının ortak yaptığı bir anket, katılımcıların yaklaşık %60'ının son 12 ayda siber dayanıklılık konusunda yeterli eğitim aldıklarını düşünmediğini ortaya çıkardı.
Ankette, siber eğitimin daha az olduğu kuruluşlarda yönetim kurulunun, teknoloji stratejisi ve konularda yönetime finansal performans gibi diğer konularda olduğu kadar sert bir şekilde meydan okuma ihtimalinin daha düşük olduğu ortaya çıktı. Kurumsal Yönetim Enstitüsü, rapor için özel şirketlerin, devlet destekli kuruluşların ve hayır kurumlarının başkanları, icracı olmayan direktörleri ve icra direktörleri de dahil olmak üzere 250 katılımcıyla anket yaptı.
ISACA küresel yönetim kurulunda uzun yıllar çalışmış deneyimli bir kurul yöneticisi olan Rob Clyde'a göre, yönetim kurulu siber güvenlik eğitimi eksikliğinin, yönetim kurulu üyelerinin siberle ilgili zor soruları sormakta başarısız olmasına nasıl yol açabileceğini gösteriyor.
Clyde, bunu yönetim kurulu üyelerinin mali geçmiş düzeylerine veya CFO olup olmadıklarına bakılmaksızın mali tabloları okuyabilmelerine ve iyi mali sorular sorabilmelerine benzetiyor.
“Siber söz konusu olduğunda da aynı şey geçerli. Clyde, her kurul üyesinin siber konusunda da aynı derecede yetkin olması, soru sorabilmesi ve diyaloğa katılabilmesi gerekiyor” dedi.
“Aynı zamanda yönetim kurulunun, şirketin siber güvenliğe ilişkin yönetim perspektifinden iyi bir iş çıkarıp çıkarmadığını değerlendirmesini de zorlaştırabilir” dedi.
“Siber farkındalık eksikliği aynı zamanda yetersiz açıklama yapılmasına da yol açabilir, bu da soruşturmalara ve davalara yol açabilir” dedi.
Bu, bir olayın meydana gelmesi durumunda, siber farkındalığı daha güçlü olan kuruluşların gerekli özen standardını karşıladıklarını gösterebilecek güçlü bir temele sahip oldukları anlamına gelir.
Peki ya CISO'lar sorumluluk?
Yönetim kurulunun siber güvenlik konusundaki bilgi birikimi incelenirken, CISO'lar kendilerini zor durumda buluyor ve bir şirketin güvenlik eksikliklerinden potansiyel olarak sorumlu oluyor.
CISO'lar gibi durumlarda görüldüğü gibi artık önemli kişisel risklerle karşı karşıyayız Über Ve SolarRüzgarlar SEC'in güvenlik şeflerine karşı yasal işlem başlattığı yer. Birincil risk, hem kişisel hem de mesleki sorumluluktur. CISObuna göre Kayne McGladreyalan CISO H'dehiper geçirmez.
Ancak sorun şu ki, zayıf siber güvenlikten kaynaklanan ticari risklerin farkında olmayan yönetim kurulları, CISO Direktörler ve Memurlar sigorta poliçesinde. “Bu ortaya çıkıyor CISO'lar McGladrey, Cybersecurity Dive'a şunları söyledi:
Yönetim kurulları, yanıtlarını iyileştirmeyi hedefliyor Siber Clyde'a göre, olayların yönetim kurulu yöneticileri için sürekli eğitime yatırım yapmaya istekli olması ve bunun için belirli bir miktar para ayırması gerekiyor. Ayrıca yöneticilerin ilgili eğitimi tamamlaması yönünde bir beklenti olup olmadığına da karar vermeleri gerekiyor.
Yönetim kurullarının çoğu yılda en az bir kez siber güvenlik konusunda derinlemesine bir inceleme yaptıklarını söylese de bazıları bunun yeterli olmadığını belirleyebilir ve bu durumda bunu her üç aylık kurul toplantısında bir gündem maddesi olarak veya değerlendirilmek üzere gerektiğinde daha sık eklemeleri gerekir. Clyde.
“Bu, yönetim kurulu değerlendirmeleri sırasında boşlukların nerede olabileceğine ve belirli kurul yöneticilerinin geçmişlerine bağlı olarak nerede daha fazla veya daha az eğitime ihtiyaç duyabileceğine bakıldığında tartışılabilir” dedi.
“Özellikle başkan, bu konuda yeterli bir anlayış olduğundan emin olmak için yönetim kurulu üyeleriyle birlikte çalışarak burada önemli bir rol oynuyor.”
Yönetim kurulunun raporlama yapısının iyileştirilmesi
Clyde'a göre, SEC gereklilikleri göz önüne alındığında işletmeler, CISO'nun organizasyon içinde daha üst düzeylerde raporlama yapması ve işletmelerin siber güvenlik ve teknolojiyle ilgili yaptığı açıklamalara imza atmak için kendisine danışılması gereken bir döneme giriyor.
Ancak sektör araştırmaları birçok kuruluşta hâlâ CISO'nun CIO'ya, CTO'ya ve hatta bazı durumlarda CFO'ya rapor verdiğini ortaya koyuyor.
Yönetim kurulunun siber güvenliğe öncelik verdiği kuruluşlardaki siber güvenlik ekiplerinin bir CISO'ya rapor verme olasılığı daha yüksek. ISACA'nın Son Siber Güvenliğin Durumu raporu.
Clyde, “CISO'nun yönetim kurulunun siber hazırlığı konusunda çok önemli bir rolü var” dedi.
CISO'yu yönetim ekibinin bir üyesi haline getirerek, düzenli olarak kurula rapor vermelerine ve soruları yanıtlamalarına olanak tanır.
“Günümüzün CISO'sunun yalnızca bir güvenlik uzmanından daha fazlası olması ve aynı zamanda risk yönetimi ve işletmeyi de anlaması gerekiyor” dedi.
Clyde ayrıca iç denetim yöneticisinin, kurum için BT denetimini de kapsayan bir dış denetimin olmasını sağlamayı da içeren bir rolü olduğuna inanıyor. “Denetim komitesi ve yönetim kurulu, şirketin karşı karşıya olduğu potansiyel riskler de dahil olmak üzere BT odaklı denetim bulgularını net bir şekilde anlamalıdır” dedi.
Bu düzenlemenin bir parçası olarak CISO, BT denetiminde ortaya çıkan siber eksikliklerle ilgili olarak yönetim kurulunun ne bilmesi ve yapması gerektiği veya kuruluşun emsallerine kıyasla daha iyi performans gösterebileceği alanların olup olmadığı hakkındaki sorulara yanıt vermelidir.
“Denetim tarafı CISO'dan ayrı olsa da, denetim raporu ve yönetim kuruluyla birlikte atılacak sonraki adımlar hakkında tavsiyelerde bulunabilmeleri gerekiyor. Hukuk departmanı ve baş risk yetkilisi de olaya dahil olabilir ve gerekli açıklamalar konusunda yönetim kuruluyla birlikte çalışması gerekebilir” dedi.
İleride evrim
McGladrey şunu gördü CISO Rol, bugünkü konumuna gelene kadar değişen sorumluluklara yanıt olarak gelişir. “Modern CISO Yönetim kurullarına diğer iş birimlerine nasıl tavsiyede bulunacaklarını açıklama konusunda becerikli olmalıdır. siber ile ilgili Riskleri değerlendirin ve iş birimi liderleriyle ortaklıklarını açıkça tartışın” dedi.
Mevcut iklimde bir CISO'lar Sorumluluk, temel risk göstergelerini etkili bir şekilde iletmektir.
Örnek olarak, çözülmemiş güvenlik açıklarının sayısını üç ayda bir raporlayan bir CISO'nun tartışmaya pek bir katkısı olmaz. Buna karşılık, bir CISO Hizmet düzeyi anlaşması (SLA) istisnalarını ve bunların kurumsal risk toleransı üzerindeki etkilerini tartışan kişi önemli bir değer katıyor.
“Kurullar anlıyor SLA'lar ve risk teknik açıklardan daha iyidir” dedi.
Yönetim kurullarının, doğru soruları sorduklarından emin olmak için iş risklerini azaltmada kontrollerin etkinliği ve kurumsal riski artıran risk veya hizmet düzeyi istisnalarını anlama konusunda gerçek zamanlı verilere sahip olmak anlamına gelen eyleme geçirilebilir bilgilere ihtiyacı vardır.
“Yönetim kurulunun odak noktası, siber güvenlik programlarının iş risklerini azaltmadaki etkinliği hakkında bilinçli sorular sormak olmalı” dedi.