Bu yardımda Net Güvenlik Röportajı, Live Oak Bank’ta Ciso, Rich Friedberg, bankaların siber güvenlik çabalarını daha geniş siber yönetişim ve risk öncelikleri ile nasıl daha iyi hizalayabileceğini tartışıyor.
Bankacılık kurumları, siber güvenlik tamamen teknik veya uyumluluk sorunu olarak susturulduğunda sıklıkla azalır. Siber yönetişim, siber güvenliğin işletme çapında karar verme süreçlerine gömülü stratejik bir iş riski olarak muamele edilmesini gerektirir.
Bankalar, siber güvenlik çabalarını daha geniş yönetişim ve risk öncelikleri ile hizalamaya çalışırken genellikle nerede mücadele ediyor?
Bankalar, siber öncelikle bir teknoloji veya uyumluluk sorunu olarak görüldüğünde siber güvenliği daha geniş yönetişim ve risk öncelikleri ile hizalamak için mücadele edebilirler. Bu kopukluk çeşitli alanlardan kaynaklanabilir. Banka liderliği, siber güvenliği teknik veya uyum işlevi olarak görebilir veya genellikle kendileri olan CISOS, siber riskleri iş açısından iletmek için mücadele edebilir. Sonuç olarak, siber güvenlik, iş girişimleri, makro düzeyli risk kararları ve kurumsal risk uyumuyla ilgili stratejik konuşmalardan hariç tutulan bir siloda yönetilebilir.
Bu zorluklar, siber güvenlik ekipleri bir organizasyonda daha düşük konumlandırıldığında, teknoloji, mühendislik veya diğer işlevlere rapor vererek, görünürlüğü ve etkiyi sınırlandırdığında birleşir. Bununla birlikte, bu, siber liderliği kurumsal risk tartışmalarına ve stratejik planlama çabalarına entegre eden güçlü yönetişim süreçleri ve forumlar oluşturarak hafifletilebilir.
Etkili olabilmek için, siber güvenlik bir iş riski olarak ele alınmalı, şirketin en üstünde strateji tartışmalarına gömülmeli, kilit girişimlerde erken devreye alınmalı ve kurumsal risk yönetimi çerçeveleriyle tam olarak uyumlu olmalıdır.
Siber güvenlik stratejisinin, ürün geliştirmeden birleşme ve satın almalara kadar işletme çapında karar alma süreçlerine entegre olmasını nasıl sağlıyorsunuz?
Bu, özellikle siber güvenliği yönetişim süreçleriyle uyumlu hale getiren önceki tartışma bağlamında harika bir sorudur. Konumlandırma ile başlar: Siber güvenlik, yalnızca teknik kontrol veya uyumluluk işlevi değil, hem iş riski hem de iş sağlayıcı olarak görülmelidir. Bankalar güven üzerine kurulmuştur ve siber güvenlik riski yönetimi müşteri güvenini oluşturmak ve sürdürmek için temeldir.
Entegrasyon yönetişim ile başlar. Siber güvenlik, kurumsal çapında yönetişim ve risk yönetimine uygun şekilde gömüldüğünde, güvenlik liderleri doğal olarak strateji tartışmaları, ürün geliştirme ve birleşme ve satın alma karar verme sürecine dahil edilir.
Masaya girdikten sonra, siber güvenlik ekibi verimli bir şekilde etkileşime girmelidir. Riskleri tanımlamalı, iş açısından iletişime geçmeli ve tanımlanmış risk iştahları içinde faaliyet gösteren iş hedeflerini sağlayan çözümler geliştirmek için işletme ile işbirliği yapmalıdırlar. Amaç, işi güvenli ve güvenli bir şekilde başarılı kılmaktır.
Yalnızca sorunları vurgulamaya odaklanan siber ekipler, sınırlanma riski. Liderler, uygun roller ve yaratıcı risk azaltma yaklaşımlarının teşvik edilmesiyle ekiplerinin iş hedeflerini destekleyecek şekilde yapılandırılmasını ve kaynaklı olmasını sağlamalıdır.
Takımların hedefleri ve iletişim stratejileri, temel risk tanımlamasına göre riskle bilgilendirilmiş karar almayı ve işbirlikçi çözümlemeyi teşvik etmelidir.
Bir bankacılık ortamında siber yönetişimin etkinliğini ölçmek için önerdiğiniz KPI’lar veya metrikler nelerdir?
Bu soruyu seviyorum. Çok sık, siber güvenlik metrikleri ve KPI tartışmaları, yönetişim etkinliğini değerlendirmek yerine teknik kontrol izlemeye odaklanmaktadır.
En iyi metriklerin bir hedefe bağlı belirli bir soruyu cevaplamaya yardımcı olmak için tasarlandığına inanıyorum. Doğru KPI’lar, siber yönetişimi işletme stratejisine ve risk yönetimine entegre etme konusundaki olgunluk yolculuğunda kuruluşunuzun nerede olduğuna bağlı olacaktır. Yönetişimimiz var mı? Bu yönetişim etkili mi? Riskler yönetiliyor mu?
Temel düzeyde, basit bir metrik, siber güvenliğe sahip stratejik girişimlerin en başından beri gömülü yüzdesidir. Yönetişim olgunlaştıkça, kuruluşlar ne sıklıkta ve ne kadar erken risklerin tanımlandığını ve hafifletme veya çözümün oranı ve zamanlılığını izlemeye başlayabilir. Kuruluşlar metrikleri, riskleri proje başarısını sağlamaya yardımcı olacak şekilde ele almak için erken risk tanımlamasını ve işlevler arası işbirliğini teşvik edecek şekilde yapılandırmalıdır.
Ek yararlı metrikler şunları içerir:
- Politika istisnalarının sayısı ve yaşlanması
- Risk Toleransının dışında faaliyet gösteren projeler veya iş birimleri
- Siber risklerin veya yönetişim süreçlerinin gelir veya proje teslimatına bir engelleyici olarak belirtildiği örnekler
- Artan veri güvenliği, düzenleyici veya uyum riskleri getirebilecek yeni girişimler
KPI’lar ve metrikler, hem uygun yönetişimin var olup olmadığını ve süreçlerin karar vermeyi desteklemede, büyümeyi sağlama, güveni kolaylaştırma ve tolerans için riski yönetmede etkili olup olmadığını ölçmek için tasarlanabilir.
Bankalar, örtüşmelerden veya kör noktalardan kaçınmak için CISO, CIO, Baş Risk Sorumlusu ve Baş Uyum Görevlisi genelindeki rolleri ve sorumlulukları nasıl yapılandırmalıdır?
Bu alandaki 25 yılımda, CISO, CIO, CRO, CCO ve diğer liderlerdeki rolleri ve sorumlulukları yapılandırmanın mükemmel bir şekilde temiz bir yolunu görmedim. Her benzersiz kuruluşa özgü bu kararların nüansları vardır. Bir “doğru” yapı yoksa, çakışmalardan ve kör noktalardan nasıl kaçınırsınız?
Benim görüşüme göre, cevap iyi yapılandırılmış bir kurumsal risk yönetimi (ERM) programına sahip olmak ve bu liderler arasında güçlü işbirliğini teşvik etmektir. Özünde, risk yönetimi proaktif olarak iki temel soruyu cevaplamakla ilgilidir: “Ne yanlış gidebilir?” Ve “Bu konuda ne yapmalıyız?”
Bir banka yeni bir girişim başlattığında, bu lider grubu – ortalama siber, risk, uyum, yasal ve teknoloji – potansiyel riskleri değerlendirmek için birlikte çalışmalı ve bu soruyu cevaplamalı “Ne yanlış gidebilir?” Riskler belirlendikçe, en önemli adım, her risk için net hesap verebilirlik ve sahiplik atamaktır ve listedeki her öğenin hesap verebilir bir yönetici sahibine sahip olmasını sağlar.
Birçok durumda, risk mülkiyeti doğal olarak mevcut rollerle hizalanacaktır. Örneğin, CCO ile düzenleyici risk, CIO ile Teknoloji Dayanıklılığı veya CISO ile veri güvenliği. Ancak bazı riskler paylaşılabilir veya gri alanlara düşebilir. Bu durumlarda, spesifik atama, her bir riskin bir sahibinin atanmasını sağlamaktan çok daha az önemlidir. Bu netlik olmadan, riskler çatlaklardan düşebilir – ya da daha da kötüsü, herkes başka birinin topa sahip olduğunu varsayar.
Sonuçta, yapının mükemmel olması gerekmez ve organizasyondan organizasyona değişecektir. Risk, güçlü yönetişim, rol netliği ve işbirliği ve sahiplik kültürü ile etkili bir şekilde yönetilebilir.
Avrupa’da Dora gibi düzenlemelerin sıkılaştırılması ve ABD’deki OCC ve FFiec’ten incelemeyi arttırarak, bankalar siber yönetişimi proaktif olarak gelişen düzenleyici gereksinimlerle nasıl hizalayabilirler?
Avrupa’da Dora gibi gelişen düzenlemelerin önünde kalmak ve ABD’de OCC ve FFiec’ten artan incelemenin önünde, bankalar düzenleyici değişimi herhangi bir büyük iş girişimi gibi ele almalıdır.
Ortaya çıkan gereksinimleri aktif olarak izleyen ve analiz eden bir düzenleyici yönetim işlevi olmasını sağlayarak başlayın. Bu güncellemeler, tek başına ele alınmayan Kurumsal Risk Yönetimi (ERM) çerçevesi ve yönetişim süreçlerine entegre edilmelidir. Diğer yeni iş girişimlerinden farklı muamele görmemelidir. Yerleşik süreçler yoluyla düzenleyici değişiklikler getirerek, siber güvenlik, teknoloji, operasyon, yasal, uyum, sahtekarlık ve diğerlerinden doğru paydaşlar etki ve uygulama planlarını geliştirebilir.
Üçüncü taraf ve satıcı riskini dikkate almak da önemlidir. Bu düzenleyici gereksinimlerin çoğu bir bankanın dış servis sağlayıcılarına uzanmaktadır. Bankalar, satıcı risk yönetimi liderlerinin bu tartışmalara aktif olarak yer almasını ve üçüncü taraf gözetim çerçevelerinin, satıcıların bu gereksinimleri karşılayıp karşılamadığını denetlemek için güncellenmesini sağlamalıdır.
Nihayetinde, siber yönetişimin düzenleyici değişimle hizalanması, sadece teknik veya uyum kontrol listeleri değil, işlevsel işbirliği, erken katılım ve stratejik risk süreçlerine entegrasyon gerektirir.