Yazan: Tyler Farrar, CISO, Exabeam
Bilgi Güvenliği Baş Sorumlusu (CISO), dijital güvenlik alanında en öne çıkan ve iyi maaş alan pozisyonlardan biridir. CISO olarak kuruluşunuzun verilerinin korunması konusunda birincil sorumluluğu taşıyorsunuz, iş stratejisinde önemli bir rol oynuyorsunuz ve şirketin geleceğini güvence altına almaya yardımcı oluyorsunuz. Bazıları CISO rolünü siber güvenlik alanında kariyerin zirvesi olarak görüyor. Bir SOC ekibinin giriş seviyesi üyeleri olan güvenlik analistleri, tehditleri tespit etme ve ihlalleri önleme konusundaki zorluklardan ve ödüllerden büyülenen, genellikle üst düzey yöneticilerde bu rolü arzularlar.
Ancak komuta zincirinde yükseldikçe CISO rolünün göründüğü kadar büyüleyici olmadığını hemen keşfederler. Kuruluşların yönetişim ve düzenleme gerekliliklerine uymasını sağlamak için stres ve yoğun baskıyla dolu olan CISO’ların neredeyse yarısı, günümüzde işletmelerin karşı karşıya olduğu en kritik tehditler olarak insan hatasını ve siber güvenlik anlayışı eksikliğini belirtiyor.
İşin zorlu talepleri ve baskıları CISO’ların %90’ını geceleri ayakta tutuyor ve birçoğu kariyer değişikliği yapmayı tercih ediyor. Gerginliğin büyük bir kısmı uzun çalışma saatlerine ve güvenlik profesyonellerinin tüm tehditleri ortadan kaldırabileceğine dair yanlış düşünceye bağlanabilir. Yanlış hizalanmış beklentiler, hataların kabul edilemez olduğu bir korku ve suçlama kültürüne yol açabilir. Bu, CISO’ların bir güvenlik ihlalini gerektiği gibi ele almadıkları kanıtlanırsa artık federal suçlamalarla karşı karşıya kalmalarının bir sonucudur. Güvenlik olayları nedeniyle CISO’ları günah keçisi ilan etmek yeni değil; birçoğu bu tür olaylardan dolayı kamuoyunun suçlanmasına veya işten atılmasına maruz kalıyor. Ancak federal hükümetin aldığı yeni hesap verebilirlik önlemleri, CISO’nun işini daha da zorlaştırdı.
Başarısızlık baskısı ve bunun kariyer sonuçları nedeniyle CISO rolünü üstlenmekte tereddüt edenler için, sağlıklı bir bakış açısının başarısızlığın gerçekleşeceğini kabul etmekle başlayacağını savunuyorum. Siber güvenlikte bir olayı yönetmek, olup olmayacağı değil, ne zaman olacağı meselesidir. En büyük fark nasıl hazırlandığınızdır.
En iyi hazırlanmış planlar…
Bir kuruluşu sürekli mali veya itibar kaybı tehdidinden korumak zorlu bir iştir. CISO’lar ayrıca, siber riski azaltmak için tüm makul önlemleri almalarına rağmen, bazı tehditlerin her zaman bir işletmeye sızıp zarar vereceği korkusuyla yaşıyor.
Akıllı güvenlik uzmanları, tehdit aktörlerinin pusuya yatmadığını biliyor. En deneyimli güvenlik profesyonellerinin bile tahmin edilemez kalması için taktiklerini ve yaklaşımlarını sürekli değiştiriyorlar. Şunu düşünün: Bir olay müdahale planı oluşturmak için zaman ve çaba harcadınız ve ekibiniz, ihlal meydana geldiğinde ne yapacaklarını bilecekleri konusunda size tam bir güven verecek şekilde eğitildi.
Ancak ihlal meydana geldiğinde olay müdahale prosedürlerinin yeterli olmadığını keşfedersiniz ve ihlalin firma üzerindeki etkisini hesaba katmakta başarısız olursunuz. Bu durumda, hiçbir eğitim veya uygulama, SOC personelinizi güvenlik olayının sert gerçekliğine yeterince hazırlayamaz ve bir ihlal sırasında meydana gelen her şeyi, özellikle de buna eşlik eden ciddiyeti ve yoğunluğu yakalamanın hiçbir yolu yoktur.
…fareler ve insanlar çoğu zaman ters gider
Ünlü sözün de belirttiği gibi, dikkatli plan yapsanız bile bir şeyler ters gidecektir. Bu nedenle insan hatasını azaltmak siber güvenlik açısından çok önemlidir. CISO’ların yarısından fazlasının insan hatasını kurumlar için en büyük tehdit olarak gördüğü göz önüne alındığında, kuruluştaki herkesin siber güvenlikten sorumlu olmasını sağlamak, veri gizliliğini ve güvenliğini korumak için etkili bir yaklaşım olabilir.
Siber riskleri proaktif bir şekilde tanımlamak veya önlemek için birlikte çalışmak, kuruluşların güvenlik operasyonlarının ve tehdit tespit ekiplerinin potansiyel sonuçlarına ilişkin farkındalıkla iyi incelenmiş bir planlama aşaması geliştirmesiyle sonuçlanabilir. Bu, uygun fonksiyonel ekiplerin oluşturulmasını ve herkesin görevlerini anlamasını sağlamayı içerir. Yedeklemeleri test etmek ve kritik operasyonların yedeklerden nasıl kurtarılacağını anlamak, olay müdahale planlarının oluşturulmasını ve siber güvenliğin insan hatası boyutunun en aza indirilmesini neredeyse garanti edebilir.
Risk bilincine sahip bir kültürde var olmak
Birçok özel sektör firması, her çalışana risk yönetimi eğitimini ekleyerek risk farkındalığını şirket kültürüne dahil ediyor. Tüm sorumluluğu CISO’ya yüklemek yerine, firma genelinde ortak hesap verebilirlik yaratın. Değişen koşullara uyum sağlamak ve uyum sağlamak çok önemlidir.
Yeni tehlikelere karşı önlem almak üzere ne kadar çok personel eğitirseniz, şirketin bir güvenlik açığına hazırlıksız yakalanma olasılığı da o kadar azalır. Başlangıç olarak bir CISO, çalışanlara temel risk anlayışını ve dilini sağlamalıdır. Riski yönetme ve olası sorunları belirleme süreçlerini açıklayın. Daha sonra, çalışanlara riskleri raporlamak için iyi tanımlanmış bir mekanizma sağlayın; böylece potansiyel sorunlar sorun haline gelmeden önce onları uyarma olasılıkları daha yüksek olacaktır. Son olarak, riskle ilgili bilgileri elde etmek, şeffaflığı artırmak ve kuruluş genelinde risk bilincine sahip bir kültürü teşvik etmek için teknolojiyi kullanın.
İletişim, üst kademeye iletme ve dokümantasyon
İletişim ve yetki devri, CISO için risk yönetiminin en önemli unsurlarıdır. Bir kriz durumunda, CISO’lar teknik olay müdahalesine liderlik etmek, işlevsel ekipler oluşturmak, işleri devretmek ve olayın taleplerini karşılamak için kaynakların ne zaman yeniden kullanılması gerektiğini anlamak üzere çağrılır. Kriz yönetimiyle ilgili zor kararların alınması gerektiği anlayışıyla Kriz Yönetimi ekipleriyle iletişime geçmek ve iş etkisini tartışmak kritik öneme sahiptir. Bir kriz anında CISO’nun tarafsız duyguları kullanarak tutarlı bir şekilde iletişim kurması gerekir. Bunu yapmak, kararların sağlam olmasını ve aceleci olmamasını sağlamaya yardımcı olabilir. Çeşitli departmanlardan paydaşlardan oluşan bir risk yönetimi ekibi oluşturmak, iletişim silolarını önleyebilir.
Bu, risk bilgilerini merkezileştirme, ortak bir dil oluşturma ve güvenlik açıklarını ele almak için iletişimi kolaylaştırma konusunda teknolojiyi bir yardım olarak kullanmak için iyi bir zamandır. Son olarak, süreç boyunca belgelerin bulunduğundan emin olun. Tüm kararları belgelemek için bir katip görevlendirmek faydalıdır ve uygun kişilerin uyarılmasıyla üst kademeye iletme sürecinin takip edilmesini sağlayabilir. Bu, CISO’lara bir kontrol ve denge çerçevesi sağlar ve müdahale sürecinin sorumluluğunu paylaşır.
Yeni bir oyun planı tasarlayın
Şu anda ihlallerin önlenmesine çok fazla önem veriliyor ve tespite yeterince önem verilmiyor. Aslında birçok ihlal, siber güvenliğin yetersiz şekilde önlenmesinden değil, kuruluşun zayıf algılamasından ve siber güvenlik bilgisi eksikliğinden kaynaklanmaktadır. Kuruluşlar, saldırı yüzeyini daha yönetilebilir bir düzeye indirmek gibi önleyici tedbirlere odaklanabilir. Bunun, olay müdahalesi ve kriz yönetimi ile dengelenmesi gerekir.
Siber güvenlik profesyonelleri ve özellikle CISO, rollerine başarısızlıktan ziyade fırsat merceğinden yaklaşmalıdır. Her siber güvenlik olayı, önceki hatalardan ders alma, siber güvenlik politikasındaki potansiyel zayıflıkları keşfetme ve kuruluşun gelecekteki saldırıları önleme ve tespit etme konusunda yardımcı olacak daha etkili önlemler geliştirme fırsatı sağlar. Bu sadece başarılı olma niyetiyle bir plan yapmakla ilgili değil, daha ziyade başarısızlıkların meydana gelme ihtimalini kabul etmekle ilgilidir; ancak planları ayarlamaya hazır olduğunuzda, her türlü zararı en aza indirecek şekilde iyi bir konumda olacaksınız.
yazar hakkında
Tyler Farrar, Exabeam’de Bilgi Güvenliği Direktörüdür (CISO). Bu görevinde Exabeam’in çalışanlarını, müşterilerini ve veri varlıklarını mevcut ve gelecekteki dijital tehditlere karşı korumaktan sorumludur. Farrar ayrıca mevcut ve potansiyel müşterilerin bulut güvenliği uyumluluk engellerini aşmalarına yardımcı olarak Exabeam bulut tabanlı Yeni Ölçekli SIEM ve güvenlik operasyonları platformuna geçişini destekleme çabalarına da liderlik ediyor. 15 yılı aşkın geniş ve çeşitlendirilmiş teknik deneyimiyle Farrar, kurumsal güvenlik programlarını geliştirme konusunda kanıtlanmış bir geçmişe sahip, iş odaklı ve sonuç odaklı bir lider olarak tanınmaktadır.
Exabeam’den önce Farrar, Maxar Technologies’de güvenlik operasyonlarını, altyapı yönetişimini, siber güvenceyi ve USG program koruma işlevlerini içeren bilgi güvenliği programının stratejisinden ve yürütülmesinden sorumluydu. Eski bir Deniz Subayı olarak, multimilyon dolarlık ABD Savunma Bakanlığı programı için çok sayıda projeyi ve siber operasyonları yönetti.
Farrar, Maryland Üniversitesi’nden MBA derecesi aldı ve Amerika Birleşik Devletleri Deniz Harp Okulu’ndan Havacılık ve Uzay Mühendisliği alanında Lisans Diploması aldı. Ayrıca, Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı (CISSP) sertifikasyonu da dahil olmak üzere çeşitli teknik ve profesyonel sertifikalara sahiptir.