Yönetim kurulunun CISO’dan ne duymak istediğini tam olarak bilmesi durumunda bunu basitçe ileteceği sıklıkla varsayılır. Ne yazık ki durum her zaman böyle değil. Bu durum CISO’yu yönetim kurulunun beklentilerini ölçmeye ve onların endişelerine uygun bir brifing sunmaya çalışmak gibi zor bir durumda bırakıyor. Ancak bu aynı zamanda CISO’ya kurulun anlayışını ve önceliklerini şekillendirme fırsatı da sunuyor.
Stratejik bir CISO, siber güvenlik riski hakkında özellikle bilmek istediklerini öğrenmek için yönetim kurulu üyelerinin ayrı ayrı katılımıyla başlayacaktır. Yönetim kurulu üyeleri sistem güvenliğinin teknik yönleriyle ilgilenmeseler de siber güvenliğin kuruluşun işleyiş yeteneğini nasıl etkilediğiyle derinden ilgileniyorlar. Aynı zamanda finansal risk ve operasyonel istikrarı da önemsiyorlar. İdeal olarak yönetim kurulu, siber güvenliğin nasıl bir rekabet avantajı olarak kullanılabileceğini de anlayacaktır.
Bu nedenlerden dolayı CISO, yönetim kurulunun ne duymak isteyebileceği ve nasıl bilgi almayı tercih edeceği konusunda diğer yöneticilerden bilgi toplamalıdır. Bu nedenle odak noktası, kurulun spesifik endişelerinin karşılanması olmalıdır.
Yönetim kuruluna brifing verme zamanı geldiğinde, CISO’nun sunum yapmak için genellikle 15-20 dakikası vardır. Konular farklılık gösterse de genel yapı genellikle şunları içerir:
- Siber güvenlik programına ve risklere maruz kalmaya genel bakış.
- Son brifingden bu yana yaşanan önemli olaylar.
- Büyük siber güvenlik girişimlerine ilişkin durum güncellemeleri.
- CISO’nun yanıtıyla birlikte tehdit ortamının ve ortaya çıkan risklerin bir özeti.
- Bölümler arası zorluklar veya bütçe artışları konusunda yardım gibi yönetim kurulu desteği talepleri.
Siber riski finansal açıdan çerçevelemek, hem potansiyel kayıpları hem de maliyet tasarruflarını ele almak çok önemlidir. Tüm siber güvenlik programları, güvenli çevrimiçi işlemlere olanak sağlamak gibi iş fırsatları yaratırken riski azaltmayı hedeflemelidir. Bu amaçla CISO’lar, veri ihlalleri, sistem kesintileri, içeriden gelen tehditler ve veri kaybı da dahil olmak üzere siber güvenlik başarısızlıklarının mali risklerini (yönetim kurulu üyeleri için merkezi endişeler) tartışarak başlamalıdır.
CISO’lar ayrıca siber risk ölçüm (CRQ) araçlarını veya danışmanlık hizmetlerini kullanarak bu riskleri ölçmeli, ancak her ikisinin de kalite açısından farklılık gösterdiğini unutmayın. Yönetim kurulu muhtemelen “Bu sayılar nasıl hesaplandı?” diye soracaktır. ve şeffaf, haklı risk değerlendirmeleri bekliyoruz. CISO, çekici görsellere veya belirsiz tahminlere dayanmak yerine, bu rakamların ardındaki verileri açıklamaya hazırlıklı olmalıdır.
Devam eden projeleri tartışırken ve finansman ararken CISO, çalışmalarının mali etkisini açıkça göstermelidir. Örneğin şunu belirtebilirler: “Bu projeyi %X tamamladık ve riski XX milyon dolar azalttık. Bu programa göre daha fazla azaltım elde etmeyi bekliyoruz…” Bu mali çerçeve, ilerlemeyi ve CISO’nun girişimlerinin değerini göstermektedir.
Benzer şekilde, ek finansman talebinde bulunurken CISO’lar, talebi aşağıdaki gibi mali faydalara bağlamalıdır: “Bu teknolojiye XXX,XXX $ yatırım yapmamızı öneriyorum, bu da riskimizi XX milyon $ azaltacaktır.”
Temelde CISO, yönetim kurulunun anlayacağı şekilde bir iş senaryosu inşa ediyor. Hiçbir yönetim kurulu birbirine benzemese ve her CISO konuşmaya farklı yaklaşabilse de, siber risk ve hafifletme stratejilerini finansal açıdan sunmak (yatırım getirisini vurgulamak) yönetim kurulunun öncelikleriyle uyum sağlamanın en etkili yoludur. CYE’de savunulabilir rakamların ve net mali sonuçların CISO’ların en şüpheci yönetim kurulu üyelerinden bile destek almasına yardımcı olduğunu gördük.
Yazar Hakkında
Ira Winkler, CYE’nin Saha CISO’su ve Başkan Yardımcısıdır. Ira, İnsan Güvenliği Mühendisliği Konsorsiyumunun İcra Direktörü, Walmart’ın eski Baş Güvenlik Mimarı ve You Can Stop Stupid kitabının yazarıdır. Dünyanın en etkili güvenlik profesyonellerinden biri olarak kabul ediliyor ve medya tarafından “Modern Zamanın James Bond’u” olarak adlandırılıyor. Bunu, dünyanın en büyük şirketlerinden bazılarına fiziksel ve teknik olarak “sızdığı” ve onlara karşı işlenen suçları araştırdığı, onlara bilgilerini ve bilgisayar altyapılarını maliyet etkin bir şekilde nasıl koruyacaklarını anlattığı casusluk simülasyonları gerçekleştirerek yaptı. Bu casusluk simülasyonlarını gerçekleştirmeye devam ediyor ve kuruluşlara uygun maliyetli güvenlik programı geliştirmelerinde yardımcı oluyor. Ira Winkler’e şirketimizin web sitesi www.cyesec.com adresinden ulaşılabilir.