Ve Bundan Ne Öğrenebiliriz?
Yazan Brian Hesse, PerenniAL’in Ortak Sahibi, Başkanı ve İcra Kurulu Başkanı
Özet
Siber güvenlik uzmanları, hemen hemen tüm diğer organizasyonel işlevlerde olduğu gibi, her zaman rekabet eden ve çatışan zorunluluklara yanıt verme konusunda zorlanır. Yazarın alüminyum endüstrisindeki 25 yılı aşkın yönetim deneyimine dayanan bu makale, rakip önceliklerle başa çıkmanın ve bunları uyumlu hale getirmenin tekrarlanabilir yollarını ortaya koyuyor. Yukarıdan aşağıya bir bakış açısıyla başlayıp ardından belirli tehditleri ve zorlukları tanımlayan sonuçlar, risk yönetimi ve siber güvenlik uyumluluğu ve verimliliği elde etmek için eyleme dönüştürülebilir bilgilerin genel uygulamasını yansıtıyor.
Kritik Altyapı ve Alüminyumun Rolü
Şu anda İç Güvenlik Bakanlığı’nın (DHS) ve bağlı kuruluşu Kritik Altyapı Güvenliği ve Dayanıklılık Ajansı’nın (CISA) görev alanı dahilinde, 16 kritik altyapı sektörünün belirlenmesi ve bunların güvenliğini ve dayanıklılığını sağlama sorumluluğu neredeyse tüm hayati ekonomik faaliyetleri kapsamaktadır. .
Her CISO’nun işvereninin bir şekilde bu sektörlerden bir veya daha fazlasında faaliyet göstermesi kuvvetle muhtemeldir. Bu kuruluşlara yönelik benzer gereklilikler, büyük ölçüde, benim sektörüm tarafından uygulananlar için de geçerlidir. Size kolaylık olması açısından, 16 sektörün listesi https://www.cisa.gov/topics/critical-infrastructure-security-and-resilience/critical-infrastructure-sectors adresinde çevrimiçi olarak yayınlanmaktadır.
Detaylara bakıldığında, Alüminyum, Kritik İmalat Sektöründe listelenmiştir ve Sektöre Genel Bakışta özellikle sektörün “çekirdeği” olarak belirlenmiştir.
Kritik Üretim Sektörü, sektörün çekirdeğini oluşturacak çeşitli sektörleri belirledi:
- Birincil Metal İmalatı
- Demir Çelik Fabrikaları ve Ferro Alaşım İmalatı
- Alümina ve Alüminyum Üretimi ve İşleme
- Demir Dışı Metal Üretimi ve İşleme
Alüminyumda Çatışan ve Rekabet Eden Öncelikler
Spesifik olarak yalnızca alüminyum pazarı için geçerli olsa da mevcut durum, bir endüstrinin, kritik altyapımızın güçlü bir sektörünü destekleme becerisini temelden zedeleyebilecek güçlerle nasıl karşılaşabileceğini göstermektedir. Sektörünüz muhtemelen farklı zorluklarla karşılaşacaktır ancak bu tür tehditlere yanıt verme ilkeleri büyük olasılıkla çok benzer olacaktır.
Gereksiz yere geçmişi anlatmadan veya bu makalenin ana fikrinden uzaklaşmadan, meselenin özü şu ki, Amerikan alüminyum endüstrisi şu anda kritik imalat sektörünün yıllık ihtiyaçlarını karşılayan yaklaşık 1 milyon metrik ton işlenmiş alüminyum (“kütük”) eksiğindedir. .
İşlenmiş alüminyum kütüklerin büyük ölçüde diğer birçok ülkeden ithalatına güveniyoruz. Bunların arasında şu anda yüzde 200 oranında yaptırımlara tabi olan Rusya da var. [not a typo] Bu ürüne ait tarife.
Tarife, Rusya’ya yönelik dış politikamızın bir uygulamasıdır ve ihtiyaç duyulan kütükler için bu özel uluslararası kaynağa güvenilmesi nedeniyle ulusal güvenliğin tehdit edildiği iddialarını da beraberinde getirmektedir.
Ancak tarifeler kör bir araçtır. Tarifeler başlangıçta birkaç temel amaçtan bir veya daha fazlasını gerçekleştirmeyi amaçlıyordu: yerli sanayinin korunması, gelirin artırılması ve piyasa katılımcılarının davranışlarının değiştirilmesi. Ne yazık ki aynı zamanda Amerikan endüstrisinin meşru ihtiyaçlarını da bastırabiliyorlar.
Burada da durum böyle. Genellikle hükümet görevlerinde devreye giren İstenmeyen Sonuçlar Yasası’na hepimiz aşinayız. İhtiyaç duyulan alüminyum kütüklerin tek bir kaynağını karşılanamaz hale getirerek, imalat sektörünü temel malzemelerden mahrum bırakıyoruz. İstenmeyen sonuç, üretim kapasitesinin kaybı, iş kaybı, kritik altyapımızın tedarik zincirlerine ve ulusal güvenliğimize yönelik gereksiz bir tehdittir.
Benim sektörümde durum tam da bu noktada; çeşitli hükümet zorunluluklarının çatışması nedeniyle aksamaktayız.
Bilgi Teknolojisi ve Operasyonel Teknoloji
Tabii ki, tıpkı Cyber Defense Dergisi okuyucularının çabalarında olduğu gibi, alüminyum endüstrisinde de BT ve OT’nin bariz uygulamaları var.
Alüminyum endüstrisindeki katılımcılar Denetleyici Kontrol ve Veri Toplama (SCADA), BT, OT ve diğer bilgisayar tabanlı sistemlere güvenmektedir. Bu sistemleri kullanan diğer kuruluşların çoğuyla aynı gerekliliklere tabiyiz. Verileri toplarken, iletirken, paylaşırken ve saklarken gizliliğini, bütünlüğünü ve erişilebilirliğini korumalıyız.
Biz de birbiriyle çelişen önceliklerle karşı karşıyayız ve sorumluluklarımıza uymanın ve bunları uyumlu hale getirmenin yollarını bulmalıyız. Bunlardan birkaçına değineyim.
- Tüketicilerin, satıcıların, müşterilerin ve düzenleyicilerin gizlilik endişeleri ve hakları, sıklıkla cezai soruşturmalar kapsamında keşif için yasal sürece uyma görevleriyle çelişmektedir.
- Yapay Zeka uygulamaları, patentlerin, telif haklarının ve diğer korunan fikri mülkiyetlerin aşılmaz çalılıkları arasında büyüyor.
- Hepimiz Güvenlik-Rahatlık spektrumunda çalışıyoruz ve iki önceliği nasıl dengeleyeceğimizi seçiyoruz
- Risk Yönetimi, faaliyetlerimizdeki bir başka örtüşmedir; özellikle hangi risklerin tutulup çözüleceğine ve hangilerinin üçüncü tarafa bırakılacağına (örneğin siber sorumluluk sigortası) karar vermek.
- Ayrıca Yasal ve Düzenleyici gerekliliklere uymanın, kuruluşumuzun eylem veya ihmallerinden dolayı sorumluluktan kaçınmak için her zaman yeterli olmayabileceğini de kabul etmeliyiz.
Bu zorluklarla nasıl başa çıkıyoruz
Hayatta olduğu gibi pazarda da farklı olduğumuzdan çok benzer olduğumuza olan inancımdan yola çıkarak, gelecekteki strateji ve operasyonlarımızda birkaç paralel adım atıyoruz. Sektörde hem niş bir oyuncu hem de dikey genişleme aracı olarak kendimizi kanıtladık. Programımızı uygulamak için takip ettiğimiz dört temel girişim var ve kendi kuruluşunuzdaki kapasiteniz dahilinde bunları öğretici bulacağınıza inanıyorum.
Dahili
Çalışanlarımızı şirketimizin misyonuna adamaya teşvik edecek bir organizasyon kültürü oluşturduk. Yaptığımız işi anlıyor, değer veriyorlar ve başarımıza kendilerini adamışlar. Eğitim ve öğretim, ilerleme programımızın ayrılmaz bir parçasıdır. Siber güvenlik açısından herkesin son gelişmelerden haberdar olmasını ve siber saldırılara karşı hazırlıklı olmasını sağlıyoruz.
Pazar yeri
İmalatın ve özellikle alüminyumun kritik altyapı sektörünü sunmak ve desteklemek için ürün tedarik ederken, arz ve talep verileri, rakiplerimiz ve işimizi etkileyen ilgili trendler hakkında çok ayrıntılı bilgiler ve analizler yürütüyoruz.
Tedarikçilerimiz, müşterilerimiz ve ilgili sağlayıcılarımız sürekli olarak birleşme ve satın almalarla meşgul olduğundan bu, hem yukarı hem de aşağı yönlü sektörleri kapsamaktadır.
Devlet
Eyalet yasalarına ve federal yasalara ve düzenlemelere tabi bir sektörde faaliyet gösteren veya hükümetin herhangi bir düzeyiyle doğrudan iş yapan veya hükümet kaynaklarından herhangi bir fon alan herhangi bir kuruluş, kaçınılmaz olarak bir tür yasa veya düzenlemeye uyma gereksinimleriyle karşı karşıya kalır.
Operasyonlarımızın bu tür gereksinimlerle kesiştiği yerleri sürekli olarak inceliyoruz.
Hükümetin üç organından genel yaklaşımımız öncelikle yürütme organının kurumlarıyla doğrudan çalışmaktır çünkü yasaların uygulandığı ve yürütüldüğü, yönetmeliklerin yayımlandığı yer orasıdır.
Kamu politikası önceliklerinde çelişkiler veya mevzuatta tutarsızlıklar olması durumunda, yasal kanunlarda gerekli değişiklikleri yapmalarına yardımcı olabilecek şekilde kanun koyuculara zaman zaman bilgi sağlıyoruz.
Genel olarak maliyetli ve uzun adli süreçten kaçınmayı tercih ediyoruz ancak üyesi veya destekçisi olduğumuz ticari birlikler de dahil olmak üzere sektörümüzdeki diğer kişiler tarafından yürütülen yasal işlemleri takip ediyoruz.
Toplum
Son olarak, ancak en önemlisi, faaliyet gösterdiğimiz veya sektörümüzdeki diğer kişilerin faaliyet gösterebildiği topluluklarla faaliyetlerimizi desteklemek ve koordine etmek için çalışıyoruz. Şirket liderlerimizi ve tüm çalışanlarımızı kendi topluluklarında aktif olmaya teşvik ediyoruz. Bu sadece iyi bir iş.
Sonuçlar
Siber güvenlik, her başarılı işletmenin büyüyen ve iyi tanınan bir unsurudur. Bunun önemi, üst yönetim ve organizasyon direktörlerinin farkındalığıyla ortaya konmakta ve bu alandaki bütçe ve personel hükümlerine daha da yansıtılmaktadır.
CISO bir boşluktan ibaret değildir ve siber güvenliğin kuruluşun genel faaliyetlerine başarılı bir şekilde entegre edilmesi iki yönlü geniş bir yolda ilerlemeye bağlıdır: CISO, kuruluşun misyonu ve değerleri ile kuruluşun liderleri hakkında güncel bilgi sahibi olmalıdır. En üstten en alta kadar tüm çalışanların siber güvenlik rolünün bilincinde olduğundan ve buna gereken saygıyı gösterdiğinden emin olmalıdır.
yazar hakkında
Brian Hesse, PerenniAL’in Ortak Sahibi, Başkanı ve İcra Kurulu Başkanıdır. Alüminyum sektöründe, Rusal America Corporation’da Amerika Kıtası Başkanı/İcra Kurulu Başkanı; Vedanta Resources Limited’de Amerika kıtası için Başkan Yardımcısı/Satış ve Pazarlama; Aleris International, Inc.’de Küresel Savunma Satış Direktörü ve Amerika Kıtası Satış Direktörü – Endüstriyel; ve sektördeki kariyerine başladığı Ryerson Corporation’da Küresel Hesaplar Direktörü olarak görev yaptı.
Brian, Westchester County, NY’de Big Brothers Big Sisters’ın Yönetim Kurulu Başkanı olarak görev yapıyor ve kuruluşun etkinliklerinde sık sık gönüllü olarak yer alıyor. Aynı zamanda mezun olduğu Northwest Missouri Eyalet Üniversitesi Vakfı’nın Yönetim Kurulu Üyesidir. Brian boş zamanlarında ailesiyle birlikte tenis ve diğer açık hava aktivitelerinden hoşlanıyor. Brian sıkı bir Kansas City Chiefs hayranıdır.
PerenniAL web sitesi https://www.theperennial-group.com/ adresindedir ve Brian’a çevrimiçi olarak https://www.linkedin.com/in/aluminumexpert/ adresinden ulaşılabilir.