Firmaların küresel güvenlik ve dayanıklılık düzenlemelerine nasıl uyum sağlayacaklarını anlamaları kolay değil; Tüm düzenlemelerin bir araya geldiği tek bir yer yoktur ve politikaların yorumlanması genellikle bölgesel uyumluluk ekiplerine ve güvenlik liderlerine düşer; bu da ortak düşünme eksikliğine ve aşırı derecede silolanmış yaklaşımlara yol açar.
Bununla birlikte, bir firmanın faaliyet gösterdiği coğrafi bölgeye bağlı olarak her zaman nüanslar olacak olsa da, ortaya çıkan çeşitli küresel düzenleyici temalar vardır:
- Operasyonel dayanıklılık ve güvenlik artık finansal dayanıklılık kadar önemli
- Şeffaflık ve zamanında raporlama çok önemlidir
- Temel siber kontrollere odaklanın
- Müşterileriniz için doğru olanı yapın, gerisi gelecektir.
Operasyonel dayanıklılık ve güvenlik artık finansal dayanıklılık kadar önemli
Bir dizi düzenleme, bir firmanın müşterilerine ve pazarlarına sunduğu en önemli hizmetleri belirleme ve bunları her şeyden önce güvenli hale getirme ihtiyacına odaklanmaktadır. Örnekler arasında Birleşik Krallık’taki Bina operasyonel dirençlilik düzenlemeleri ve AB’deki Dijital Operasyonel Dayanıklılık Yasası (DORA) yer almaktadır.
Bu düzenlemelerin ortaya çıkmasının nedeni, firmaların genellikle finansal esnekliğe odaklandığına dair bir inanış olmasına rağmen güvenlik açıklarından yararlanılması veya operasyonel başarısızlıktan kaynaklanan kesintilerin çok düzenli olarak meydana gelmesi ve müşterilerin hayatlarını aksatmasıdır. Son yıllarda Crowdstrike, WannaCry ve havayolu endüstrisini etkileyen çok sayıda kesinti dahil olmak üzere siber sorunların yanı sıra operasyonel ve tedarik zinciri sorunlarından kaynaklanan birçok büyük kesinti örneği yaşandı.
Firmaların en önemli hizmetlerini belirlemeleri ve bunları yürütmek için gereken altyapıyı korumaları gerekiyor. Bu genellikle bir hizmet kesintisinin ne kadar zarara yol açacağını hesaplayarak ve ardından hizmetleri buna göre katmanlandırarak gerçekleştirilir. En önemli hizmetler en fazla yatırımı ve korumayı almalıdır.
Şeffaflık ve zamanında raporlama çok önemlidir
İşler ters gittiğinde, düzenleyiciler ayrıntıları anlamaya isteklidir. Küresel çapta bir dizi düzenleme, güvenlik, siber ve dayanıklılık sorunlarının zamanında rapor edilmesi ihtiyacına odaklanıyor. Örnekler arasında ABD’deki Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA), AB’deki DORA kapsamındaki raporlama gereklilikleri ve GDPR kapsamında olduğu gibi dünya çapında gizlilikle ilgili olaylara yönelik ihlal bildirimi yer almaktadır.
Firmalar, bildirimi kimin hazırlayıp onaylayacağını ve her düzenleyiciyle kimin irtibat kuracağını anlamak da dahil olmak üzere, siber ve operasyonel olayları zamanında bildirebildiklerinden emin olmalıdır. Olay ilerledikçe düzenleyicilerin, kuruluşun olayı çözmek için ne yaptığı da dahil olmak üzere bilgilendirilmeleri gerekir.
Her yargı bölgesinin raporlama için farklı zaman çizelgeleri olabilir ve bu nedenle düzenlemelerin ve raporlama gerekliliklerinin bir kaydını tutmak (en az ayda bir güncellenen) önemlidir. Bunu otomatikleştirebilecek, büyük küresel kuruluşların düzenleyici raporlama gerekliliklerini güncel tutması için gereken çabayı azaltabilecek araçlar mevcuttur.
Temel siber kontrollere odaklanın
Bazı yargı bölgeleri temel siber kontrollere odaklanmayı büyük ölçüde destekliyor. Örneğin ABD’de federal hükümete bulut hizmetleri sunmak isteyen herhangi bir firmanın, temel siber kontrollerin yürürlükte olduğundan emin olmak için FedRAMP planı kapsamında sertifikalandırılması gerekiyor.
ISO27001 ve NIST CSF gibi tanınmış standartlar, siber kontrollerini sürekli olarak iyileştirdiklerini göstermek isteyen firmaların odak noktası haline geldi. Ayrıca yönetim kurulu üyelerinin, şirketlerinin göreceli siber olgunluğunu anlamaları gereken yönetim kurulu raporlaması için de faydalıdırlar.
Firmalar, siber kontrollerinin olgunluğunu en az yılda bir kez ve tanınmış bir standarda göre gözden geçirmelidir. Bu teknik olmayan kontroller için de aynı derecede önemlidir; örneğin ekiplerin kimlik avı saldırılarını tespit etmek üzere eğitildiğinden, olaylara müdahale için düzenli egzersiz ve simülasyonların yapıldığından ve siber ve dirençli liderlik davranışlarının firmayı ve müşterilerini korumaya tamamen uyumlu olduğundan emin olmak.
Müşterileriniz tarafından doğru olanı yapın, gerisi gelecektir
Müşterileri korumaya odaklanmanın genel olarak daha iyi güvenlik sonuçlarına yol açacağı, çoğu yeni düzenlemede örtülü olarak yer almaktadır. Bazı yargı bölgeleri daha da ileri giderek bu sonuçları korumaya yönelik düzenlemeler yayınladı (Birleşik Krallık Finansal Hizmetler sektöründeki Tüketici Vergisi gibi).
Çoğu zaman en kötüsü gerçekleştiğinde, bir firmanın müşterilerinin bu aksaklıkla başa çıkmalarına nasıl yardımcı olduğu, müdahalenin çok önemli (ancak sıklıkla unutulan) bir parçasıdır. Bir siber saldırının ardından gelen neredeyse kaçınılmaz soruşturmalar (bazıları düzenleyici gereklilikler nedeniyle) nedeniyle aylarca ve yıllarca sürebilir.
Eski bir deyiş olan ‘her zaman yeni soyulmuş bir bankaya yatırım yapın’ biraz yapmacık olsa da, bir firmanın operasyonlarının zaman zaman strese maruz kalarak güç kazanmasında ‘kırılganlık karşıtı’ bir unsur vardır. Firmalar genellikle müşterilere ve pazarlara verdikleri yanıtların gücüne göre değerlendirilir; Bunu doğru yapanlar genellikle daha güçlü ve daha dirençli ortaya çıkabilirler.
Hükümetler her zaman düzenleyici yüklerin azaltılmasının önemini vurgulamaya isteklidir ve hiç kimse düzenlemelerin inovasyonu yavaşlatmaması gerektiğini iddia edemez. Ancak halkın, tüketicilerin ve pazarların siber ve operasyonel etkilerden yeterince korunmadığına dair genel bir algı var ve düzenleyiciler artık bu endişeleri ele alıyor. Bu, yakın zamanda odak noktasının siber, operasyonel esneklik ve tedarik zinciri düzenlemelerinden uzaklaşacağını görme ihtimalimizin düşük olduğu anlamına geliyor.
Adam Stringer, finansal hizmetlerde siber, gizlilik ve operasyonel esnekliğin başkanıdır. PA Danışmanlığı