Avustralya siber güvenlik düzenlemelerinde son değişikliklerle ITNews’in kardeş yayını Techpartner.news, siber güvenlik sağlayıcılarını, sözcüleri siber güvenlik sözleşmelerini değerlendirirken kuruluşların nelere odaklanmaları gerektiğine dair bakış açılarını paylaşmaya aday göstermeye davet etti.
Peter Soulsby, Brennan
Brennan’ın siber güvenlik başkanı Peter Soulsby, örgütleri risklerini dış kaynak kullanabileceklerini düşünmeye karşı uyardı.
S: Avustralya’daki birçok kuruluşun siber güvenlik sözleşmelerini nasıl değerlendirdiklerini güncellemeye ihtiyaç duyuyor musunuz – eğer öyleyse, neden ve şimdi odaklanmaları gereken bir şey nedir?
Peter Soulsby, Brennan: Evet. Sözleşmeler genellikle çok belirsizdir. Sözleşmedeki sorunuzda spesifik olun. Ne istediğinden emin değilseniz, yardım etmek için harici bir parti alın. RFP’lere yanıt vermeye ve nihayetinde ne peşinde olduğunuzu, sürpriz veya belirsizlik olmadan bilme ihtiyacı ile sözleşme yapmaya davet ettiğiniz taraflar.
S: Şu anda çok sık kaçırıldığını düşündüğünüz ortak bir siber güvenlik sözleşmesi kör nokta veya kırmızı bayrak mı görüyorsunuz?
Peter Soulsby, Brennan: Riskinizi dış kaynak kullanabileceğiniz beklentisi yanlış ve yanıltıcıdır. Siber güvenlik, birden fazla taraf arasında ortak hesap verebilirlik ve sorumluluk ile bir yolculuktur. Bunu görmezden gelmeye çalışan sözleşmeler, tüm tarafların sözleşmenin özelliğinin başarısızlığına yol açtı.
S: Uyum gereksinimleri ile siber güvenlik sözleşmelerine dahil edilecek pratik olanlar arasında önemli bir gerilim görüyor musunuz?
Peter Soulsby, Brennan: Evet. Bu günlerde çoğu zaman uyumluluk gereksinimleri iyi siber güvenlik uygulamalarını ve sözleşmeleri bu çarpık önceliği yansıtıyor. Sonuç olarak birçok işletme yanlış bir şey istiyor. Uyumun güvenliğe eşit olmadığını hatırlamamız gerekir.
S: CPS 230 ve üçüncü taraf riski üzerindeki diğer düzenleyici baskı ile, siber güvenlik anlaşmaları için herhangi bir nakavt etkisi görüyor musunuz?
Peter Soulsby, Brennan: Üçüncü taraf risk değerlendirmeleri ve şimdi dördüncü taraf risk değerlendirmeleri (tedarik zincirinizin tedarik zinciri) daha fazla odaklanıyor. Bu riski değerlendirmenin daha pragmatik bir yolunu düşünmeliyiz. Yüzlerce olası cevabı olan anketler zahmetlidir ve önlenmelidir.
S: Siber güvenlik sözleşmelerinin Xero, HubSpot, Salesforce veya diğer ortak araçlar gibi SaaS veri korumasını nasıl kapsadığı konusunda çözülmemiş sorunlar görüyor musunuz?
Peter Soulsby, Brennan: Evet, bu hala bir sözleşme ve büyük bir SaaS sağlayıcısının yeterince iyi olduğu varsayımına çok güveniyor. SaaS sağlayıcısı, işletmenizin temelini oluşturan verileri ve veya süreçleri barındırıyorsa, bir sözleşmeden daha ileri gitmeniz ve üçüncü taraf riski dinamik olarak değerlendiren araçları kullanmanız gerekir.
S: Olay Yanıtı ve Kurtarma Siber Güvenlik Ortaklığı yapabilir veya kırabilir. Bir sözleşme fıkra kuruluşlarının ısrar etmesi gereken nedir – özellikle fidye yazılımı şu anda odakta raporlama ile?
Peter Soulsby, Brennan: Organizasyonlar genellikle özellikle siber güvenlik ile risklerini dış kaynaklara odaklanmaya odaklanıyor. Sözleşmelerde eksik olan önemli bir maddenin, siber güvenlik sağlayıcılarının diğer yönün aksine müşterilerini hesaba katmasını sağlamak olduğunu iddia ediyorum. Siber güvenlik sağlayıcıları neye benzediğini biliyor. Sözleşme, en iyi uygulamaları müşterileriyle sürekli olarak paylaştıklarından emin olmalıdır.
S: Siber güvenlik sözleşmeleri, kurulların ve iş liderlerinin raporlama ve güvence ihtiyaçlarına ayak uyduruyor mu-yoksa hala çok mı odaklanmış mı?
Peter Soulsby, Brennan: Hayır, sözleşmelerdeki raporlama veya metrik de değil. Bununla birlikte, genellikle daha modern sözleşme maddeleri pratik veya uygulanmaya hazır değildir, bu yüzden şu anda biraz tavuk ve yumurta yarışıdır.
S: Siber sigorta gereksinimleri, sözleşmelere ne girenleri yeniden şekillendiriyor mu – ve eğer öyleyse, müşteriler ne izlemeli?
Peter Soulsby, Brennan: Evet, kesinlikle öyle. Çok az kuruluş siber sigortaya kaydolduklarında ne elde ettiklerini bilir. RFP’lerde piyasa istedikleri şeyde, olay yanıtı gibi genellikle örtüşme vardır ve bu nedenle harcama ve çelişkili rollerin çoğaltılması vardır. Kuruluşların siber sigortanın onlara ne verdiğini bilmeleri gerekir, genellikle fark ettiklerinden çok daha fazladır.
S: Kuruluşların, sorumluluk sınırlama ihtiyaçlarına saygı duyarken ortaklık ortaklarını sorumlu tutmaları için akıllıca bir yol nedir?
Peter Soulsby, Brennan: Bir saniyeliğine riskinizi dış kaynak kullanabileceğinizi düşünmeyin. Bunu yaparak, pratik ve yasal terimlerde hiçbir anlamı olmayan sözleşmelere girersiniz ve bir işletme olarak sorumluluğunuzu ortadan kaldırırsınız. Siber güvenlik sağlayıcılarıyla ilgilenerek, piyasada mevcut olanların en iyisini elde edersiniz, ancak riskinizi kaldırmazsınız.
S: Gerçek maliyet baskısı altındaki küçük işletmeler için, siber güvenlik ortağı sözleşmelerini yapılandırmanın en etkili yolu nedir?
Peter Soulsby, Brennan: Bir sözleşmeye girmeden önce kendinize gerekli olup olmadığını sorun. Bütçenizi 3 sözleşmeye harcamak ve bunları iyi yapmak, aynı bütçeyi 6 sözleşmede bölmekten ve bunları kötü yapmaktan daha iyidir. Doğru sözleşmeye ve yeteneğe yatırım yaptığınızdan emin olduğunuzda, şartların karşılıklı olarak faydalı olmasını sağlamak için sağlayıcı ile birlikte çalışın. Başlangıçtan önce sağlayıcı ile ilişkiyi eklemeyin.
Brennan, teknoloji sistemlerini tasarlayan, tedarik eden, koruyan ve sunan bir Avustralya Teknoloji Sistemleri entegratörüdür.
Feragatname: Bu Soru -Cevapta ifade edilen görüşler, bireysel katkıda bulunanların görüşleridir ve ITNews veya TechPartner.news’in görüşlerini yansıtmaz. İçerik yalnızca genel bilgi amaçlı olarak sağlanır ve yasal, finansal veya mesleki tavsiyeler oluşturmaz.
Techpartner.news adresindeki Yönetilen Servis Sağlayıcıların (MSP) dizinine bakın.