CISO rolü eskiden öncelikli olarak bilgi güvenliğine odaklanıyordu; bir kuruluşun verilerini ve BT altyapısını siber güvenlik tehditlerinden korumak için politikalar oluşturmak ve uygulamak. Ancak kuruluşlar hızla bulut ortamlarına geçtikçe CISO’ların sorumlulukları ve zorlukları önemli ölçüde arttı. Bulut hem genel saldırı yüzeyini arttırır hem de yeni uyumluluk zorlukları ortaya çıkarır.
Artan düzenlemelerle birleşen kalıcı ve artan siber tehditler, kuruluşların iş hedeflerine ulaşma yeteneğini tehdit ediyor. Bu, güvenliğin yönetişim, risk ve uyumluluk (GRC) çabalarına entegre edilmesini gerektirir. Pek çok GRC çerçevesi halihazırda güvenlik kontrollerini ve en iyi uygulamaları içermektedir; bu da CISO’ların bu tür kontrollerin uygulanmasında ve uyumluluğun sağlanmasında rol oynamasını zorunlu kılmaktadır.
Siber ifşa kuralları oyunu değiştiriyor
Aralık 2023’te Menkul Kıymetler ve Borsa Komisyonu (SEC), halka açık şirketlerin siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olay ifşasıyla ilgili açıklamalarını iyileştirmek ve standartlaştırmak için yeni kurallar kabul etti.
Bu değişiklikler, kısmen maddi siber olayları kapsayacak şekilde raporlama çıtasını düşürerek SEC’e çok daha fazla güç verdi; bu da muhtemelen daha fazla soruşturmaya ve şirketlere yönelik daha yüksek para cezaları ve cezalara yol açtı. Halen şirket içi ortamlarda faaliyet gösteren şirketler, izleme ve otomasyon devreye alınmadıkça ve güvenlik ekibi üyeleri tüm uyarıları aktif olarak incelemedikçe bir olayı hızlı bir şekilde tanımlamayı çok daha zor, hatta muhtemelen imkansız bulacaktır.
Birçok şirket, saldırı yüzeyini ve izlemenin karmaşıklığını daha da artıran, şirket içi ve bulut dağıtımlarının bir karışımına sahiptir.
Temel olarak bulutta faaliyet gösteren şirketler için bile önemli bir olayın tespit edilmesi ve tanımlanması hala önemli bir zorluk teşkil etmektedir. Bulut ortamları, üçüncü taraf entegrasyonları, çoklu katmanları ve geçici ortamları nedeniyle doğası gereği karmaşıktır; her ortamın benzersiz özellikleri vardır. Çoğu CISO’nun olası her olaya ilişkin görünürlüğü yoktur çünkü uyarılara bakan, bunları analiz eden ve günlük verilerini inceleyen kişiler onlar değildir. Önemli siber olayları, önemlerinin belirlenmesinden sonraki birkaç gün içinde bildirmeye yönelik yeni gereklilik nedeniyle, bunları korumakla görevli kuruluşların ve CISO’ların, olayın maddi etkisini (veya makul derecede olası maddi etkisini) doğru bir şekilde tanımlayan bir açıklama hazırlamak için çok az zamanları var. PCI-DSS ve SOC2 değişikliklerini yansıtan en son SEC kuralları, CISO’ların organizasyonları içinde oynadıkları rolü değiştiriyor.
CISO rolünün ve sorumluluklarının değiştirilmesi
Geçmişte çoğu CISO, güvenlik ekiplerinden bilgi topluyor ve yönetim kuruluna kuruluş içindeki güvenlik durumu hakkında genel bir bakış sağlamak için bunları sindiriyordu. Bu yaklaşım, risk hakkında yüksek düzeyde konuşmalarına ve yönetim kurullarının sorduğu soru türlerine uygun yanıtlar vermelerine olanak sağladı.
SEC kararı, artık tüm önemli siber güvenlik olaylarının zorunlu zaman çerçevesi içinde tanımlanmasını, değerlendirilmesini ve raporlanmasını sağlamaktan doğrudan sorumlu olan CISO’lara daha yüksek düzeyde bir sorumluluk yüklemektedir. CISO’ların artık bir olayın önemliliğini belirledikten sonra dört iş günü içinde SEC’ye rapor verebilmelerini, olayın doğasını, kapsamını ve potansiyel etkisini açıklayabilmelerini sağlamaları gerekiyor. Yönetim kurulunun kuruluşun siber güvenlik duruşu hakkında iyi bilgilendirilmesini sağlamak için risk yönetimi stratejilerini ve olay müdahale planlarını da iletmeleri gerekir.
Bu değişiklikler daha yapılandırılmış ve proaktif bir yaklaşım gerektiriyor çünkü CISO’ların artık yalnızca tüm siber güvenlik olay verilerini ve bağlamını yönetim kuruluna, uyumluluk ekiplerine ve finans ekiplerine sağlamak için değil, aynı zamanda uyum durumlarından neredeyse gerçek zamanlı olarak haberdar olmaları gerekiyor. Bir olayın maddi bir etkisi olup olmadığını hızlı bir şekilde belirleyin ve bu nedenle SEC’e rapor edilmesi gerekir.
Zamanında açıklama yapmayı kaçıran veya yanlış güvenlik ve uyumluluk stratejisi uygulayan CISO’lar, olay yıkıcı bir siber güvenlik olayına dönüşmese bile para cezasıyla karşılaşabilir. Yönetim kurullarının, CISO’ların uyumluluk ve güvenlikle ilgili her türlü soruyu hızlı ve doğru bir şekilde yanıtlayabileceğine güvenebilmeleri ve yönetim kurulunun kendisinin de siber güvenlik kavramlarına aşina olması, riskleri anlayabilmesi ve doğru soruları sorabilmesi gerekir.
Değişen teknoloji siber riski GRC ile uyumlu hale getiriyor
Uygun güvenlik her zaman en son teknolojinin yaklaşık bir yıl gerisinde kalmıştır ve uyumluluk çerçeveleri daha da geride kalmıştır. Sonuç, teknoloji ile uyumluluk arasında devasa bir uçurum oldu.
Bu açığı en aza indirmek için düşünceli CISO’lar siber risk stratejilerini GRC çerçeveleriyle uyumlu hale getiriyor. Bu onların ve kuruluşlarının hızlı teknoloji değişikliklerine, gelişen düzenleyici çerçevelere ve kurumsal ağ oluşturma ve sürdürmeye yönelik yeni yöntemlere uyum sağlamasına olanak tanır. Bu uyum, CISO’ların karmaşık siber saldırganlarla, genişleyen bir saldırı yüzeyiyle ve siber olayların neden olduğu ciddi mali kayıplar, itibar kaybı ve operasyonel kesinti potansiyeliyle yüzleşmelerini sağlamak için risk yönetimine bütünsel bir yaklaşım benimseyebilmesini sağlar.
CISO’ların, bir olayın önemli olup olmadığını belirlemek için gerekli bilgilere sahip olduklarından nasıl emin olabilecekleri sorunu hala devam etmektedir. Bir olayın maddi boyutunu belirleyerek karşılık vermeye hazırlanmanın en iyi ve belki de tek yolu teknolojiden geçer. Kritik kontrolleri devreye almak, veri toplamak ve bu kontrollerin güvenlik teknolojisi yığınıyla entegre edilerek izlenmesini otomatikleştirmek, CISO’ların herhangi bir zamanda risk ve potansiyel olaylara ilişkin birleşik bir görünüm elde etmelerini sağlar; bu da yalnızca SEC’i takip etmelerini sağlamakla kalmaz kuralları belirler ancak siber tehditlere karşı genel dayanıklılıklarını artırır.