Modern kuruluşlarda güvenlik kültürü, teknolojisi ve duruşunun sorumluluğu, bilgi güvenliği şefinin (CISO) görev alanıdır.
Bu rol kolay bir rol değil. Üst düzey iş dünyası liderleri ve yönetim kurulları siber güvenliğin kritik bir risk olduğunu anlasa da bunun kredi, likidite ve piyasa riski gibi diğer faktörlerle nasıl karşılaştırıldığını belirlemede zorluklarla karşılaşıyorlar. Artık riski tanımlamak yeterli değil; artık güvenlik liderlerinin yatırımları, çalışma saatlerini ve daha da önemlisi bütçeyi gerekçelendirmelerine olanak tanıyan bilgilerle donatılması gerekiyor.
CISO’ların bu önceliklerle daha iyi başa çıkmak için kendilerini destekleyebilecekleri çeşitli yolları inceleyelim; neden değerlendirme ve önleme konusunda daha bütünsel bir yaklaşımın ileriye giden yol olduğuna inandığımı da ele alalım.
Tehditler
Ünlü Equifax sızıntısının üzerinden altı yıl geçti. Bu olayda ben de oradaydım ve birçok açıdan bu, günümüzün siber güvenlik tutumlarına geçiş için teşvik edici bir andı. Equifax, herkesin hedef olduğunu ve ayrıca tüm şirketlerin bilgileri nasıl depoladığımızı, bilgilere nasıl eriştiğimizi ve koruduğumuzu ve bunu yapmamıza izin veren sistemlerin sağlamlığını daha yoğun bir şekilde incelemesi gerektiğini gösterdi.
İyi haber şu ki, sektör genelinde tehdit farkındalığı hiç bu kadar yüksek olmamıştı, ancak diğer taraftan suçlular ve ulus devlet aktörleri her zamankinden daha fazla motive olmuş durumda. Bugün, ölçek ve etkinlik açısından geçmişin planlarını çok aşan tehditler görüyoruz. Suçlular toptan fidye yazılımlarına, iş e-postalarının ele geçirilmesine (BEC) ve gasp taktiklerine akın ederken, ulus devlet aktörleri de kritik altyapılara ve IP hırsızlığına odaklanıyor.
Dahası, yapay zekanın ortaya çıkışı, suçluların geniş bir araç yelpazesine sahip olmalarına ve bunları genellikle BT ekiplerinin çeşitli temel, genellikle ayrı ayrı roller üstlendiği az sayıda personele sahip kuruluşlara karşı kullanmasına yol açtı. Basitçe ifade etmek gerekirse, CISO’nun her zamankinden daha fazla uğraşması gereken şey var; bu nedenle, rolün yüksek riskli güvenlik ortamımızdaki pek çok yönü kapsaması gerekiyor.
Önleme ve Müdahale
Pek çok durumda, CISO’ların sadece teknolojiyi kullanarak soruna karşı savunma oluşturmaya çalıştıklarını görüyorum; gerekli altyapıyı kurmadan veya personelini desteklemek için eğitim vermeden çözümler dağıtıyorlar. Bunun yerine, önleme ve müdahale kültürüne odaklanırken insanları, süreçleri ve teknolojiyi kapsayan daha bütünsel bir yaklaşımı savunuyorum.
Önleme için insanların kimlik avı ve diğer sosyal mühendislik planlarını tanıyacak şekilde eğitilmesi ve devam eden tehditlere karşı temel bir savunma oluşturması gerekir. Benzer şekilde CISO’nun, günlük çalışmaları hem yamalama hem de diğer süreç odaklı işler için çok önemli olan BT ekipleriyle işbirliğine dayalı bir ilişki kurması gerekir. Önlemenin bir diğer önemli yönü, şirket genelinde olup bitenlerin görünürlüğünün sağlanmasıdır. Teknoloji bu görünürlüğün sağlanmasına yardımcı olabilir, ancak insanların potansiyel tehlike işaretlerini takip etmeleri ve potansiyel tehditleri araştırmaları gerekmektedir.
Tehditlere yanıt verirken CISO’ların açıkça tanımlanmış, sıklıkla uygulanan ve en olası tehdit aktörlerini ve senaryolarını içeren bir plana sahip olması zorunludur. Bu, yalnızca sıradan çalışanları değil aynı zamanda üst düzey yöneticileri ve bazen de kriz iletişimine hazır olmalarını sağlamak için yönetim kurulu üyelerini de içermelidir. Ek olarak, günümüzün siber sigorta planları genellikle protokollerin tasarlanmasına ve uygulanmasına yardımcı olacak ihlal koçlarını içerir; bu, yanıt planları oluşturulurken dikkate alınması gereken değerli bir varlıktır.
Güvenlik Liderliği
Güvenlik fonksiyonunun ve CISO’ların sorumluluklarının genişleyip gelişmesiyle birlikte, yukarıdaki öncelikleri desteklemek için hayati öneme sahip çeşitli yeni yetenekler ortaya çıkmıştır; bunlara aşağıdakiler dahildir:
- Risk yönetiminin kolaylaştırılması, iş açısından önemli güvenlik risklerinin belirlenmesine ve iletilmesine ve iş liderlerine ve yönetim kurullarına siber risk konusunda tavsiyelerde bulunulmasına odaklandı.
- Fiziksel güvenlik, siber olmayan olaylar, işyerinde şiddet, BCM (İş Sürekliliği Yönetimi) ve kriz yönetimi gibi koruma hizmetleri.
- Operasyonel güvenlik; tesisler, makineler ve endüstriyel kontrol sistemleri gibi kritik altyapının korunmasına odaklandı.
- GDPR ve CCPA gibi düzenlemelere uyum da dahil olmak üzere veri koruma ve gizlilik.
- Tehdit ve güvenlik açığı yönetimi, yanıt ve kurtarma, süreklilik planlaması, DevOps’un sürekliliği ve uygulama güvenliği gibi işlevleri içeren siber dayanıklılık.
- Güvenliğin kuruluş genelinde temsil edilmesini ve anlaşılmasını sağlamak için çapraz denetim.
- Müşterileri kazanmaya ve elde tutmaya yardımcı olmak için şirketin veri koruma ve güvenliğe yaptığı yatırımı gösteren harici müşteri yönetimi.
İşletme genelinde güvenlik programını daha iyi kolaylaştırmak için birçok CISO, işletme bilgi güvenliği görevlisi veya BISO rolünü uyguluyor. İş irtibat görevlisi olarak da adlandırılan BISO, bölgesel güvenlik elçisidir; her iş kolu veya bölgede güvenlik için başvurulacak kişidir. Güvenlik politikasının bölgeler ve iş kolları tarafından takip edilmesini sağlar ve kuruluşu siber risk ve hesap verebilirlik konusunda eğitirler. BISO ayrıca güvenlik protokolünü kullanıcı deneyimine ve yeni iş girişimlerine göre değerlendirerek güvenliğin iş kolaylaştırıcı olarak kalmasını sağlar.
Çözüm
Bir CISO’nun 1 numaralı işi meslektaşlarıyla ilişkiler kurmak ve ortaklıklar kurmaktır. Bu becerileri geliştirmek ve beslemek için eğitime yatırım yapılmasına öncelik verilmelidir. Zor zamanlarda iş sürekliliği ve operasyonel başarı buna bağlı olacaktır. Daha temel düzeyde, güvenlik yalnızca CISO’nun sorumluluğuna bırakılamaz. Teknolojinin, iş dünyasının ve tehdit ortamının hızla gelişmesiyle birlikte rol değişiyor ve güvenlik, şirketin güvenliğinin ve operasyonlarının her yönünün ayrılmaz bir parçası haline geldi.