19 Eylül CISO Başarı Stratejisi: İnsanlar, Süreç ve Teknoloji
Bloglarda, Videolarda
Northwestern Mutual Bilgi Güvenliği Baş Sorumlusu Laura Deaner, siber güvenlik ve toplantı odası işbirliği hakkında
– David Brown
Melbourne, Avustralya – 19 Eylül 2022
Bu CISO Raporu, BilBe4.
Tüm tahribatlarına rağmen, pandemi, 2020 ile 2021 arasında yeni hayat sigortası satışlarının yüzde 52 artarak 36,8 milyar dolarlık gelire ve 6,5 milyar dolarlık rekor hissedar temettüsüne katkıda bulunduğu Fortune 500 sigorta devi Northwestern Mutual için iyi oldu.
Ancak finansal manşetlerin arkasında, özel bir yönetici ekibi, müşterilerinin yalnızca riski yönetmesine yardımcı olmak için değil, aynı zamanda işin riskini de yönetmek için sürekli olarak çalışıyor – ve siber suç faaliyetlerinin arttığı bir ortamda, finansal hizmetler kurulları tamamen farkında. Siber güvenlik riskinin grafiklerin dışında olduğunu.
Pandemi sırasında ortaya çıkan artan siber riski yönetmesine yardımcı olma göreviyle Şubat 2021’de şirkete katılan CISO Laura Deaner’a girin.
S&P Global, Dünya Ekonomik Forumu, PR Newswire ve Morgan Stanley gibi şirketlerde eski bir CISO ve siber güvenlik politikası danışmanı olan Deaner, iş riski yönetimi ile siber güvenlik risk yönetiminin ne kadar yakından bağlantılı olduğunu çok iyi biliyor ve son işine 20 ay kala , onu seviyor.
Cybercrime Magazine’e “Stratejiyi belirlemekten sorumluyum, ancak bunu BT risk yönetimi için de yapabilirim” dedi. “Oldukça şaşırtıcı ve büyüdüğüm finansal hizmetler yolunda ilerlemem için güzel bir yol oldu.”
Ancak bu yol, onu pandeminin başlamasından bu yana iki yıldan fazla bir süre içinde dramatik bir şekilde artan siber savaşların ön saflarında yavaş bir yürüyüşe çıkardı.
Gerçekten de, bir değerlendirmeye göre, finansal kurumların yüzde 74’ü, pandemi başladığından bu yana siber tehditlerde önemli bir artış yaşadı. Deloitte ise kısa süre önce finansal uygulamalara yönelik saldırıların yıllık bazda yüzde 38 arttığını kaydetti.
Bu artan tehdidi ele almak için Deloitte, “CISO’lara iş kollarını etkilemek ve kurum genelinden bilgi toplamak için daha fazla yetki verilmelidir” tavsiyesinde bulunuyor.
“Yönetim kurulu üyeleri, üst düzey yönetim ve paydaşlarla açık ve samimi görüşmeler yapmaya hazır olmaları gerekiyor.”
Korunması gereken böylesine önemli bir portföye sahip olan Deaner, tam da bunu yapıyor – bir siber güvenlik ihlalinin meydana gelmesini CISO’nun bir hata yaptığı varsayımıyla çok kolay bir şekilde karıştırabileceği konusunda uyarıyor.
Bu risk, CISO’ların işletme yöneticisine tavsiye vermekle bunun bir parçası olmak arasındaki çizgiyi nereye çekeceklerini bilmelerinin önemli olduğu anlamına gelir.
“Fazla dahil olmaktan endişeleniyorum,” diye açıkladı. “CISO’nun işi oldukça zor ve [executives] Masada çok önemli.”
“Ama bir kez daha fazla yönetime geçtiğinde, sesin var olduğundan, şeffaf olduğundan ve CISO’nun yeşil olmayan bir şey için suçlanmadığından emin olmak için çok odaklanmamız gereken yer burasıdır. [on the security dashboard] çünkü gerçekçi olmaya çalışıyoruz.”
Benzer şekilde, işletme yöneticilerinin siber güvenlik riskine artan aşinalıklarının, ilişkinin diğer tarafında da benzer şekilde saygılı olmalarına yardımcı olacağını umuyor.
“Eğer bunu anlarsan [CISOs] O kadar zor bir işe sahipler ki, yapmaları gereken şeyi yapıyorlar ve burada büyük bir ihmal yok, o zaman olması gereken şeylerin ve belki de belli bir düzeyde kaynakların olduğunu anlamaya başlıyorsunuz, ve hatta bu CISO’yu diğer bazı kişilerle etkinleştirmek.”
Deaner, “Gemide bir tür güvenlik geçmişine sahip biri olduğunda,” diye ekledi, “yolculukta belki yardımcı olabilecek diğer insanlarla bağlantı kurarsınız.”
Güvenlik görüşmesini şekillendirme
Kadın olan sadece 85 Fortune 500 CISO’dan biri – ve birinci sınıf 300 sınıfındaki dört kadından sadece biri – Deaner, kurulların siber güvenlik riskiyle ilgili çeşitli seslere maruz kalmasını sağlamak için bu bağlantıların özellikle değerli olabileceğini biliyor.
“Bütün o adamlarla birlikte o odada otururken kendime oraya ait olup olmadığımı sormaya devam ettim” diye açıkladı. “Ama bana sürekli oraya ait olduğumu söyleyen harika bir destek grubum vardı… bu bana sürekli olarak içsel işleyişi gerçekten anlamaya çalışarak kendimi daha fazla kanıtlama isteğini verdi. [of the business] yapabildiğim kadar.”
Bu, çoğu zaman siber güvenlik savunmalarına daha teknolojik odaklı bir yaklaşım benimseyen birçok CISO tarafından benimsenen yaklaşımdan farklı bir yaklaşımdır.
Bu zihniyet, sırayla, daha iyi güvenliğin yeni güvenlik araçlarına giderek daha fazla harcamaktan geldiği fikrini yönlendirdi – bu, 2025 yılına kadar 1,75 trilyon doları geçmesi beklenen siber güvenlik harcamalarında devam eden artışı açıklıyor.
Deaner, “Gerçekten gerçek bir siber olayla karşılaştığınızda olağanüstü miktarda zaman, kaynak ve kesinlikle para harcıyorsunuz – bu yüzden siber güvenlik harcamaları hakkında bu kadar büyük rakamlar duymak beni şaşırtmıyor” dedi.
“Böyle şişirilmiş bir pazar görmemizin nedeni [in terms of expenditure] çünkü bazı insanlar yıllarca modası geçmiş araçlara güvendikten sonra yetişiyor ve orada bulunan araç setlerine baktıysanız, her şey için bir araç varmış gibi geliyor.
Yine de CISO’ların araçlara çok fazla odaklanmaktan kaçınması önemlidir; gerçek başarının “insanları, süreci ve teknolojiyi içeren sağlam bir strateji” oluşturmaktan geldiğini söyledi.
“Sadece bir alet satın alıp tüm sorunlarınızı çözeceğini düşünmeyin…. Bunu dengelerseniz, siber güvenliğe çok daha az para harcayacağınızı düşünüyorum.”
– David Brown Melbourne, Avustralya merkezli ödüllü bir teknoloji yazarıdır.
David’s Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan dünyanın en büyük güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Güvenlik konusunda farkındalık eğitimine yönelik yeni bir okul yaklaşımıyla fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.