Koruma ve itibar riskini her zaman arka planda korumak için hassas bilgilerle, güvenlik liderlerinin neyin işe yarayıp neyin olmadığı hakkında açık görüşmeler yapması kolay değildir. Yine de güçlü akran ağları ve samimi değişimler, hem organizasyonel hem de kişisel olarak esneklik için kritik öneme sahiptir.
Net güvenlik röportajında, Michael Green, Michael Green, Trellix’ten CISO’ların güvenilir toplulukları nasıl inşa edebileceğini, gizlilikle bilgi paylaşımını nasıl dengeleyebileceğini ve en üst düzeyde liderlik ederken tükenmişlikten kaçınıyor.
CISOS, itibar riskinden korkmadan zorluklar ve başarısızlıklar hakkında samimi konuşmalara izin veren daha güçlü akran ağları nasıl yaratabilir?
CISO’lar arasında daha güçlü ağlar oluşturmak için güvenlik liderleri, endüstri ISAC’ları (bilgi paylaşımı ve analiz merkezleri) veya bulut, GRC ve düzenleyici gibi paylaşılan teknoloji/uyum alanlarında derneklere güvenen akran gruplarına katılabilirler. Bu gruplardaki protokoller ve prosedürler, üyelerin bunları veya kuruluşlarını riske atmadan anlamlı konuşmalar yapabilmelerini sağlar. Bu toplulukları, ekiplerinin proje veya karmaşık uyumluluk girişimlerini yürütmede karşılaştıkları zorluklar için sondaj tahtaları olarak kullanabilirler ve sonuç olarak, akranlarının sunduğu anlayışlara göre zamandan tasarruf edebilir ve verimliliği artırabilir.
Ne tür eşler arası forumlar veya gayri resmi topluluklar CISOS için en eyleme geçirilebilir bilgileri sağlar?
Sektöre özgü gruplar ve çevrimiçi forumlar kesinlikle değerli bilgiler sunabilir. Belirli teknolojilere (örneğin, bulut güvenliği, IoT güvenliği) veya uyum çerçevelerine (örneğin, PCI, GDPR, HIPAA) odaklanan uzman topluluklar genellikle belirli organizasyonel zorluklar için doğrudan uygulanabilecek ayrıntılı tartışmalar ve çözümler sunar.
Yerel veya bölgesel akran bölmeleri veya güvenlik satıcı forumları, dikkatli bir şekilde incelenmek isterken, ortaya çıkan tehditler ve güvenlik açıkları hakkında çok çeşitli perspektifler ve zamanında bilgi sunabilir. Diğer CISO’lara tavsiyem, değer güdümlü değişimlere öncelik veren grupları aramak ve aynı zamanda saygılı ve güvenli bilgi paylaşımı için normlar oluşturmaktır.
Buna ek olarak, her zaman liderlerin hem endüstrilerinin içinde hem de dışında mentor ve mentör aramasını öneririm. Örneğin, bir CIO/CTO’ya veya endüstrilerinin içinde veya dışında ürün sahibine rehberlik eden bir CISO, belirli roller veya sorunların üstesinden gelme konusunda değerli bilgiler ve yeni bakış açıları getirebilir. Mentor olmak, kendi operasyonel yöntemlerinizin değerli bir hatırlatıcısı olarak hizmet eder ve mentiler tarafından paylaşılan deneyimler CISOS’a her zaman yeni öğrenme fırsatları sunabilir.
CISOS, kendi kuruluşları hakkındaki hassas ayrıntıları koruma ihtiyacı ile endüstri çapında bilgi paylaşımının değerini nasıl dengeleyebilir?
Bilgi paylaşımı, her biri veri koruma için belirli protokollere sahip katmanlarda çalışır. ISACS, FBI ve DHS gibi varlıkları içeren üst katmanlar, gizli verileri doğru bir şekilde paylaşmak ve korumak için protokoller oluşturmuştur.
Diğer katmanlar, CVES veya diğer güvenlik açıklamaları gibi halka açık olan bilgi ve istihbarat içerebilir. Cisos ve ekipleri, halka açıkken bile mevcut uzlaşma göstergelerini (IOCS) ve diğer iyileştirme unsurlarını yorumlamak için endüstri gruplarından, ortaklıklardan veya satıcılardan yardım isteyebilirler.
Güçlü ortaklar hassas bilgileri korurken dahili operasyonlara aşina olacağından, platformları ve programları yönetmek için satıcı ortaklıklarını sürekli olarak geliştirmek çok önemlidir.
CISO rolü üstte izole olabilir. Kişisel esnekliği korumak ve tükenmişlikten kaçınmak için hangi uygulamaları en etkili buldunuz?
Şeffaflık ve delegasyon, tükenmişlikten ciso olarak kaçınmanın anahtarıdır. Yönetici liderlik ve yönetim kurulu üyeleri ile güçlü ilişkiler geliştirmek hayati bir rol oynamaktadır, ancak bunun ötesinde, teknoloji liderlerini, ürün sahiplerini ve çalışanlarını ilgilendirmek ve güçlendirmek de kritiktir.
Kuruluşun siber güvenlik duruşunu, potansiyel risklerini ve güvenlik girişimlerinin etkisini düzenli olarak iletmek önemlidir – bu, ortak güven ve anlayış oluşturabilir ve isteyebilir. Bu proaktif yaklaşım, siber güvenliği kötüleştirmeye yardımcı olur ve onu sadece CISO’nun yükünden ziyade toplu bir sorumluluk haline getirir.
Buna ek olarak, sadece güvenlik ekibiyle değil, daha geniş teknoloji ve ürün ekipleri ile sürekli öğrenme ve gelişme kültürünü teşvik etmek, çalışanları güçlendirecek, uzmanlığı dağıtacak ve daha esnek ve uyarlanabilir bir işgücü büyütecektir.
Aynı derecede önemli olan insanlar, süreç ve teknolojiye vurgu yapmaktır. Kurumsal paydaşlara ve uygulayıcılara uygun görüş alanını sağlayan bir risk yönetimi programı oluşturmak, kuruluşların toplu olarak iyileştirme için risk kararlarıyla başa çıkmasına olanak tanır. Prosedürler, yürütme ve raporlama birçok kuruluşta büyük bir artış olabilir.
CISO topluluğunun nasıl işbirliği yapmasıyla ilgili bir şeyi değiştirebilseydiniz, ne olurdu ve neden?
Kullanılabilirlik ve kaynaklar CISOS ve ekipleri için tekrar eden temalardır. Yani, CISO’lar her zaman bu farklı işbirliği seçeneklerine katılmak için zamanınız yoktur. Cisos’a, bu toplulukların bazılarında onları temsil etmek için kuruluşlarındaki liderlere delege etme yeteneklerini geliştirmelerini tavsiye ederim.
Daha fazla CISO’nun diğer iç siber ve teknoloji liderlerini dinlemelerini, katkıda bulunmalarını ve bu akran gruplarından değerli bilgileri organizasyonlarına geri getirmelerini güçlendirmek harika olurdu.