Bu Help Net Security röportajında, Veritas Technologies’de CISO olan Christos Tulumba, CISO’lar için artan kişisel sorumluluk risklerine katkıda bulunan temel faktörleri tartışıyor. Bu riskler, artan siber güvenlik tehditleri, gelişen düzenlemeler ve güvenlik ihlallerine ilişkin artan kamu farkındalığı tarafından yönlendiriliyor.
Tulumba ayrıca CISO’ların bu riskleri azaltmak için atabilecekleri proaktif adımları paylaşıyor ve üst düzey yöneticiler ve yönetim kurulu üyeleriyle şeffaf iletişimin önemini vurguluyor.
CISO’lar için kişisel sorumluluk risklerinin artmasına katkıda bulunan temel faktörler nelerdir?
CISO’nun rolü geçtiğimiz yıl önemli ölçüde değişti. Kişisel sorumluluğun artmasına doğru belirgin değişim büyük ölçüde üç faktörün sonucudur:
Öncelikle, kuruluşlar her zamankinden daha büyük siber güvenlik riski altındadır. Saldırganlar ve malları her geçen gün daha da gelişmiş hale geliyor. Aynı zamanda, tüm faydalarına rağmen, yapay zeka gibi yeni teknolojiler genellikle toplanmaya hazır güvenlik açıklarını gizleyebilecek giderek daha karmaşık dijital altyapılarla sonuçlanıyor.
İkincisi, gelişen düzenleyici ortam. Avrupa’daki Dijital Operasyonlar Dayanıklılık Yasası (DORA) ve ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) çeşitli yeni düzenlemeleri gibi yasalar, veri ihlalleri için kişisel sorumluluğu yasal olarak doğrudan CISO’nun omuzlarına yüklüyor.
Son olarak, güvenlik zaafları konusunda daha geniş bir kamu bilinci. SEC artık halka açık şirketlerin önemli siber güvenlik olaylarını dört gün içinde açıklamasını gerektiriyor. Bu, kritik altyapıya sahip olan veya işleten kuruluşların siber olayları ve fidye ödemelerini 24 ila 72 saat içinde bildirmesini gerektiren Güçlendirme Amerikan Siber Güvenliği Yasası’na ek olarak.
Yüksek profilli siber olaylar, CISO’ların kişisel sorumluluk algısını ve gerçekliğini nasıl etkiledi?
Birçok kuruluşun siber güvenlik olaylarını zamanında ifşa etmesi gerekse bile (az önce bahsettiğim gibi), bu tüm bu olayların herkes tarafından bilindiği anlamına gelmiyor. Aslında, nispeten azı bunu yapıyor. Kamuoyunu en çok etkileyen olaylar olan yüksek profilli siber güvenlik ihlalleri, yoğun kamu incelemesine yol açan olaylardır. Bu olaylar manşetlere çıktıkça, müşteriler değişim talep ediyor. CISO için ne yazık ki bu durumlarda algı gerçeklik oluyor ve daha geniş bir yönetici ve yönetim kurulu üyesi grubu sorumluluğu paylaşsa bile, genellikle kurban edilen kuzu oluyorlar.
CISO’lar kişisel sorumluluk riskini azaltmak için hangi proaktif adımları atabilir?
Atasözünde de söylendiği gibi, “bir ons önlem bir pound tedaviden iyidir.” Bu nedenle, ilk ve en önemlisi, kuruluşunuzun siber dayanıklılığını güçlendirerek temel işinizi yapın. Ekibinizin tüm varlıklarınızın görünürlüğünü sürdürmek için kaynaklara, becerilere ve rehberliğe sahip olduğundan emin olun; çevre savunmalarını düzgün bir şekilde yapılandırın; sağlam bir yedekleme ve kurtarma stratejisiyle iş açısından kritik verileri ve uygulamaları koruyun; parolalar, en az ayrıcalık ilkesi ve uzaktan ve kişisel cihaz erişimi gibi şeyler için güçlü güvenlik politikaları uygulayın; etkili çalışan siber güvenlik farkındalık eğitimleri gerçekleştirin; ve son olarak, test edin ve prova edin, test edin ve prova edin, test edin ve prova edin.
Ayrıca ateşe ateşle karşılık vermek de yardımcı olur. Siber suçlular taktiklerini geliştirmek için yapay zekayı kullanıyor. Yukarıdaki siber dayanıklılık adımlarının her birinin etkinliğini geliştirmek için yapay zeka destekli teknolojiyi uygulamak, kötü niyetli kişilerden bir adım önde olmanızı ve başarılı bir ihlalden kişisel olarak sorumlu tutulma riskinden kaçınmanızı sağlayacaktır.
Bir diğer anahtar, diğer yönetici liderler ve yönetim kurulu üyeleriyle net iletişim hatları kurmaktır. Tamamen şeffaf olun ve henüz tam olarak anlamadığınız veya başa çıkmak için kaynaklara sahip olmadığınız ortaya çıkan ve potansiyel sorunları örtbas etme cazibesine kapılmayın. “Sana söylemiştim” diyebilmek, “yapmalıydın, yapabilirdin, yapardın” demekten çok daha iyidir.
Yöneticiler ve yöneticiler için sigorta poliçeleri, CISO’ları kişisel sorumluluktan korumada ne kadar etkilidir?
Yöneticiler ve memurlar (D&O) sorumluluk sigortası, CISO için bir miktar koruma sağlayabilir, ancak siber güvenliğin dinamik alanındaki etkinliği %100 kesin değildir. Bu poliçeler genellikle profesyonel kapasitelerinde alınan kararlar nedeniyle yöneticilere karşı açılan davalardan kaynaklanan yasal ücretleri ve zararları kapsar, ancak siber güvenlik hataları için kişisel sorumluluğu içeren düzenlemeler, geleneksel D&O kapsamının kapsamını ve sınırlarını zorlayabilir.
Sigorta sağlayıcılarının, CISO’ların karşılaştığı belirli riskleri ele almak için politikalarını ayarlamaları gerekebilir. Bu, daha etkili, kişiye özel bir kapsama yol açsa da, aynı zamanda daha yüksek primlere veya pratik olmayacak kadar çok istisnaya da yol açabilir.
Kuruluşlar, siber olaylardan haksız yere sorumlu tutulmamalarını sağlamak için CISO’larına nasıl daha iyi destek sağlayabilirler?
Kuruluşların hoş karşılanan bir şeffaflık kültürü geliştirmeleri gerekir. CISO, yönetici liderlik ekibine ve yönetim kuruluna zor gerçekleri getirmekten korkuyorsa, bir sorun var demektir. Ekibimizde, iyi giden şeyler hakkında pek konuşma eğiliminde olmayız. Bunun yerine, neredeyse yalnızca iyileştirmemiz gereken şeylere odaklanırız. Kırmızı bayraklar kaçındığımız değil, benimsediğimiz şeylerdir, böylece herkes risklerin ve olası zayıflıkların farkında olur.
Aynı derecede önemli olan, en iyi güvenlik ekibi bile gerekli kaynaklar sağlanmazsa başarısız olacaktır. Bu, yalnızca yukarıdaki siber dayanıklılık stratejilerini yürütmek için devam eden bütçe desteğini değil, aynı zamanda kritik güvenlik önlemlerini uygulama yetkisini de içerir. Güvenlik önerileri, kuruluşun diğer bölümleri tarafından sürekli olarak geçersiz kılınır veya görmezden gelinirse, CISO’nun çabaları boşuna olur.
Mevcut ve aday CISO’lara kişisel sorumluluğun karmaşıklıklarıyla başa çıkma konusunda ne gibi tavsiyelerde bulunursunuz?
Çoğu CISO için gereken en büyük iyileştirme alanı iletişim becerileridir. Belirttiğim gibi, şeffaflık siber güvenlik ihlallerinden ve bunun sonucunda ortaya çıkan kişisel sorumluluk riskinden kaçınmak için her şey kadar önemlidir ve şeffaflık etkili iletişim gerektirir. Sadece bu değil, hem kuruluşunuzu hem de sizi koruyacak siber dayanıklılık stratejilerini yürütmek için ihtiyaç duyduğunuz kaynaklar için pazarlık yapmak da etkili iletişim gerektirir. Son olarak, etkili iletişim, siber güvenliği bir engel değil bir iş kolaylaştırıcısı olarak konumlandırarak siber güvenlik en iyi uygulamalarına kuruluş çapında katılım sağlama yeteneğinizde önemli bir rol oynar.