CISO'lar Siber Güvenliği Yönetim Kurulları için Nasıl Uzun Vadeli Bir Öncelik Haline Getirebilir?


YORUM

Siber saldırılar şirketlerin müşterilerine, operasyonlarına ve itibarlarına yönelik en büyük tehditler arasında yer aldığından, siber güvenlik, sorumlu kurumsal yönetim açısından hiç bu kadar kritik olmamıştı.

Yönetim kurulları, tüm iş gücünü gelişen siber tehditlere hazırlamak için siber güvenlik farkındalığı eğitim programlarına yatırım yapmalı ve bilgi güvenliği sorumlusunun (CISO) bu çabayı desteklemesi gerekiyor.

CISO’lar hayati bir rol oynuyor Şirket genelinde, özellikle yönetim kurulunda, siber güvenliğe yönelik paydaş desteğinin oluşturulması. Yönetim kurulu üyeleri genellikle şirketin siber güvenlik duruşu hakkında bilinçli kararlar vermek için gerekli bilgiye sahip değildir ve onları açık ve ikna edici bir şekilde eğitmek CISO'nun görevidir. CISO'lar, siber saldırıların ne kadar hasara yol açabileceğini, çalışanların bu saldırıları tespit edip önleyecek donanıma sahip olabileceğini ve risk azaltma programlarının sorumluluğunu nasıl sürdürebileceklerini göstermelidir.

En İyi 5 CISO İletişim Stratejisi

CISO'ların, siber güvenlik kavramlarını ilgi çekici ve teknik olmayan bir şekilde iletmekten, yönetim kurulu üyelerine siber güvenlik programlarının önemli yatırım getirisi sunduğunu göstermeye kadar, yönetim kurullarından farkındalık eğitimi için uzun vadeli destek almalarına yardımcı olacak çeşitli stratejiler vardır. CISO'ların yönetim kurullarına siber güvenliğe öncelik verme zamanının geldiğini gösterebilecekleri en önemli beş yola daha yakından bakalım.

1. Teknik olmayan izleyicilerle nasıl iletişim kuracağınızı bilin.

neredeyse üç çeyrek CISO'ların yüzde 50'si “yönetim kuruluyla yeterli düzeyde etkileşime sahip olduklarını” söylerken, CISO'ların çoğunluğu kurullarının “sunumlarına etkili bir şekilde yanıt verecek bilgi veya uzmanlığa” sahip olmadığını bildiriyor. CISO'ların bu kopukluğu gidermek için daha fazlasını yapması gerekiyor; değerlendirme ile başlayan bir süreç yönetim kurulu üyeleriyle nasıl iletişim kuruyorlar.

Siber güvenlik, teknik bilgisi olmayan kitle için korkutucu bir konudur ancak böyle olmak zorunda değildir. CISO'lar, başarılı siber saldırıların gerçek dünyadaki yıkıcı sonuçlarına işaret ederek, siber suçluların kurbanlarını nasıl aldattığını ve manipüle ettiğini ortaya koyarak ve doğru davranışsal müdahalelerin tüm çalışanların siber saldırılara direnmesini sağlayabileceğini açıklayarak siber güvenlik konusunda anlaşılır ve ikna edici bir örnek oluşturabilir. CISO'lar ayrıca siber saldırıların somut örneklerini de vurgulayabilir.

İle Siber güvenlik yatırımlarını artırmayı planlayan kurullarCISO'ların farkındalık eğitimi gibi risk azaltma stratejilerinin değerini açıkça vurgulaması önemlidir.

2. Siber etki zincirinin tamamına odaklanın.

IBM'e göre, bir veri ihlalinin ortalama maliyeti 2023'te 4,45 milyon dolara yükseldi. Siber saldırılar aynı zamanda ciddi itibar hasarına, operasyonların aksamasına, yasal ve düzenleyici sonuçlara ve şirketin işgücünün sağlığı üzerinde sakatlayıcı etkilere de yol açabilir. Bu, siber etki zinciri olarak biliniyor; CISO'ların yönetim kurulu üyeleriyle tartışması gereken çok önemli bir kavram.

Yönetim kurullarının, siber saldırıların etkilerinin anlık mali yüklerin çok ötesine uzandığının farkında olması gerekir. Tüketicilerin %86'sının veri gizliliği konusunda endişeliBüyük bir siber saldırı güveni yıllarca zedeleyebilir. Veri düzenlemeleri giderek daha sıkı hale geldikçe şirketler, ele geçirilen müşteri bilgilerinden sorumlu tutulacak.

CISO'lar, kurulları siber saldırıların sonuçları konusunda eğitmek için ihtiyaç duydukları tüm bilgilere sahiptir. Sadece bu bilgiyi yönetim kurulu üyelerinin dikkatini çekecek şekilde sunmaları gerekiyor.

3. İnsan unsurunu vurgulayın.

CISO'lar, önde gelen siber suç taktiklerinin nasıl engellendiğini açıklayacak bilgiye sahiptir. Örneğin, 74Tüm ihlallerin yüzdesi insan unsurunu içerir; bu, sosyal mühendisliğin siber suç cephaneliğindeki en güçlü silahlardan biri olmaya devam ettiğinin endişe verici bir hatırlatıcısıdır.

CISO'ların sosyal mühendislik tehdidini kurullarıyla verimli bir şekilde tartışmalarının birkaç yolu vardır. Sosyal mühendislik saldırılarının etkisine dair somut kanıtlar sunabilir, farkındalık eğitiminin bu saldırıları önlemek için şirketi nasıl güçlendirdiğini açıklayabilir ve çalışanları eğitmenin en etkili yollarını vurgulayabilirler. Siber güvenlik herkesin sorumluluğundadır; bu nedenle CISO'ların tutarlı, eğlenceli ve ilgili farkındalık eğitimi içeriğiyle çalışanların tam katılımını sağlamaları gerekir.

Farkındalık eğitimi bunlardan biridir. Veri ihlallerinin mali etkisini azaltmanın en iyi yolları Çünkü şirketlerin ortaya çıkan siber tehditlere ayak uydurmasına ve bireysel psikolojik duyarlılıkları ve öğrenme tarzlarını hesaba katacak şekilde kişiselleştirilmesine yardımcı olabilir. Sosyal mühendislik, siber saldırıların çoğunluğunun ayrılmaz bir parçası olmaya devam ettiği sürece, CISO'ların insan odaklı siber güvenliğe öncelik vermesi gerekecektir.

4. Farkındalık eğitimi programlarının nasıl ölçülebileceğini ana hatlarıyla belirtin.

Siber güvenliğe yapılan yatırımlar arttıkça, CISO'ların farkındalık eğitiminde hesap verebilirliği çalışmalarının temel direği haline getirmesi gerekiyor. Yönetim kurulu üyeleri siber güvenlik harcamalarının karşılığını aldığını gördüklerinde CISO'lar desteği sürdürebilecek.

CISO'lar, çalışanların en acil siber tehditler ve taktikler hakkında bilmeleri gerekenleri öğrendiğinden emin olmalıdır. Şirketler, güvenlik açıklarını ortaya çıkarmak ve çalışanların öğrendiklerini gerçek dünya senaryolarında uygulayıp uygulayamayacaklarını belirlemek için kimlik avı simülasyonu gibi değerlendirmeleri kullanabilir. IBM'e göre kimlik avının en sık görülen ve en maliyetli ikinci saldırı vektörü olduğu göz önüne alındığında, bu testler özellikle değerlidir.

Kimlik avı simülasyonunun ötesinde, CISO'lar yönetim kuruluna karşı diğer sorumluluk biçimlerinin ana hatlarını çizebilir: çalışanlara özel davranışsal risk profilleri, kuruluş çapında güvenlik değerlendirmeleri ve proaktif olay raporlama. Bunların hepsi, yönetim kuruluna siber güvenliğe tahsis edilen kaynakların iyi bir şekilde kullanıldığına dair güvence vermenin yollarıdır.

5. Uzun vadeli desteği güvence altına alın.

Siber saldırılarla ilgili artan endişelere rağmen, pek çok şirket siber güvenliği hâlâ bir kontrol uygulaması olarak görüyor. Yılda birkaç kez birkaç e-posta PSA'sına veya formalite icabı siber güvenlik sunumlarına güveniyorlar ve bu da çalışanlara sürdürülebilir davranış değişikliğini güvence altına alacak tutarlı ve ilgi çekici içerik sağlayamıyor.

Siber tehdit ortamı her zaman değiştiği için şirketlerin, geniş ölçekte ikna edici ve hedefe yönelik kimlik avı mesajları oluşturmak için yapay zeka kullanımı gibi en son siber suç taktikleri konusunda çalışanlarını bilgilendirmesi gerekiyor. Tutarlılık, çalışanların öğrendiklerini güçlendirmek ve siber suçluların yararlandığı psikolojik güvenlik açıkları gibi zayıf yönleri belirlemek için de gereklidir. Güvenlik farkındalığı eğitim programının amacı, organizasyonun her seviyesinde bu zorluklara uyum sağlayabilecek bir siber güvenlik kültürü oluşturmaktır.

Siber suçlular, çalışanları manipüle ederek şirketlere sızmak için sürekli olarak giderek daha karmaşık ve etkili yöntemler geliştiriyor. Bu nedenle CISO'ların, müşteri memnuniyeti puanı (CSAT) gibi etkili siber güvenlik girişimleri için yönetim kurullarından uzun vadeli destek almaları gerekiyor; tehdit giderek daha da vahim hale geliyor ve şirketlerin hazırlıklı olma sorumluluğu var.





Source link