En az on yıldır, kariyer odaklı güvenlik liderleri, yönetim kurulu ve CEO ile etkili iletişimin önemini çok iyi anladılar. CISO’lar, kuruluşlarında güvenlik odaklı bir kültürü başarılı bir şekilde aşılamak için bu karar vericilerin desteğini almaları gerektiğini biliyorlar – etkili bir siber güvenlik bütçesi için yeterli fon sağlamaktan bahsetmiyorum bile.
Sorun şu ki, bugün çoğu CISO bu farkındalığı eyleme dönüştüremiyor. CISO’lar yönetim kurulu ve C-suite ile her zamankinden daha sık iletişim kurarken, riskleri yönetim kuruluna iletmelerine ve güvenlik ekibi ile işletmenin geri kalanı arasında anlamlı bir işbirliğini yönlendirmelerine yardımcı olan doğru anlatımları oluşturmak için hala mücadele ediyorlar.
Güvenlik uzmanları, CISO’ların yönetici meslektaşlarıyla daha güvenilir bir şekilde hedefe ulaşmak için mesajlarının içeriğini ve bağlamını yeniden düşünmeleri gerektiğine inanıyor. Ve en önemlisi, Orca Security’nin danışman CISO’su Andy Ellis, her etkileşim için dillerini ve hedeflerini sıkılaştırmaları gerektiğini söylüyor.
Önümüzdeki hafta RSA’da bu konuda sunum yapacak olan ve yeni kitabı, %1 Liderlik, bu hafta yayınlanacak. “Kelimenin tam anlamıyla, kitabımda ‘Harekete Geçirmek İçin En Küçük Argümanı Gerekli Hale Getirin’ başlıklı bir bölümüm var.” Geçmiş yıllara kıyasla bugün CISO’lar için iyi haber, onlar, yönetim kurulu ve C arasındaki iletişim kanallarının olmasıdır. -suite giderek açılıyor.
Ders şu ki, CISO’ların yönetim kurulu ile etkileşimlerinden daha iyi sonuçlar elde etmeleri için çok daha net ve basit bir iletişim gerekecek.
CISO Yönetim Kurulu Raporları Daha Sık Ama Etkisiz
Geçmiş yıllara kıyasla bugün CISO’lar için iyi haber, CISO’lar, yönetim kurulu ve C-suite arasındaki iletişim kanallarının giderek daha fazla açılmasıdır. Dark Reading tarafından Coalfire adına yürütülen The State of CISO Influence 2023 anketine göre, CISO’ların %28’i artık yönetim kuruluna aylık güncellemeler sunuyor ve bu oran sadece geçen yıl 10 puan arttı. Ek olarak, CISO’ların yarısından fazlası kurula en az üç ayda bir rapor verdiklerini söylüyor.
Ne yazık ki, CISO’lar ve yönetici grubu arasındaki iletişim sıklığındaki tüm artışlara rağmen, yukarı doğru iletişim büyük ölçüde etkisiz kalıyor.
Odayı okuyan gerçekçi CISO’lar, izleyicilerini kaybettiklerini hissediyorlar. Proofpoint’in yakın tarihli Voice of the CISO raporunda, büyük kuruluşlardaki güvenlik liderleri geçen yıl yönetim kurulu desteğinde büyük bir düşüş olduğunu bildirdi. Geçen yıl aynısını söyleyen %71’e kıyasla sadece %51 yönetim kurullarının desteğini aldıklarını söylüyor.
Bu arada yöneticiler, bu algının sadece CISO’ların kafasında olmadığını teyit ediyorlar. PWC tarafından bu ay yapılan bir araştırma, yöneticilerin üçte birinden daha azının bugün siber güvenlik hakkında edindikleri bilgilerden tamamen memnun olduğunu gösteriyor.
Delinea’da baş güvenlik bilimcisi ve Danışmanlık CISO’su Joseph Carson, “Daha da kötüye giden bir imaj krizimiz var ve kendimizi yeniden markalaştırmamız gerekiyor” diyor. CISO’nun siber güvenlik ayrıntılarına (saldırı ölçümleri ve kesin teknik ayrıntılar gibi şeyler) odaklanmayı bırakması ve kendilerini ölçmeye ve iş sonuçları hakkında iletişim kurmaya başlaması gerektiğini açıklıyor. “Yönetim kurulundan destek almanın yolu budur.”
Carson, CISO’ların yönetim kuruluyla iletişim kurarken düştükleri en büyük tuzaklardan birinin “onları teknik jargonla aşırı doldurmak” olduğu konusunda uyarıyor. Fortune 1000 CISO’larından oluşan bir topluluk olan RSAC Yönetici Güvenlik Eylem Forumu’nun (ESAF) yakın tarihli bir araştırması, CISO’ların yarısından fazlasının, yani %58’inin, teknik dili üst düzey liderliğe anlayabilecekleri bir şekilde iletmek için mücadele ettiklerini kabul ettiğini gösteriyor.
Hatta en başta bu dili açıklamaya çalışıyor olmaları bile, daha verimli kurul tartışmalarını kolaylaştırmak için güncellemelerinin içeriğinin ne kadar değişmesi gerektiğini gösteriyor.
Peri Masalı Yaklaşımını Kullanmak
Coalfire’ın genel müdürü Kurt Manske’ye göre, CISO’ların yönetim kurullarıyla hangi kilit noktaları, gerçekleri veya rakamları paylaşacaklarını anlamakta sık sık mücadele ettiğini görüyor.
Manske, “Daha teknik odaklı CISO’lar için temel sorun, yönetim kurulu sunumu ve tartışması sırasında ‘eğitimden’ ‘iletişime’ ne zaman ve nasıl geçileceğidir” diyor.
Bazen sadece bir teknik ayrıntıdan bahsetmek, bir CISO’yu eğitici bir tavşan deliğine sürükleyebilir ve bu da yönetim kurulunu bir CISO’nun gerçekten iletmeye çalıştığı şeyin etinden tamamen uzaklaştırır. Ellis’in RSA’da yakında çıkacak olan “Yönetime Peri Masalları Anlatmak: Saldırı Grafiklerini İş Hikayelerine Dönüştürün” başlıklı konuşmasının arkasındaki itici güç, CISO’ların bu tür konuşmaları öldürücü konuşmalardan kaçınmasına yardımcı olmaktır.
Ellis, Orca Security’deki pozisyonunda, firmanın bir kuruluşun altyapısı içindeki potansiyel saldırı yollarını gösteren grafik tabanlı görselleştirme haritaları geliştirmesine yardımcı oldu. Bu araç, olası bir saldırı öyküsünü güvenlik ekiplerine iletmede ne kadar değerli olsa da, onları asla kurula göstermeyeceğini söylüyor. Konuşma fikri, Ellis’in görselleştirme anlatımının yönetim kurulu için işe yaramadığını düşünmesine şaşıran Orca’nın genelkurmay başkanı, yardımcı konuşmacı ve teknik muadili Oren Sade ile bunu paylaştığında ortaya çıktı.
“‘Neden? Bu harika. Bu basit bir hikaye Andy, bu hikayeyi yazmamıza sen yardım ettin’ dedi” diyor. “Ve evet, ama Spring4Shell dediğim an – ya da istismar edilen güvenlik açığı ne olursa olsun – şimdi Spring4Shell’in ne olduğunu açıklamak için 45 dakika harcamam gerekiyor çünkü yönetim kurulu üyelerinin yarısı bağlamı unuttuklarını düşünüyor. .”
Konuşması, çeşitli teorik saldırı yolları tarafından anlatılan beş farklı teknik ‘öyküyü’, yönetim kurulu üyeleri için gerçekten işe yarayan bir slayt destesine ve anlatım hattına çevirecek. Ancak bunu yapmadan önce, izleyicilerin ne yapmaya çalıştığını anlamalarına yardımcı olmak için bunu bir peri masalı ile çerçevelendiriyor.
“Kelimenin tam anlamıyla sahnede olacağım ve Kırmızı Başlıklı Kız’ın ilk dört dakikasını okuyacağım ve sonra gerçekten bir saldırı yolu oluşturacağız ve ‘İşte kurdun Küçük Kırmızı’ya ve tümüne yaptığı saldırı bu. istismar edilen güvenlik açıkları” diyor. “Sonra, ‘Ama dikkat edin, eğer bunu bu şekilde anlatmaya çalışırsanız, kimsenin umurunda değil’ diyoruz.”
Ellis’in açıkladığı gibi, peri masalında hikaye aslında Kırmızı Başlıklı Kız’ı yiyen kurt hakkında değildir. Hikaye, ‘yabancılarla konuşma’ ve ‘izden ayrılma’ gibi tehlikelerden kaçınma mesajları ileten, çocuklar için uyarıcı bir hikayedir.
Benzer şekilde, kurulun hikayeleri, bunun olma olasılığını artıran tehlikeleri belirlemede güvenlik profesyonellerinin uzmanlığını kullanarak gereksiz kayıpları önleme mesajına doğru gidiyor.
“Güvenlik açığı olan bir sistem tehlike değildir. Tehlike, ‘Sistemlerimize yeterince yama yapmıyoruz'” diye açıklıyor. “İlginç olan, sonunda ne olduğu, değil mi? Müşteri verileri çalınıyor, fidye yazılımı her ne ise, kontrolü ele alıyor. Her zaman kabul edilemez sonuçlardan bahsederek başlıyorsunuz.”