Siber güvenlik sektörü 15 yılı aşkın bir süredir yönetim kurulu ile iletişim kurmaktan bahsediyor. Satıcıların, fırsat bulduklarında bilgi güvenliği baş görevlilerinin (CISO’lar) kurullarına nasıl ve ne sunmaları gerektiğine ilişkin e-kitaplar, web seminerleri ve sunumlar düzenlemesi yaygın bir uygulamadır.
Fırsat eksikliğinin yanı sıra, CISO’lar, yatırım getirisini ölçmek için kendilerine ait bir araçları olmayan tek C düzeyindeki yöneticiler oldukları için kurula sunum yapma konusunda endişeleri olabilir. Salesforce’tan Workday’e ve Marketo’ya kadar üst düzey yöneticiler, operasyonun her yönünü bir araya getiren, analiz eden ve raporlayan platform çözümlerine sahiptir. CISO için böyle bir çözüm olmaması, güvenlik programı yatırım getirisini ölçmeyi veya iş değerini göstermeyi zorlaştırıyor.
İroni şu ki, onlara sunmaktaki tüm ilgiye rağmen, siber güvenliğin yönetim kurulunun temel yetkinliği olmadığını söylemek yetersiz kalıyor. WSJ Pro Siber Güvenlik Araştırması, tüm S&P 500 yönetim kurulu üyelerinin profesyonel geçmişini araştırdı ve %2’den azının “son 10 yılda siber güvenlik konusunda ilgili profesyonel deneyime sahip olduğunu” buldu.
Kim olursanız olun, anlamadığınız bir şeye büyük ilgi duymak zordur. Yani, öğrenmek için motive olana kadar. Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) sayesinde, şu anda önümüzde kurullar ve siber güvenlik için büyük bir uyanış var.
Harvard Business Review’a göre, “önerilen bir SEC kuralı, şirketlerin, kurulun siber risk gözetimi, yönetimin siber riskleri değerlendirme ve yönetmedeki rolünün bir açıklaması, bu tür yönetimin ilgili uzmanlığı ve yönetimin yetkileri dahil olmak üzere siber güvenlik yönetişim yeteneklerini açıklamasını gerektirecektir. şirketin siber güvenlik politikalarının, prosedürlerinin ve stratejilerinin uygulanmasında rol oynar.”
Şu andan itibaren daha fazla kurulun siber güvenlik geçmişi olan deneyimli yöneticiler aramasını beklerdim. Bu arada, bu CISO’lar için ne anlama geliyor?
Harika bir fırsat
Siber güvenliğe ani bir ilgi duyan ancak bu konuda çok az bilgi sahibi olan yönetim kurulu üyelerinin bilmek istedikleri ile bilmeleri gerekenler oldukça farklı olabilir. Örneğin, manşetlerdeki en son saldırıya çok fazla odaklanmak veya uyumluluğa çok fazla odaklanmak. Testi öğretmek gibi, uyumu sağlamak doğru yönde atılmış iyi bir adım olabilir, ancak her zaman mümkün olan en iyi güvenlik önlemlerini uygulamaya çalışmakla aynı şey değildir. Uyumluluğu sağlamak, riski en aza indirmek ve en kritik varlıkları korumak yerine güvenlik hedefi haline geldiğinde asıl noktayı kaçırmış oluyoruz.
CISO’nun kuruluşları için bir “iş kolaylaştırıcı olarak siber güvenlik” anlatısı oluşturması için ne büyük bir fırsat. Toplantı odasındaki yeriniz artık güvencede. Ara sıra yapılan tek seferlik güncelleme yerine, artık sürekli olarak iş görüşmesinin bir parçasısınız. Bu, siber güvenliği yönetim kurulunun anlayacağı iş kararları bağlamına yerleştirmek için bir fırsattır. Kısaltmalardan ve tehditler, güvenlik açıkları ve saldırılarla ilgili teknik konuşmalardan kurtulun. İş dilinde akıcı olun ve her gün alınan iş kararlarının siber sonuçları hakkında konuşun.
Hibrit bir çalışma ortamında çalışanları daha üretken kılan SaaS uygulamalarının kullanımı, kritik iş verileri artık bir üçüncü tarafın kontrolünde olduğundan, kuruluşu daha fazla riske maruz bırakır. Coğrafi genişlemeyi yönlendiren iş ortaklıkları, pazar payını yakalamak için yeni uygulamaları mümkün olan en kısa sürede pazara sürmek veya mühendislik ekibini ölçeklendirmek için satın almak, siber güvenlik konusunda muazzam sonuçlar doğurur. Örneğin, bir şirketi satın aldığınızda, onun saldırı yüzeyini de devralırsınız. Kurumsal kaynaklara erişmesi gerekenler yalnızca yeni bir çalışan grubu değil, tüm yüklenicileri, ortakları, tedarikçileri vb. Bağlantılı varlıkların ve çıkarımların karmaşık, genişletilmiş bir dijital ağıdır.
Güvenlik liderlerine, siber güvenliği bir iş bağlamında somut hale getirmeleri tavsiye edilir. İşin diğer herhangi bir bölümünde olduğu gibi, kuruluşun kendisini maruz bırakmaya istekli olduğu kabul edilebilir risk seviyesinin ne olduğu ile ilgili olarak alınması gereken kararlar ve dikkate alınması gereken takaslar vardır.
Otomasyon ve Kanıt
SEC’in gözünde yönetim kurulunun hangi varlıklardan sorumlu olduğuna ve nasıl izlendiğine ve proaktif olarak korunduğuna dair kanıtlara ihtiyacı var. İhlal durumunda, yönetim kurulu bundan ne zaman haberdar oldu ve olayı ne kadar hızlı yanıtladı ve ifşa etti?
Neyi koruduğunuzu ve bunu nasıl yaptığınızı bilmekle başlar. Kritik varlıkların keşfi, modern bir siber güvenlik programında görünürlük, sınıflandırma ve iyileştirme çabalarının temelini oluşturan temel bir yetkinlik haline gelir. Hibrit bulutlar, SaaS iş ortakları ve dijital tedarik zincirlerinde verilerin ve kurumsal bağlantılı varlıkların boyutu, hareketi ve büyümesiyle başa çıkmak için keşif ve sınıflandırma otomatikleştirilmelidir. Koruma, herkese açık tüm varlıklar genelinde her bağımlılık, bağlantı ve güvenlik açığı dahil olmak üzere bu genişleyen saldırı yüzeyinin tam görünürlüğü ile başlar. Buradan, en değerli varlıklarınıza yönelik en kritik tehditlere karşı korumaya öncelik verebilirsiniz.
Otomatik keşif ayrıca atıl, kullanılmayan ve gereksiz varlıkları da belirleyebilir. Bu şekilde, siber riski azaltmak ve aynı zamanda yüzey yayılmasına saldırmak için etkili bir şekilde devre dışı bırakılabilirler.
Çözüm
Şimdi yönetim kurulunu kötü amaçlı yazılım ve fidye yazılımı arasındaki fark konusunda eğitmenin zamanı değil. Tehdit ortamının ve kuruluşun karşı karşıya olduğu belirli risklerin ve açıkların tam bir resmini çizmekle ilgilidir. CISO’lar, riski ölçerken ve azaltırken işi mümkün kılmak için genel güvenlik programından ve stratejik girişimlerden bahsetmelidir.
Yönetim kurulunun işletmenin nerede savunmasız olduğunu, kontrollerin nerede bittiğini ve maruz kalmanın nerede başladığını anlamasına yardımcı olun. Sonuçlar ve koruma seçenekleri nelerdir? Günün sonunda, siber güvenlik, büyüyen marjlar ve pazar payı gibi bir iş sorunudur. İş hedefleriyle uyumlu stratejik öncelikler ve yatırımlar. Kulağa çok basit geliyor.