Ross Young, Team8’de yerleşik CISO’dur ve OWASP Tehdit ve Koruma Matrisinin (TaSM) yaratıcısıdır. Bu röportajda siber güvenlik profesyonellerinin, güvenlik stratejilerini iş öncelikleriyle uyumlu hale getirerek sunumlarını yönetim kuruluna nasıl uyarlayabilecekleri konusundaki bakış açısını paylaşıyor.
Ayrıca yönetim kurullarının siber güvenlikle ilgili yaygın yanlış kanılarını tartışıyor ve siber güvenliğin devam eden iş tartışmalarında ön planda ve merkezde kalmasını sağlamak için yöneticilerle kalıcı ilişkiler kurma konusunda pratik tavsiyeler sunuyor.
Siber güvenlik profesyonelleri sunumlarını yönetim kurulunun öncelikleriyle uyumlu hale getirirken hangi önemli hususları dikkate almalıdır?
Yönetim kurullarına sunum yapan siber güvenlik liderlerinin, siber güvenlik girişimlerini yalnızca risk azaltma yerine iş büyümesi ve gelir etkisi açısından çerçevelemeleri gerekiyor. Yönetim kurulu üyeleri, güvenlik programlarının şirketin kârlılığını doğrudan nasıl etkilediğini anlamak istiyor; bu nedenle sunumların, güvenlik önlemlerinin müşteri güvenini nasıl artırdığını ve satışların tamamlanmasını nasıl sağladığını vurgulaması gerekiyor. Örneğin, e-Ticaret ile, kolaylaştırılmış çok faktörlü kimlik doğrulama işlemleri daha sorunsuz hale getirdiğinde, alışveriş sepetini terk etme oranlarını ölçülebilir şekilde azaltabilir ve geliri artırabilir.
Siber güvenlik uzmanları, güvenlik açığı yönetiminin gelir getirici hizmetleri nasıl koruduğuna dair somut örnekleri paylaşarak durumlarını güçlendirebilirler. Proaktif güvenlik testlerinin, satışların en yoğun olduğu dönemlerde müşterinin karşılaştığı kritik uygulamaları nasıl çalışır durumda tuttuğunu, rakipler kesintiler yaşarken gelir akışını nasıl koruduğunu gösterebilirler. Zor zamanlarda iş operasyonlarını koruyan etkili felaket kurtarma planlamasına ilişkin hikayeler özellikle yönetim kurulu üyeleri arasında yankı uyandırabilir.
Güvenlik profesyonelleri, yönetim kurulunun iş değeri ve kârlılık dilini konuşarak programları için daha etkili bir şekilde destek ve kaynak elde edebilirler. Önemli olan, güvenlik girişimlerini tutarlı bir şekilde ölçülebilir iş sonuçlarına bağlamaktır.
Yönetim kurullarının siber güvenlik konusunda hangi yaygın yanılgıları var ve bunlar nasıl çözülebilir?
Birincisi, yönetim kurulları genellikle yeterli harcamanın tek başına tüm siber saldırıları önleyebileceğine inanıyor. Durum kesinlikle böyle değil ve güvenliğin üç savunma hattının tamamında nasıl çalıştığını gözden kaçırıyor. Yatırım önemli olsa da kuruluşların etkili bir güvenlik duruşu oluşturmak için operasyonel yönetim (birinci hat), risk yönetimi fonksiyonları (ikinci hat) ve iç denetim (üçüncü hat) arasında koordineli çabaya ihtiyacı vardır. Saldırıların tamamen önlenmesi imkansızdır, bu da dayanıklılık ve müdahale yeteneklerini önleyici tedbirler kadar eşit derecede önemli hale getirir.
Diğer bir yanılgı, ISO 27001 ve SOC2 Tip 2 gibi sertifikalara gereğinden fazla değer verilmesidir. Bu sertifikalar, ikinci basamak uyumluluk gereksinimlerini karşılasa ve müşteri güvencesine yardımcı olsa da, otomatik olarak sağlam bir güvenliğe dönüşmezler. Geliştiriciler ve operasyonel personel de dahil olmak üzere ilk savunma hattı, sertifika durumu ne olursa olsun, günlük çalışmalarında güvenlik uygulamalarını aktif olarak uygulamalıdır.
Son olarak, kurullar genellikle güvenlik sahipliğini yanlış anlıyor. Güvenlik ekibi genellikle risk yönetimi ve uyumluluk fonksiyonlarının yanı sıra ikinci savunma hattında faaliyet gösterirken, güvenliğin birincil sorumluluğu birinci hat operasyonel ekipleriyle, özellikle de geliştiricilerin uygulamalarını güvence altına almasıyla başlar. Üçüncü hat (iç denetim) bağımsız güvence sağlar, ancak güçlü birinci hat güvenlik uygulamalarının yerini tutamaz.
Siber güvenlik liderleri yönetim kuruluna sunum yaparken hangi yaygın geri dönüşler veya zorluklarla karşılaşabilir ve bunları nasıl ele almalılar?
En zor konulardan biri, özellikle bunların ele alınmasında sınırlı ilerleme kaydedildiği durumlarda, kalıcı risklerin şeffaf bir şekilde iletilmesidir. Liderler devam eden bu güvenlik açıklarını küçümseme konusunda baskı hissedebilirler ancak bunu yapmak yanlış bir güvenlik duygusu yaratabilir. Önemli olan, bu devam eden riskleri iş etkisi açısından çerçevelemek ve zaman içinde risk azaltmaya yönelik gerçekçi, aşamalı yaklaşımlar sunmaktır.
Bir diğer önemli zorluk ise şirket için sorumluluk yaratabilecek risklerin tartışılmasıdır. Güvenlik liderleri, önemli tehditler hakkında yönetim kurulunu bilgilendirme yükümlülüklerini dengelemeli ve bu tür tartışmaların yasal maruziyeti nasıl etkileyebileceği konusunda dikkatli olmalıdır. Bu görüşmeleri uygun şekilde yapılandırmak için hukuk müşaviriyle yakın işbirliği içinde çalışmak, bu hassas alanda ilerlemenize yardımcı olabilir.
Belki de en zorlu olanı, yönetim kurulu toplantılarında siber güvenlik tartışmalarına ayrılan zamanın yetersiz olması sorunudur. Karmaşık teknik konular ve ele alınması gereken gelişen tehditler nedeniyle, tipik kısa zaman aralığı çoğu zaman anlamlı bir diyalog için yetersiz kalmaktadır. Güvenlik liderleri, kısa ve öz, iş odaklı brifing materyallerini önceden hazırlayarak ve en kritik konuları tartışılacak şekilde önceliklendirerek bu sorunu çözebilir. Zaman kısıtlamaları devam ettiğinde siber güvenlik konularının uygun şekilde denetlenmesini sağlamak için özel oturumlar düzenlenmesini savunmalıdırlar.
Hangi ölçümler veya KPI’lar siber güvenlik durumunu teknik olmayan bir kitleye en etkili şekilde iletir?
En başarılı sunumlar, teknik ayrıntılar yerine trend verilerine odaklanır ve metrikleri her zaman iş hedeflerine bağlar. Yönetim kurulu üyelerinin doğal olarak anlayacağı şekilde hem ilerlemeyi hem de zorlukları açıkça gösteren az sayıda yüksek etkili ölçüm seçin.
Teknik bilgisi olmayan yönetim kurulu üyelerine siber güvenlik durumunu sunarken iş etkisini ve riskini açıkça gösteren ölçümlere odaklanın. Örneğin, görsel risk matrislerini kullanan risk azaltma ölçümleri, tehditlerin azaltılmasındaki ilerlemeyi göstermenin sezgisel bir yolunu sağlar. Güvenlik yatırımı ve yatırım getirisi ölçümleri, özellikle olay başına maliyet ve bütçe kullanımı, finansal karar alma süreciyle uyumlu olduklarında güçlü bir yankı uyandırır.
Olay tespit ve müdahale ölçümleri operasyonel etkililik hakkında ilgi çekici bir hikaye anlatırken, üçüncü taraf ve tedarik zinciri risk ölçümleri kritik iş ilişkilerindeki güvenlik açıklarını vurguluyor. Bunlar, mevcut güvenlik ortamı hakkında bağlam sağlamak için tehdit ortamı ölçümleriyle etkili bir şekilde eşleştirilebilir.
Tek seferlik sunumlar yerine sürekli diyaloğu teşvik etmek için hangi stratejiler en iyi şekilde çalışır?
Yönetici risk komiteleri aracılığıyla düzenli katılım, siber güvenlik tartışmaları için izole yönetim kurulu sunumlarından daha etkili bir platform sağlar. Üst düzey yöneticilerle yapılan aylık toplantılar, güvenlik liderlerinin gelişen tehditler ve güvenlik girişimlerindeki ilerleme konusunda tutarlı görünürlük sağlamasına olanak tanır. Bu tempo, daha incelikli tartışmalara olanak tanır ve yöneticilerin zaman içinde siber güvenlik sorunlarına ilişkin daha derin bir anlayış geliştirmelerine yardımcı olur.
Ancak tüm kuruluşların resmi risk komiteleri bulunmadığından güvenlik liderlerinin devam eden diyalog için alternatif kanallar yaratması gerekebilir. Bu, üç aylık iş uyum oturumlarını, mevcut yönetim toplantılarına entegre edilen düzenli güvenlik güncellemelerini veya kilit paydaşlarla yapılan resmi olmayan brifingleri içerebilir. Önemli olan, siber güvenliği periyodik bir uyum çalışması olarak ele almak yerine, tutarlı bir şekilde yönetici gündeminde tutacak öngörülebilir bir iletişim ritmi oluşturmaktır.
Güvenlik liderleri, düzenli temas noktalarını sürdürerek yöneticilerle daha güçlü ilişkiler kurabilir ve siber güvenliğin yıllık bir sunum çalışması yerine stratejik iş tartışmalarının sürekli bir parçası olarak kalmasını sağlayabilir.
Devamını oku: