Yazan: Sravish Sridhar, TrustCloud CEO’su ve Kurucusu
Giderek dijital olarak birbirine bağlanan dünyamızda, siber güvenlik riskleri tüm zamanların en yüksek seviyesinde ve giderek artıyor. Bunu akılda tutarak işletmeler, sağlıklı bir yönetişim, risk ve uyumluluk (GRC) programının kuruluşlarının genel başarısı için ne kadar önemli olduğunu (daha önce yapmasalar bile) benimsemeye ve anlamaya başlıyor.
Çok Fazla Paydaşın Yönetişim, Risk ve Uyumluluk Raporlarına İhtiyacı Var
CISO’lar ve ekipleri artık güvenlik ve gizlilik durumlarını kanıtlamaya yönelik çok sayıda taleple karşı karşıya. Her paydaş, verilerin farklı şekillerde raporlanmasını gerektirir:
- Müşteriler ve Ortaklar: Verilerinin korunduğuna dair güvence istiyorlar. Genellikle bilgi güvenliğinin kanıtı olarak SOC 2, ISO 27001, NIST, HIPAA ve GDPR gibi uyumluluk çerçevelerini kullanırlar. Çoğu durumda, bir kuruluşun müşteri veya iş ortağı olmayı düşünebilmesi için bu çerçevelerden birine (veya çoğuna) bağlılık gerekli bir niteliktir.
- Yönetim Kurulları ve Şirket Liderliği: GRC yatırımlarının boyutu ve yönetim kurullarına ve liderlere karşı potansiyel sorumluluk göz önüne alındığında, GRC, yönetim kurulunun ve C-Suite’in katılımını ve desteğini gerektiren iş düzeyinde bir önceliktir. Yalnızca bu kaynakların işi nasıl etkilediğini bilmek istemiyorlar, aynı zamanda bir güvenlik ihlalinden kaynaklanan şirket ve kişisel sorumlulukların hafifletilmesine de büyük ilgi duyuyorlar.
- Dahili CISO’lar ve InfoSec Ekibi Raporlaması: Bunlar liderlik ettikleri programlardır, bu nedenle güvenlik profesyonelleri risk yönetimi ve uyumluluğun stratejisine ve sonuçlarına yoğun bir şekilde yatırım yapmaktadır.
- Düzenleyiciler: Kendilerini ve müşterilerini büyüyen ve değişen modern tehdit ortamından yeterince korumak için tüm kuruluşların uyması gereken özel uyumluluk ve risk yönetimi önlemlerini bulmaktan sorumludurlar.
- Denetçiler: Dış denetçiler spesifik uyumluluk ve risk unsurları arıyorlar; Tam olarak ihtiyaç duydukları şeyi bulmaları ne kadar kolay olursa, şirketin makul bir zaman diliminde denetimden geçme olasılığı da o kadar artar.
- CFO: CFO’ların CISO’lara verdikleri bütçenin gerekçelendirilmesi gerekiyor. Bu yüzden sonuçları görmek istiyorlar. Ve sadece herhangi bir sonuç değil, aynı zamanda geliri olumlu yönde etkileyen veya hızlandıran sonuçlar.
SEC’in Yeni Siber Güvenlik Düzenlemelerinin Etkisi
SEC yakın zamanda halka açık şirketler için siber güvenlik ve uyumluluğa özel yeni kurallar yayınladı. Yeni karara göre halka açık şirketlerin şunları yapması gerekecek:
- Maddi siber güvenlik olaylarını dört iş günü içinde açıklayın
- “Siber güvenlik tehditlerinden kaynaklanan maddi risklerin değerlendirilmesi, tanımlanması ve yönetilmesi” süreçlerini açıklayın
- Siber güvenlik risk yönetimi, stratejisi ve yönetişimine ilişkin önemli bilgileri yıllık bazda raporlayın ve açıklayın
- Yönetim kurulunun siber tehditlerden kaynaklanan risklere ilişkin gözetimini ve yönetimin riskleri ve tehditleri değerlendirmedeki rolünü ve uzmanlığını açıklayın
Bu karar şimdilik yalnızca halka açık şirketlerin bu adımları atmasını gerektirse de, bu politikalar GRC ve iş yapma şeklimiz açısından şeffaflık konusunda yeni temel standartlar belirliyor. Kuruluşların yalnızca siber güvenlik olaylarını zamanında açıklaması gerekmeyecek, aynı zamanda her yıl genel GRC ve siber güvenlik politikalarına ilişkin bilgileri de paylaşmaları gerekecek. Ayrıca SEC, özellikle yönetim kurulunu ve yönetimi GRC’den ve siber riskin yönetiminden sorumlu tutuyor. Daha önce sorduğumuz “risk yönetimi ve uyumluluk kimin umurunda?” sorumuza dönecek olursak, SEC artık bir kuruluşun yönetim kurulunun ve yönetiminin, daha önce yapmamış olsa bile, ilgilenmesini sağlıyor.
Riski İş Etkisine Bağlamak
Bir siber risk istismar edildiğinde bir kuruluşun başına neler gelebileceğine dair sayısız örnek mevcut olsa da (veri kaybını, müşteriyi, güveni, marka itibarının zedelenmesini düşünün), CISO’lar hala riski iş etkisi ile ilişkilendirmek ve güvenlik bütçelerini haklı çıkarmak için mücadele ediyor.
Bir kuruluşun CFO’su ve yönetim kurulu genellikle projeleri etkiye dayalı olarak değerlendirir; bu da CISO’ların riske karşı nasıl korudukları ile bunun işin kârlılığını nasıl etkilediği arasında bağlantı kurmak için verilere ve kanıtlara ihtiyaç duyduğu anlamına gelir. Risk geniş bir terim olsa da, daha somut bir tanım sözleşmeye dayalı risktir; yani müşterilere ve ortaklara verilen taahhütler ve bu taahhütlerin yerine getirilmemesi durumunda söz konusu olan sözleşmelerin boyutu. ARR’de (veya gelirle ilgili başka bir temel KPI’da) raporlanan somut bir tanım, CISO’ların ilgili risklerin boyutunu iletmesini kolaylaştırır ve bu da bütçe taleplerinin ve program harcamalarının gerekçelendirilmesine yardımcı olur.
CISO’lar Raporlama İhtiyaçlarını Nasıl Çözmeli?
CISO’lar, güvenlik ve GRC programından sağlanan değer ve faydaları daha iyi anlamak için yönetimin, yönetim kurulunun ve CFO’nun bilmesi gereken birkaç önemli ölçümü paylaşabilmelidir. Kilit paydaşlarla paylaşılacak ölçümler şunları içerir:
- Potansiyel Mali Etki: Doğrudan mali kayıp, fidye yazılımı ödemeleri, yasal maliyetler, PR, iş kaybı, rekabet avantajı kaybı, müşteri kaybı veya sigorta primlerindeki değişiklikler dikkate alındığında bu riskin ne kadara mal olabileceğine dair bir tahmin.
- Artık Mali Etki: Risklerimi azaltmak için bazı adımlar attığıma göre potansiyel mali etkimin ne kadarı hala mevcut? Bir tedavi planı oluşturup uyguladıktan sonraki etkisi nedir? Hala ne kadar sorumluluk taşıyorum?
- İlk Beş Risk: CISO’lar ve liderlik ekipleri, en büyük mali etkiye sahip olan veya önemli güvenlik tehditlerini temsil eden ilk beş riskin yanı sıra ne kadar ilerleme kaydedildiğine odaklanmalıdır.
- Güvenlik Programlarıyla Hızlandırılan Gelir: Güvenlik incelemesi gerektiren sözleşmelerle ilişkili ARR. Doğrudan bir risk ölçüsü olmasa da, güvenlik programının genel olarak büyümeyi nasıl etkilediğini göstermek yararlı bir bağlamdır.
Bir CISO, bunun gibi ölçümleri tanımlayıp paylaşabildiğinde, güvenlik ve GRC programlarının değerini ve etkisini üst düzey yöneticilerin ve yönetim kurulunun anlayabileceği şekilde ifade edebilir ve risk ile iş etkisi arasında daha iyi bağlantı kurabilir. Herkes uyumluluk ve risk konusunda aynı dili konuştuğunda sonuç, sağlıklı bir GRC ve güvenlik programını önceliklendirmek, oluşturmak ve sürdürmek ve bu programın sonuçlarını ve faydalarını müşterilere ve paydaşlara sergilemek için daha uyumlu bir kuruluştur.
Resim mindandi tarafından Freepik’te
Reklam