Baş bilgi güvenliği görevlilerinin (CISO’lar) potansiyel olarak dolandırıcılık suçlamasıyla karşı karşıya Bir güvenlik olayının ardından üst düzey yöneticiler ve şirket yönetim kurullarıyla iyi ilişkiler geliştirmeleri her zamankinden daha önemli. CEO’lar, CFO’lar veya yönetim kurulu üyeleriyle güçlü ilişkiler, CISO’ların organizasyonları içindeki siber güvenlik çabalarını daha güçlü bir şekilde savunmalarına yardımcı olabilir ve potansiyel olarak işler ters gittiğinde onları düşmekten koruyabilir.
Yeni ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile maddi ihlallerin bildirilmesine ilişkin kurallarSiber güvenlik ve veri analizi tedarikçisi Splunk’un CISO’su Jason Lee, yönetim kurulunda ve üst düzey yöneticilerde siber güvenlikle ilgili konuşmaların geçen yıl değiştiğini söylüyor. Şirketin CISO Raporu CISO’ların yüzde 90’ından fazlasının artık düzenli olarak yönetim kurulu toplantılarına katıldığını tespit etti.
Yönetim kurulu üyeleri, CEO’lar ve diğer yöneticiler de bir kuruluşun bütünsel güvenlik programı hakkında bilgi almakla, yalnızca uyumluluk kutularını işaretlemekten daha fazla ilgileniyorlar. Lee, siber güvenlik satın alımlarının yatırım getirisi (ROI) ve işletmelerinin ihtiyaç duyduğu siber sigorta düzeyi gibi konulara odaklandıklarını ekliyor.
Magellan Health’in CISO’su Lance Sullivan, CEO’lar, CFO’lar ve kurullarla düzenli CISO etkileşiminin olduğu bu yeni çağın yeni bir beceri seti gerektirdiğini söylüyor. CISO’nun artık güçlü siber güvenliği mümkün kılan teknolojilere ve uygulamalara yoğun bir şekilde odaklanmak yerine, kuruluşun güvenlik ihtiyaçlarını sınırlı teknik uzmanlığa sahip kişilere açıklamak için gerekli sosyal becerilere de sahip olması gerekiyor.
“CISO’lar için araç kutusundaki araçlar değişiyor” diyor. “Yalnızca iyi bir hikaye anlatıcısı olmanız gerekmiyor, aynı zamanda farklı kitlelerle iletişim kurabilmeniz de gerekiyor. Ayrıca BT meslektaşlarınızla teknik olarak da konuşmanız gerekiyor.”
Hikaye Anlatan CISO
Sullivan, yönetim kurulu üyeleri ve üst düzey yöneticilerin riske geçmişte olduğundan daha fazla odaklanmış göründüklerinden, yönetim kurulu üyeleriyle yapılan görüşmelerin uyumluluktan uzaklaşıp bunun yerine esnekliğe ve siber tehditlerin etkisine odaklandığını söylüyor.
Lee, bir hikaye anlatıcısı olarak CISO’nun önemli olduğunu, çünkü haberlerdeki en son veri ihlallerini gösteren aynı eski slayt gösterilerinin CEO’ların veya yönetim kurulu üyelerinin ilgisini çekmeyebileceğini ekliyor. Yönetim kurulu üyeleri giderek bu haberin kendi kuruluşlarıyla ilgisini soruyor ve CISO’ların, bir satıcıyla iş ilişkisi olan bir şirketteki bir ihlalin nasıl büyük bir risk oluşturabileceği gibi karmaşık konuları net bir şekilde açıklamaya hazır olmaları gerekiyor.
Lee, “Güvenlik yatırımlarının yatırım getirisi gibi iş bağlamlarını gösterebilmek, odaklanmamız gereken çok büyük bir şey ve CISO’lar normalde sunum yapmak ve hikaye anlatma tarafında olmaya çalışmak için çok fazla zaman harcamazlar” diyor. . “Bu sosyal beceri tarafı, yatırım yapmaya devam etmemiz gereken alanlardan biri.”
Yeni SEC kurallarıyla birlikte, kurulların bir ihlal sonrasında CISO’larla aktif olarak ilgilenmesi gerektiğini söyleyen Lee, iki grubun ihlalin önemli olup olmadığı ve 8-K ve 10-K’ya hangi bilgilerin girmesi gerektiği konusunda tartışmalara katılması gerektiğini de sözlerine ekledi. SEC’e rapor verir. Yönetim kurullarının ayrıca bir ihlalin ardından alınan kararlar konusunda CISO’larla giderek daha fazla etkileşim kurması gerekiyor.
Lee, “Yönetim kurulu ‘Bunun önemliliğini nasıl belirlediniz?’ sorusunu bilmek isteyecektir” diyor. “‘Bunu yatırımcılarla paylaşacak mısınız?'” SEC kurallarının CISO’ları yasal ilgi odağı haline getirdiğini, yeni düzenlemelerin de yönetim kurulu üyeleri ile CISO’lar arasındaki iletişimi daha iyi hale getirdiğini ekliyor.
Doğrudan Bağlantı Kurmak
Geçtiğimiz birkaç yılda birçok şirket yönetim kurulu, yönetim kurulu üyelerinin bir alt kümesi arasında uzmanlık geliştirmek amacıyla siber güvenlik komiteleri oluşturdu. Bu komiteler CISO’lara yönetim kurulu üyeleriyle daha fazla yüz yüze görüşme olanağı sağlıyor. Bir CISO artık her üç ayda bir denetim komitesiyle 15 dakika geçirmek yerine siber güvenlik komitesiyle 90 dakika geçirebilir.
“Kendini adamış yönetim kurulu üyelerine sahip olduğunuzda ve ardından her üç ayda bir siber güvenlik konusunda belirli bir oturum düzenlediğinizde, siber güvenlik konusunda daha fazla siber deneyim görmeye başlıyorsunuz. [board] Uzmanlar ve birkaç yıl öncesine göre çok daha fazla derinlik,” diyor Lee.
Yönetim kurulu üyelerine doğrudan erişim CISO’lar için faydalı olsa da Lee, CEO, CIO veya yönetim kuruluyla siber güvenlik konusunu tartışacak başka bir yönetici ile iyi bir ilişkiye sahip olmanın da aynı derecede yararlı olabileceğini söylüyor. CISO’nun işi iyi yapabilmesi, yönetim kurulunun ve üst düzey yöneticilerin tam katılımına bağlıdır ve siber güvenlik savunuculuğu birden fazla sesten gelebilir.
CISO’lar için iyi haber, kuruluşların kurumsal yapıları içindeki konumlarını yükseltmeleridir. Splunk’un CISO raporu, ankete katılan CISO’ların %47’sinin, yönetim katmanları yerine doğrudan CEO’larına rapor verdiklerini söylediğini ortaya çıkardı; Lee başlangıçta bu oranın daha düşük olmasını bekliyordu. Rapor, CISO’ların %40’ının CIO’lara rapor verdiğini, bunun daha geleneksel bir yaklaşım olduğunu ortaya çıkardı; diğer %5’i CFO’lara ve %4’ü de COO’lara rapor veriyor.
Sullivan, CISO’lar ve yönetim kurulları arasındaki iletişim düzeyinin bir kuruluştaki siber güvenlik olgunluğu düzeyiyle ilişkili olduğunu söylüyor. “Bir CISO ile doğrudan bağlantı, pek çok farklı insanı kapsayan pek çok farklı anlama gelebilir” diyor.