Uber’in 2016 yılında yaşadığı veri ihlalini örtbas etmeye çalıştığı gerekçesiyle hüküm giyen eski Uber CISO’su Joe Sullivan, yakın gelecekte CEO’ların siber güvenlik ihlallerinden doğrudan sorumlu tutulabileceğini öne sürdü.
Siber Güvenlik Çerçevesi 2.0’daki (CSF 2.0) yönetim kurulu ile iletişimi ve yönetişimi vurgulayan değişiklikler göz önüne alındığında, Sullivan sorumluluğun CISO’da kalmayacağını ve büyük ihtimalle yukarıya doğru hareket edeceğini varsaymakta haklıdır.
Sullivan makalesinde CEO’ları CISO’lara işlerini yapmaları için daha fazla kaynak vermeye çağırıyor. Ancak daha fazla güvenlik kontrolü satın almak için fon sağlamaktan bahsediyorsa, bu CEO’lar için zor bir satış olabilir. Siber güvenlik bütçesi büyümesi sürekli olarak genel BT harcamalarını geride bıraktı. Siber güvenlik bütçesi büyümesi 2022 ve 2023’te ekonomik endişeler nedeniyle yavaşlarken, CISO’ların son anketleri işletmelerde siber güvenlik harcamalarında güçlü bir büyüme olduğunu bildirdi.
CISO’lar ise yönetebileceklerinden daha fazla güvenlik kontrolüne sahip olduklarını biliyorlar: Araçların yayılması ve felce uğraması bilinen başarısızlıklar; yeni siber güvenlik kontrolleri için kalemler sorun değil.
Dört temel adım: Yayın süresi, ölçümler, stajlar ve süreç izleme
Yeni veya genişletilmiş kontroller için daha fazla nakit gerekmiyorsa, CEO’lar riski azaltmak ve nihayetinde CEO’ların karşı karşıya kaldığı yasal sorumluluğu desteklemek için CISO’lara ne verebilirler?
Yönetim kuruluyla daha fazla yayın süresi
Çoğu yönetim kurulu, siber güvenlik ekiplerinin bugün karşı karşıya olduğu zorlukların kapsamı hakkında hâlâ bağlam ve anlayıştan yoksundur.
Bunun bir kısmı basit bir maruz kalma eksikliğinden kaynaklanmaktadır. SEC, FTC ve CISA dahil olmak üzere giderek daha fazla düzenleyici kurum, halka açık kayıtlı kuruluşlar için sıkı açıklama ve siber güvenlik planlaması zorunlu kılsa da, halka açık şirketlerin yalnızca küçük bir azınlığının Yönetim Kurullarında Teknoloji Komiteleri vardır, tehditleri ve riskleri araştırmak için düzenli siber güvenlik görüşmeleri yapılmasından bahsetmiyorum bile.
Bunun bir kısmı, siber güvenlik denetiminin genel danışmanlık veya CFO ofisi altında yanlış konumlandırılmasından kaynaklanmaktadır, bu da anadili veya geçmişi olmayan bir ebeveyne ait üvey evlat olduğu anlamına gelir. Buna rağmen, her Yönetim Kurulu toplantısında siber güvenlik zorluklarının şirket CISO’su ile tartışılması için 30 dakika ayırmak, siberi yönetim kurulu düzeyinde bir endişeye yükseltmek için gerekli siyasi sermayeyi oluşturmalarına yardımcı olacaktır.
Üç aylık raporlarda yayınlanan paylaşılan bir dizi ölçüm
Siber güvenliğin şirketinin finansal sağlığı açısından önemli bir konu olmadığını düşünen herhangi bir CEO, konuya dikkat etmiyor demektir.
Halka açık sigorta devinin bir yan kuruluşu olan Change Healthcare, bir fidye yazılımı saldırısının eczane doğrulama ve ödeme sistemlerini çevrimdışı bırakmasının ardından milyar dolarlık bir olay kurtarma faturasıyla karşı karşıya kalabilir. Change Healthcare ayrıca hizmete bağımlı sağlık kuruluşları ve hastanelerin uğradığı kayıplar nedeniyle milyarlarca dolarlık yasal zararla karşı karşıya kalabilir. 2017’de, yama uygulanmamış bir yazılım bileşeninden kaynaklanan bir ihlal, kredi raporlama ajansı Equifax’a yasal ücretler, ek müşteri hizmetleri ve olay müdahalesi dahil 1 milyar dolardan fazla maliyete yol açtı.
CEO’lar siber güvenliğe önem verdiklerini göstermekten ve bunun önemli bir endişe olduğunu göstermek için şirket raporlarına ölçümler eklemekten faydalanacaktır. CISO’lar için, CEO ile bir dizi ölçüm üzerinde anlaşmak, görünür bir Kuzey Yıldızı ve ölçümlerin doğru yönde eğilim göstermeye devam etmesini sağlamak için kaynakları ve personel sayısını hizalamak için bir zorlama işlevi sağlayacaktır.
Genç mühendisleri işe almak için bir siber güvenlik staj programı
Siber güvenlik ekipleri çok sayıda teknolojiyi kullansa da, ilerlemeyi her şeyden önce insanlar sağlar.
Siber güvenlik profesyonellerinin eksikliği kötüleşiyor. ISC2’ye göre, dünya ihtiyaç duyduğu yaklaşık 4 milyon siber güvenlik uzmanından yoksun. Bu, siber gücün 2023’te yaklaşık %10 artmasına rağmen böyle.
Son derece rekabetçi bir iş piyasasında, yeni bir iş ilanı yayınlamak yeterli olmayacaktır. IBM gibi giderek artan sayıda teknoloji şirketi, genç kolejler veya daha az bilinen üniversiteler gibi çeşitli geçmişlere sahip genç mühendisleri bulmak ve eğitmek için staj hatları oluşturuyor. Bu yaklaşım daha fazla altyapı ve uygulanabilir bir müfredatın yanı sıra biraz sabır gerektirse de, korudukları sistemler hakkında önceden kurumsal bilgiye sahip olarak işe hemen başlayabilen daha güçlü bir çalışan hattı sağlayabilir.
Sürekli güvenlik süreci haritalaması ve izleme
Siber güvenliğin sağlanmasında insan unsuru kritik öneme sahip olsa da, siber güvenlik zincirinin en zayıf halkası da çoğu zaman insanlardır.
Büyük ihlallerin ve saldırıların ezici çoğunluğu insan hatasıyla ilgilidir. Çoğu CISO kırmızı takım tatbikatları yürütür, penetrasyon testi veya ihlal ve saldırı simülasyon hizmetleri veya araçları kullanır ve aksi takdirde olay yanıtını test etmek için önlemler alır. Siber adli araçlar saldırı zincirlerini haritalamaya yardımcı olabilir ve ayrıntılı kök neden analizi belirli tatbikatlardaki belirli hataları belirleyebilir. Ancak CISO’lar sürekli olay yanıtı analizinden yoksundur ve yalnızca daha önceki “süreç borcu” nedeniyle siber ekiplerin istemeden riskte boşluklar bırakması nedeniyle mümkün olsa bile yalnızca en kötü ihlallere odaklanma eğilimindedir.
Siber güvenlik etkileşimlerinin ve süreçlerinin karmaşıklığı ve olay müdahalesinin öngörülemez doğası nedeniyle, güvenlik süreçlerini haritalamak zor olabilir. Bununla birlikte, CISO’lara karşı açılan davaların hepsi aldatma ve dolandırıcılık iddialarına dayanıyordu. Bu tür iddiaları, güvenlik süreçlerini ve insan davranışlarını otomatik olarak yakalayan bir sistemin yokluğunda savunmak daha zordur ve “niyet”in riskli gri alanını ortadan kaldırır. Daha yeni çözümler, süreç haritalamasını ve izlemeyi güvenlik iş akışlarına uygulayabilir, hem görünürlüğü hem de en iyi uygulamaların uygulanmasını sağlayabilir.
Sonuç: CISO’larla işbirliği şarttır
Siber güvenlik konusunda ciddi olan CEO’lar, CISO’larıyla iş birliğine öncelik vermeli ve onları düzenli toplantılar için rotasyona dahil etmelidir. Yapay zeka birçok yeni risk enjekte ettiğinden araçlar için sağlıklı bir bütçe artışı gerekebilir, ancak bu yeterli değildir ve en önemli adım da değildir.
CISO’ların işletmeyi güvende tutma vaatlerini yerine getirmek için daha iyi insanlara ve daha iyi süreçlere ihtiyaçları vardır. Düzenleyici kurumlar yalnızca yeterlilikle değil, aynı zamanda yasa kapsamında genellikle zorunlu kılınan en iyi çabaların kanıtı olarak niyet ve süreçle de ilgilenirler. Metrikler bir Kuzey Yıldızıdır ancak insan mühendisler tarafından yürütülen süreçleri görselleştirmek ve iyileştirmek de aynı derecede önemlidir. Daha fazla CISO suçlamalarla karşı karşıya kaldıkça, CEO’lar bir sonrakinin kendileri olabileceğinden endişe etmeli ve siber varlıklarını ve siber ekiplerini nasıl daha iyi koruyacaklarını düşünmeye başlamalıdır.