Günümüzün CISO'ları, hem kuruluşlarının içinden hem de dışından çok sayıda çevreden saldırı altındadır. Elbette ağlarına sızmak için yeni ve daha karmaşık istismar yöntemleri kullanan çok sayıda kötü aktör var. Ama içeriden de ateş altındalar.
Modern bilgi güvenliği sorumlusunun gereksinimleri sayısızdır: yeni teknolojilerin ve koruyucu önlemlerin uygulanmasında güncel kalmak, elbette, aynı zamanda personelin becerilerini ve moralini geliştirmek ve hepsinden önemlisi, daha yüksek bir liderlik profili ve genel uyumluluğu azaltma sorumluluğunu üstlenmek. risk ve hukuki sorumluluk.
Buna göre Forrester'ın son güvenlik programı önerileri raporu“Dünyanın gözü CISO'ların üzerinde – ama bu iyi anlamda değil. Artık firmalarıyla olan anlaşmazlıklar nedeniyle işten atılan ya da ayrılan fedakar CISO'ların uzun bir listesi var.”
Bundan sonra gelecek olana yön vermek kolay değil ancak Forrester'ın analizinden başarıya giden bazı yolları belirlemenize yardımcı olabilecek beş çıkarımı burada bulabilirsiniz.
Empati Bir İhlalden Sonra Güveni Yeniden İnşa Edebilir
Forrester analisti Heidi Shey'e göre kurumsal ağlara yönelik devam eden saldırıların bir sonucu, özellikle müşteriler ve iş ortakları arasındaki güvenin erozyona uğraması. Gizlilik ihlallerinden kaynaklanan marka etkileri hakkında rapor.
CISO'ların, iş ortağı ve tedarikçi ekosistemleri de dahil olmak üzere tüm operasyon genelinde hem siber güvenlik hem de gizlilik risklerini eleştirel bir şekilde incelemesini tavsiye ediyor çünkü kendisinin de yazdığı gibi, “güçlü gizlilik gözetimi, uygulamaları ve hesap verebilirlik yapıları yeni ürünler yaratmanın temeli olacak ve dijital dönüşümünüzde etik ve sorumlu veri kullanımını destekliyoruz.”
Bununla birlikte, CISO'ların aynı zamanda ihlal sonrası anında bildirimde bulunarak empatik ve şeffaf olmaları, tedarikçilerin, ortakların ve müşterilerin ihlallerin yol açabileceği zararlarla ilgili endişelerini anlamaları gerekir – olay kimin hatası olursa olsun.
Optiv'in CISO'su Max Shier, “Bir ihlalden sonra kendini koruma eğilimi vardır ve olay bittikten sonra bile bilgileri kendinize saklamak mantıklıdır” diyor. “Ancak siber güvenlik profesyonellerinin ve özellikle CISO'ların, başkalarının etkinlikten ders almasına yardımcı olmak için mümkün olduğunca fazla bilgi paylaşımı olmasını sağlamaları gerekiyor.”
Hata Yaptığınızda Samimi Olun
Bu güven yeniden inşasının bir parçası da CISO'ların temize çıkmaları, sorunlar olduğunda sorumluluğu üstlenmeleri ve bunları düzeltmek için çeşitli paydaşlarla çalışma konusunda proaktif olmaları gerektiğidir.
Forrester'ın bir önerisi “Önemli seçmen kitleniz ve yöneticilerinizle radikal bir açık sözlülük sergileyin”. Başka bir deyişle, zor soruları sorun ve fikir birliğine varmaya çalışın.
Shier, “Şeffaflık, anlayış ve iletişim hatlarını açık tutmak, hat boyunca bir şeyler aksadığında tüm tedarik zincirinin bir olayla başa çıkmasına yardımcı olabilir” diyor. “Bu, dayanıklı bir tedarik zincirine sahip olmanın anahtarıdır, ancak aynı zamanda bir olay sırasında ve sonrasında birbirlerine yardım etmenin de anahtarıdır, çünkü tedarik zincirinde yukarı ve aşağı dalgalanma etkileri vardır.”
CISO'lar veri ihlali sorumluluklarına dikkat etmemeyi göze alamazlar: Şirketin firmasından bir döküm 2023'te dünya genelindeki en büyük 35 ihlal Kuruluşların 1,5 milyar kaydın ifşa edilmesi nedeniyle yaklaşık 2,6 milyar dolar para cezası ödediği ve ihlallerin neredeyse yarısının kamu kurumlarında ve sağlıkla ilgili sektörlerde gerçekleştiği ortaya çıktı. Bu listenin arasında dünyanın en büyük telekomünikasyon sağlayıcılarının birçoğundaki ihlaller de vardı. İlk 35 ihlalden biri hariç tümü Avrupa Birliği ve ABD'de gerçekleşti.
Operasyonel Şeffaflık: Halkla İlişkilerden Daha Fazlası
Ayrıca şeffaflık, yalnızca ihlal sonrası durumlarda etkinleştirilen bir şey değil, CISO'nun taktik kitabının doğal bir parçası olmalıdır. Forrester analistlerinin belirttiği gibi motivasyonun bir kısmı uyumluluktur.
“Düzenleyiciler daha fazla şeffaflık için bastırıyorlar” diye yazdılar. “Güvenlik liderlerine, yasal işlem tehdidiyle müşterilerin ve kendilerinin çıkarına en uygun şekilde hareket etmeleri konusunda teşvikler vererek işi kolaylaştırıyorlar. Zayıf şeffaflık, yasaların ihlaline, güvenin ihlaline ve güvenlik ihlalinin devamına yol açıyor. şeffaflık tiyatrosu. Başka bir deyişle, verilerinizle ne diyorsanız onu yapın.”
Başka bu ayın başlarında yayınlanan raporForrester analistleri güvenlik yöneticilerine de şu tavsiyede bulundu: “Program veya ürün kusurlarını gizleyen veya gizleyen üçüncü taraf risk değerlendirmelerine, sigorta taahhüt belgelerine veya mevzuata uygunluk beyanlarına adınızı imzalamayın.”
Shier, genel olarak, CISO'ların “bu durumu sahiplenmesi, işlerin nerede ters gittiğini fark etmesi ve temel nedeni düzelttiğinizden ve gözden kaçmış olabilecek diğer sorunları tespit ettiğinizden emin olmak için mümkün olduğunca çok sayıda paydaş dahil olmak üzere bunları düzeltmek için proaktif bir şekilde çalışması” gerektiğini söylüyor. . “Bu, özellikle kurumsal ihmallerden veya kalıcı, bilinen ve hafifletilmeyen güvenlik sorunlarından kaynaklanabilecek sorunlardan CISO'ların kişisel olarak sorumlu tutulduğu şu anda özellikle doğrudur.”
Personelinizin Becerilerini Geliştirmeye Daha Fazla Dikkat Edin
CISO'lar aynı zamanda personellerini yeni teknolojiler, yeni tehditler ve yeni önleme yöntemleri konusunda güncel tutma konusunda da zorlanıyor.
St. Louis merkezli kendi ajansı olan rokusekrecruits.com adlı işe alım uzmanı Lisa Rokusek, “Güvenlik hareketli bir hedef, her şey çok hızlı değişiyor” diyor. “Birçok şirketin kendi iç yeteneklerini geliştirme ve elde tutma konusunda berbat bir geçmişi var. Bu çok dar görüşlü.”
İleriye giden yol, Forrester analisti Jess Burn'ün de belirttiği gibi, daha fazla ve daha iyi beceri geliştirme programlarına yatırım yapmaktır. konuyla ilgili raporunda şunları yazdı. “Güvenlik becerilerine sahip çalışanların eksikliği birçok kuruluşta önemli bir zorluktu” dedi. “Eğitim yerine teknolojiye yatırım yapmak, uygulayıcıların temel alanlarda yeterlilik oluşturmak yerine yeni araçlar öğrenmeye ayak uydurmaya çabalamaları nedeniyle yalnızca beceri açığını artırır.”
Yeni Teknolojileri Benimseyin, Ancak İçeriği Anlayın
Yeni teknolojinin (örneğin, üretken yapay zeka) uygulanması söz konusu olduğunda, CISO'ların bir noktada bir heyecan döngüsüne kapılması neredeyse kaçınılmazdır. Ancak yeni platformlar söz konusu olduğunda açık fikirli olmak ve veri gizliliği riskleri ile güvenlik yararları arasında dikkatli bir şekilde düşünmek önemlidir.
Shier, “Siber güvenlik endüstrisi de diğerleri gibi ve aynı zamanda abartılı döngülerin kurbanı oluyor” diyor. “Yapay zeka, sıfır güven ve güvenlik platformları hemen akla geliyor. CISO'nun görevi, riskleri, faydaları, pazarlama jargonuyla yabani otları tartmak ve hem risk hem de fayda arasında iyi bir denge kurarken aynı zamanda işi mümkün kılmaktır. Özellikle yapay zeka dünyayı hem iyi hem de kötü anlamda gerçekten değiştirdiğinde ve uygulama ihtiyacı son derece yüksek olduğunda, aksi takdirde işletmeniz hızla anlamsız hale gelebilir.”
Forrester analistlerinin ChatGPT benzeri özelliklerle ilgili olarak belirttiği gibi, bir kuruluşun altyapısı, verileri ve operasyonları üzerinde “kullanışlılığı gösterişten ziyade önceliklendirin, yapay zekanın kısıtlamalarını fark edin ve etkilerini anlayın”.
Başka bir örnek, şifresiz geçiştir. Forrester, gelecekteki saldırıları önlemek için kuruluşların parolasız ve diğer daha iyi kimlik doğrulama yöntemlerine yönelmesini öneriyor. Ancak bu bir CISO'nun öylece açıp kapatabileceği bir şey değil.
Uzun süredir kimlik doğrulama tedarikçisi olan Nok Nok'un CEO'su Phil Dunkelberger, “80.000 feet seviyesinde bunların hepsi doğru; uzun süredir şifrelerden daha iyi bir şeye ihtiyacımız vardı” diyor. “Sorun şu: Müşterilerimiz şifresiz çözümler uygulamaya başladığında şeytanın ayrıntıda olduğunu gördük; her sektörün kendi güvenlik ihtiyaçları, kendi düzenleyici zorunlulukları vardır ve tabii ki platformlar da büyük ölçüde farklılık gösterir.”