Bilgi güvenliği sorumlusu (CISO) olmak zordur. İş sonsuz endişeleri, günlük tehditleri ve artan beklentileri beraberinde getiriyor. Birçok CISO tükenmişlik yaşıyorve çoğu, liderlik ekiplerinin ve yönetim kurullarının stratejik, büyüme odaklı ortakları olarak tanınmayı zor buluyor.
CISO’ların Yönetim Kuruluna Rapor Verirken Karşılaştığı Zorluklar
Yöneticilerin bilgi güvenliğini tam olarak anlayacak uzmanlığa veya bağlama sahip olmadığı durumlarda CISO’ların departmanlarının organizasyonel liderlere ve yönetim kurulu üyelerine etkisini kanıtlaması zor olabilir.
Üç aylık yönetim kurulu toplantısında, farklı uzmanlıklara sahip liderlere yankı uyandıran ve anlamlı olan bilgileri hızlı bir şekilde sunmalısınız. Risk ve iş etkisine ilişkin bilgiler anlaşılır bir şekilde sunulmalıdır. Bütçe taleplerinin iş büyümesi veya etkisiyle ilişkili olarak açıklanması gerekir. Yönetim kuruluyla güven ilişkisi kurulmalıdır.
Bir CISO tüm bunları nasıl yapar?
CISO’ların Yönetim Kurulu Sunumlarında Paylaşabilecekleri 4 Temel Metrik
İyi yapılandırılmış bir yönetim kurulu sunumu bir özet ile başlamalıdır. Bilgi güvenliği programının şirketi nasıl koruduğunu ve uyumluluk taahhütlerini yerine getirmesine nasıl yardımcı olduğunu açıklayın ve kritik iş akışlarının durumunu gösterin.
Özetin ardından, aşağıdaki dört ölçümü kullanarak çalışmanızı bir CISO olarak çerçevelemek, stratejinizi ve başarılarınızı her işin en kritik kısımlarıyla (risk, büyüme, giderler ve insanlar) uyumlu olacak şekilde paylaşmanıza olanak tanır.
Risk ve Sorumluluk Koruması
Şirketi ve yönetim kurulunu sorumluluktan korumak ve kritik iş hedeflerine ulaşma şansını artırmak için azaltılması gereken en önemli riskler konusunda yönetim kuruluyla uyum sağlayın.
Bu uygulama sırasında yönetim kurulunun her risk için minimum risk eşiğini imzalaması zorunludur. Yönetim kurulu düzeyindeki bilgi güvenliği risklerinin bazı örnekleri arasında müşteri veri ihlalleri; düzenleyici yasalara uyulmaması; güvenlik, gizlilik ve siber güvenlik sigortası poliçesinin sözleşme taahhütlerine uyulmaması; ve satıcı ve tedarik zinciri riski.
Üç aylık CISO yönetim kurulu raporunuzda tanımlanan her risk ayrıntılı olarak açıklanmalıdır:
-
Amaç: Bu risk hangi iş hedefiyle örtüşüyor?
-
Kısa Açıklama: Riski ulaşılabilir bir dille tanımlayın.
-
Niceliksel artık risk ve finansal etki puanı: Kullanmak niceliksel risk doğrulama teknikleri Her bir riskin potansiyel etkisinin olasılığının kabul edilebilir risk eşiklerinin altında olup olmadığını vurgulayarak her bir risk için kalan risk puanını ölçmek. Kurulun yorumlaması daha zor olan niteliksel yöntemleri kullanmayın.
-
Eylem planı ve zaman çizelgesi: Her riski nasıl ve ne zamana kadar azaltacaksınız?
-
Bütçe tahsisi ve şunu sorar: Her bir riske hangi bütçe tahsis edilmektedir ve yeni bir bütçe tahsisi riske maruz kalma oranını azaltabilir mi?
-
Trendler ve kıyaslamalar: Her bir riskin artık risk puanı zaman içinde nasıl değişti? Analistlerin sektör değerlendirmelerine erişerek risk duruşunuzun sizin büyüklüğünüzdeki ve pazarınızdaki şirketlerle karşılaştırıldığında nasıl olduğunu açıklayın.
InfoSec Yatırım Getirisi ve İyileştirmeler
Güvenlik bütçeleri baskı altında. Eski çözümler, yatırımların maliyetine uygun olarak iş değeri ve koruma sağlamaz. Eski araçları ve süreçleri yönetmek için daha fazla insana ihtiyaç var. Bilgi güvenliği iş akışlarının maliyet yükünü azaltan modern çözümlerin benimsenmesi, güvenlik programına yapılan yatırımların zaman içinde nasıl daha büyük bir etki yarattığını doğrulayabilir.
Etkili bir yol yatırım getirisini sergilemek (ROI) iyileştirmesi, ilk beş yatırım alanını seçmek ve her bir yatırım alanı için zaman içinde iş etkisindeki iyileşmeleri vurgulamaktır. Örneğin yatırımlar, daha geniş bir BT varlık tabanının izlenmesine, daha fazla saldırının keşfedilmesine veya daha fazla uyumluluk denetiminin tamamlanmasına olanak sağlayabilir.
Gelir Hızlandırma
Çoğu şirketin, müşteri ve iş ortağı tabanlarını genişletirken, yeni pazarlara ve coğrafyalara genişledikçe ve yeni ürünler geliştirirken, genişleyen sözleşme gereksinimleri listesini karşılamak için güvenlik duruşlarını sürekli olarak iyileştirmesi gerekiyor.
Kendilerini büyüme odaklı iş ortakları olarak konumlandıran CISO’lar şunları takip ediyor:
-
InfoSec ekibi tarafından üç ayda bir güvenlik anketleri ve incelemeleri tamamlanarak desteklenen gelir.
-
Müşteri hizmet düzeyi sözleşmesi (SLA), müşteri güvenliği incelemelerini tamamlamak için harcanan sürenin azaldığını gösteriyor.
-
Satıcı SLA’sı, satıcı güvenlik incelemelerini tamamlamak için harcanan sürenin azaldığını gösterme eğiliminde.
-
Manuel süreçlerle karşılaştırıldığında otomasyondan elde edilen verimlilik artışı, bilgi güvenliği programının daha azıyla daha fazlasını yaptığını gösteriyor.
Kurumsal Çapta Güvenlik ve Gizlilik Etkileşimi
Siber güvenlik riskinin artması, güvenliği bir takım sporuna dönüştürecek stratejiler gerektiriyor. Şirketin güvenliğini korumaya yardımcı olmak için her çalışanın eğitilmesi ve üzerine düşeni yapmasına olanak sağlanması gerekir.
CISO’lar, güvenlik farkındalığı eğitimini tamamlamak ve BT varlık güvenliği, kontrolü ve uyumluluğuna bağlı kalmak gibi çalışanların gereksinimlere uyumuna ilişkin ölçümler sunarak güçlü bir güvenlik kültürünün sağlayıcıları olabilir. Çeyrekten çeyreğe iyileşmeyi gösteren örnekleri kullanın.
Güven Temeldir
Sunumunuzun son kısmı, içinde bulunduğumuz çeyreğin kritik iş akışlarını ve her bir iş akışına ilişkin hedefleri ve temel performans göstergelerini ayrıntılı olarak anlatmalıdır.
Güven her iş ilişkisinin temelidir ve bu özellikle yönetim kurulu-CISO ilişkileri için geçerlidir. CISO’ların yönetim kurullarına karşı stratejik davranmasının yolu, InfoSec programının işletmeyi risk ve sorumluluktan nasıl koruduğu, geliri ve büyümeyi hızlandırmaya yardımcı olduğu ve üretkenliği artırırken maliyetleri nasıl azalttığı konusunda tutarlı, şeffaf ve doğrulanabilir bir güven ölçüsü sergilemektir. Bu, CISO’nun işi nasıl ileriye taşıdığı konusunda destek ve takdir yaratılmasına yardımcı olur.