Bu yardımda net güvenlik görüşmesinde, CBIZ genel müdürü John Verry, sigortacıların ve finansal risk profesyonellerinin siber güvenlik olgunluğunu farklı lensler aracılığıyla nasıl değerlendirdiklerini tartışıyor. Ayrıca, iş açısından siber riskin çerçevelemesinin yatırım vakalarını nasıl güçlendirebileceğini ve siber güvenliği stratejik bir sürücü olarak nasıl yükseltebileceğini gösteriyor.
CISOS, sigorta şirketlerinin ve finansal risk profesyonellerinin siber güvenlik olgunluğunu nasıl değerlendirdikleri hakkında ne bilmelidir?
Siber güvenlik olgunluğu paydaşlara bağlı olarak farklı şekilde görülür ve etkili programlar bu değişen perspektifleri hesaba katmalıdır. Finansal risk profesyonelleri, siber risklerin finansal, operasyonel ve düzenleyici etkilere ne kadar iyi tanımlandığını, azaltıldığını ve hizalandığını değerlendirerek bir Kurumsal Risk Yönetimi (ERM) lensiyle yaklaşmaktadır. Öte yandan, siber sorumluluk sigortacıları olgunluğu siber güvenlik olaylarına maruz kalmaya, öz değerlendirmeleri, üçüncü taraf değerlendirmelerini, dış taramaları, belge incelemelerini ve bazen bir olayın olasılığını ve maliyetini tahmin etmek için görüşmeleri kullanarak değerlendirir.
İyi Haber: Programınızı ISO 27001 veya NIST Siber Güvenlik Çerçevesi gibi güvenilir, açık bir çerçeve ile hizalamak bu perspektifleri köprülemeye yardımcı olur. Proaktif bir güvenlik duruşu göstermenizi, ERM ile ilgili endişeleri azaltmanızı ve potansiyel olarak sigorta teşviklerine hak kazanmanızı sağlar-hepsi risk, güvenlik ve yönetici paydaşları arasında yankılanan ortak bir dil konuşurken.
Özellikle ISO 27001, HITRUST veya SOC 2 gibi üçüncü taraf onaylamalarla doğrulandığında, çerçeveye dayalı bir yaklaşımı benimsemek, aynı derecede (ve bazen daha fazla) önemli, en kritik kitlenizle olan güvenleri güçlendirir: müşterileriniz.
CISO’ların siber güvenlik risklerini finansal veya iş açısından teknik olmayan yöneticilere iletmenin en etkili yolları nelerdir?
Gördüğümüz yaygın bir zorluk, resmi bir ERM programının olmaması veya işletme, siber güvenlik ve üçüncü taraf risklerin farklı etki kriterleri kullanılarak değerlendirildiği risk fonksiyonlarının parçalanmasıdır. Bu hizalama eksikliği, CISOS’un C-suite ve kartla etkili bir şekilde iletişim kurmasını zorlaştırıyor. Risk programlarının standartlaştırılması ve tutarlı etki kriterlerini kullanma, daha net risk karşılaştırmaları, paylaşılan anlayış ve daha stratejik karar verme sağlar.
Bu zorluk, NIST AI Risk Yönetimi Çerçevesi, AB AI Yasası, NYC Bias denetim yasası ve Colorado Yapay Zeka Yasası dahil olmak üzere AI’ye özgü düzenlemelerin ve çerçevelerin yükselişi ile daha da kötüleşmiştir. AI, tek bir risk kategorisine düzgün bir şekilde uymaz; İşletme, siber ve üçüncü taraf alanları keser. Sonuç olarak, etkili bir AI risk yönetimi programı oluşturmak, daha geniş ERM stratejisi ile bütünleşen koordineli, çapraz fonksiyonel bir yaklaşım gerektirir.
Siber güvenliği genel kurumsal risk yönetimi stratejilerine nasıl yerleştiren ileri görüşlü kuruluşlar, özellikle siber tarihsel olarak sessiz bir BT sorunu olarak ele alındığı sektörlerde, bu entegrasyonu şekillendirmede CISO’nun rolü nedir?
Siber güvenlik geleneksel olarak risk azaltmaya odaklanan bir ‘değer koruma’ işlevi olarak görülmüştür. Bununla birlikte, ileri görüşlü cisos, olgun, stratejik bir güvenlik programının da inovasyon/dijital dönüşümü destekleyerek ve paydaş güvenini destekleyerek ‘değer yaratmayı’ yönlendirdiğini kabul eder. Kuruluşun stratejik hedefleriyle uyumlu olduğunda, siber güvenlik bir iş sağlayıcısı haline gelir, siloları bozar ve CISO’yu gerçek bir stratejik lidere yükseltir.
Ne yazık ki, özellikle imalat sektöründe birçok kuruluş bu zihniyeti benimsemek için daha yavaş olmuştur. Siber güvenliğin tarihsel olarak arka koltuk aldığı ve şimdi önemli sonuçlarla karşı karşıya olduğu bir endüstridir. Savunma Sanayi Üssü (DIB) Tedarikçiler, gecikmiş CMMC uyumluluk çabaları nedeniyle mevcut sözleşmeleri kaybetme veya yeni fırsatlardan diskalifiye olma riski taşıyor ve genellikle 12 ila 18 aylık tamamlanmalıdır. Benzer şekilde, otomotiv tedarik zinciri üreticileri, TISAX sertifikası temel bir gereksinim haline geldikçe montaj basıncı ile karşı karşıyadır.
Ders açıktır: Siber güvenlik artık isteğe bağlı değildir ve proaktif olması, reaktif olmaması gerekir. Bu stratejik bir farklılaştırıcı ve geride kalma riski taşıyamayanlar.
CISOS, özellikle güvenlik yatırımlarını haklı çıkarma söz konusu olduğunda, CFO’lar veya risk komiteleri ile siber risk toleransı hakkındaki konuşmalara nasıl yaklaşmalıdır?
Güvenlik yatırımlarını, finansal maruz kalma, operasyonel bozulma, itibar zararı ve müşteri etkisi gibi kararlaştırılmış etki kriterlerinin kullanılması, yüksek, orta veya düşük gibi açık, iş hizalanmış risk terimlerine iletmek, harcamaları haklı çıkarmayı ve işletme öncelikleriyle uyumlu hale getirmeyi önemli ölçüde kolaylaştırmaktadır.
Örneğin: “Önerilen güvenlik izleme aracının finansmanı, savunma sanayi tabanındaki 5 milyon dolarlık 2027 gelir hedefimizi doğrudan destekleyen CMMC sertifikası elde etmek için kritik öneme sahiptir.”
Sanal CISO katılımlarımızda, risk temelli, sonuç odaklı bir yaklaşımın yönetici liderliği ile oldukça etkili olduğunu bulduk. Finansal ve operasyonel açıdan siber risk toleransını çerçeveliyoruz, önerilen yatırımların iş değerini ölçüyoruz ve güvenlik girişimlerini doğrudan stratejik hedeflere bağlıyoruz. Teknik jargonu en aza indiriyoruz, ödünleşmeleri vurguluyoruz ve liderliği, eylem ve eylemsizliğin maliyetlerini ve sonuçlarını yansıtan açık, karara verilen seçeneklerle sunuyoruz.
CBIZ birçok orta pazar firmasıyla çalışıyor. Büyük işletmelerle karşılaştırıldığında siber risk hakkında nasıl farklı düşünüyorlar ve bu segmentte gördüğünüz benzersiz risk yönetimi kör noktaları veya fırsatlarından bazıları nelerdir?
Orta pazar firmaları genellikle ortaya çıkan siber güvenlik, gizlilik ve yapay zeka ile ilgili risk ve düzenlemelerin önünde kalmak için iç kaynaklardan veya uzmanlık uzmanlığından yoksundur. Sonuçlar, veri ihlallerinden ve düzenleyici cezalardan kaçırılan piyasa fırsatlarına kadar önemli olabilir.
Bu zorluk, hem orta pazar firmaları hem de çözüm sağlayıcıları için stratejik bir fırsat yarattı: CISO, veri gizlilik memuru, CIO ve yasal yetenekleri talep eden sanal hizmetler, genellikle tam zamanlı personel maliyetinin bir kısmında. Bu modeller daha hızlı uyumluluk, daha güçlü esneklik ve daha çevik risk yönetimi sağlar.