Cisos siber riskin iş riski olduğunu biliyor. Tahtalar her zaman bu şekilde görmez.
CISO’lar yıllarca, moda kelimelerin ötesinde güvenliği anlamak için tahtalar almak için mücadele etti. Birçoğu ya göz ardı edildiğini veya yanlış anlaşıldığını düşünüyor. Ancak tehditlerin büyümesi ve düzenlemeler sıkılmasıyla bu değişiyor. Kurullar artık CISOS’un dillerini konuşmasını bekliyor: risk, dolar, etki.
Güvenlik liderleri, siber güvenliği toplantı odasında yankılanmaya yönelik gerçek dünya ipuçlarıyla nasıl yaşayabilirler.
Riski Dolara Çevreyin
Kurul teknoloji uzmanlarıyla dolu değil. Çoğu üye finans, yasal veya operasyonlardan gelir. İş performansı, sorumluluk ve hissedar değeri açısından düşünüyorlar.
Bu nedenle, tehdit yemleri veya yama istatistikleri ile görünmeyin. Onlar için neyin önemli olduğuna odaklanın. Örneğin:
- Bir fidye yazılımı saldırısı bir hafta boyunca nasıl geliri durdurabilir?
- Bir denetimin başarısız olması müşteri güvenini nasıl etkileyebilir?
- Bir ihlal düzenleyici para cezalarını nasıl tetikleyebilir
Kurula konuşurken, siber güvenlik liderlerinin teknik jargondan risk ve finans diline geçmeleri gerekir. Optiv’te küresel siber risk ve yönetim kurulu ilişkileri başkan yardımcısı James Turgal, “Kurullar teknik jargon değil, olasılık ve finansal etki açısından düşünüyor” diyor.
Siber riskin yankılanmasını sağlamak için Turgal, bilgi riskinin faktör analizi olan adil gibi risk nicelik modellerini kullanır. Bu modeller, CISO’ların tahtalar anlamıyla tehditleri ifade etmesine izin verir. “Üç şeyi tahmin ederek başlıyorum: ne sıklıkta kötü bir şey olabilir, ne kadara mal olabilir ve marka, satış veya pazar payı açısından iş etkisinin ne olabileceği” diye açıklıyor.
Turgal, kötü amaçlı yazılım varyantları veya saldırı vektörleri hakkında konuşmak yerine: “Bu yıl fidye yazılımı saldırısı riski yüzde 5’tir ve olursa ortalama kayıp 4,5 milyon dolar olacaktır.” Ayrıca siber riski somut iş sonuçları için bağlar. Örneğin, bir müşteri portalının ihlalinin, hizmet kesintisi ve müşteri yıpranması nedeniyle çeyrekte geliri % 8 oranında azaltabileceğini gösterebilir.
Turgal, “Her CFO, sistem kesinti süresi nedeniyle kayıp operasyonlar için günlük finansal numarayı biliyor” diyor. “Ciso sadece matematiği yapmak zorunda.”
Turgal ayrıca, siber riskin risk altındaki değer gibi zaten kullanımı olan finansal metrik panoları ile hizalanmasını önermektedir. “Bulut güvenlik kontrollerimizi yükseltmezsek, yıllık 1,2 milyon dolarlık bir zarara maruz kalmayı bekliyoruz” diyor. Bu, teknik kararları, kurulların tartabileceği ve hareket edebileceği kârlı sonuçlara dönüştürmeye yardımcı olur.
Trendlere odaklanın, düz bir dil kullanın
Tahtaların her tehdit uyarısına ihtiyacı yoktur. Ama işlerin daha iyi veya daha kötü olup olmadığını bilmek istiyorlar. Onlara zaman içinde ilerlemeyi gösterin. Örneğin:
- THREAMING HISH girişimleri ve yanıt sürelerinin üç aylık bir eğilimi
- Simüle edilmiş saldırılarda çalışan tıklama oranlarını gösteren metrikler
- Mevcut risk seviyelerini son çeyreğe karşılaştıran bir puan kartı
Aykırı değerleri vurgulayın. Ne kötüleşiyor? Kontrol altında ne var? Boşluklar ve onları kapatmak için ne yaptığınız konusunda şeffaf olun.
Jargon’dan kaçının. “Yetkisiz erişim” yerine “suçlular kırıldı” deyin. “Fidye yazılımı etkinliği” yerine “Dosyalarımızı şifrelediler ve para istediler” deyin. Ardından, basit görsellerle yedekleyin. Pasta grafikleri veya risk ısı haritaları, sayılarla dolu elektronik tablolardan çok daha etkilidir.
Güncellemeleri kısa tutun. Kurul toplantıları sıkı. Onları ayrıntılı olarak boğmayın. Net çıkarımlarla beş dakikalık bir güncelleme hedefleyin: Ne değişti? Riskler nelerdir? Ne tavsiye edersiniz?
“Karmaşık teknik konular ve gelişen tehditler ile, tipik kısa zaman aralığı genellikle anlamlı diyalog için yetersiz kanıtlar. Güvenlik liderleri, özlü, iş odaklı brifing materyallerini önceden hazırlayarak ve zaman kısıtlamaları devam ettiklerinde, cybersecurity konularının uygun şekilde denetlenmesini sağlamak için özel oturumları savunmaları gerekir.” Dedi.
Güvenliği iş hedeflerine bağlayın
Siber güvenliği iş hedefleriyle hizalamak için CISOS, şirketin temel misyonunu anlamalı ve güvenliğin bu görevle nerede kesiştiğini belirlemelidir. Güven tehlikeye atıldığında, sonuçlar derhaldir: satışları, marka sadakatini ve nihayetinde pazar payını etkilemek.
Turgal’a göre, bu uyum genellikle belirli güvenlik girişimlerini şirketin stratejik hedeflerine bağlamaya başlar. Örneğin, bir işletme uluslararası pazarlara doğru genişliyorsa, CISO’lar ISO 27001 gibi siber güvenlik sertifikaları alarak veya GDPR gizlilik çerçeveleri ile hizalanarak bu hedefi destekleyebilir. Bunlar sadece riski azaltmakla kalmaz, aynı zamanda yeni bölgelerde güvenilirlik oluşturmaya da yardımcı olur.
Yönetim Kurulu ile iletişim kurarken Turgal, siber güvenlik girişimlerinin hissedar değerine eşlenmesini tavsiye eder. “İş hedefi hissedar değerini korumaksa, iş sürekliliği ve artan operasyonel çalışma süresi ile doğrudan bir bağlantı var.” Bunu desteklemek için, güvenlik liderleri konteyner değişmez yedeklemeler, olağanüstü durum kurtarma ve olay müdahale planları yoluyla siber esnekliği artırabilirler-marka zarar gören saldırıları azaltabilecek ve hisse senedi fiyatı oynaklığını önleyebilecek havalar.
Uyumluluk, güvenlik ve iş stratejisinin kesiştiği başka bir alandır. Turgal, “İş hedefi uyumluluğu korumak ve para cezalarından kaçınmak veya azaltmaksa, siber güvenlik bağlantısı, uyum otomasyon uygulamalarına ve güvenlik kontrollerine yatırım yapmak ve uygulamak olacaktır” dedi. Bu önlemler, kuruluşun endüstrisine bağlı olarak PCI-DSS, SOX veya HIPAA gibi düzenlemelerle uyumludur.
Kurul sorularını tahmin et
Her toplantıdan önce kendinize sorun:
- Şu anda en çok ne riske sahip olacaklar?
- Bana soracakları başlıklar var mı?
- Onlardan hangi kararlara ihtiyacım var?
Güncellemelerinizi bunları göz önünde bulundurarak çerçeveleyin. Ve şu soruları cevaplamayı pratik yapın:
- Yeterince yapıyor muyuz?
- Akranlarla nasıl karşılaştırılırız?
- Bu bize olabilir mi?
“Bilmiyorum” demekten korkmayın, ama her zaman, “Bulacağım ve size geri döneceğim” ile takip edin.
Her yönetim kurulu toplantısından sonra, yazılı bir özetle takip edin: ne sunduğunuz, hangi geri bildirim aldığınız ve verilen kararlar. Bu hesap verebilirlik oluşturur ve profesyonellik gösterir. Öncelikler değiştiğinde veya bütçeler kesildiğinde de yardımcı olur. Kabul edilenlerin ve neden önemli olduğunun bir kaydına sahip olacaksınız.
Yönetim kurulu dışında ilişkiler kurun
En verimli konuşmalardan bazıları toplantılarda gerçekleşmez. Kahve veya bireysel yönetim kurulu üyeleriyle yapılan çağrılarda gerçekleşirler.
Mümkünse, anahtar risklerle yürümek için yöneticilerle bire bir planlayın. Ne hakkında daha fazla bilgi edinmek istediklerini sorun. Nasıl bilgi almayı tercih ettiklerini öğrenin.
Toplantı dışında ilişki kurarak, içinde daha az sürprizle karşılaşacaksınız.
Yönetim kurulu odasındaki en güçlü müttefikleriniz genellikle CFO ve yasal şeftir. Risk ve sorumluluğu anlıyorlar ve kurulun dilini konuşuyorlar.
Mesajınızı şekillendirmek için onlarla birlikte çalışın. Verilerinizi baskı tespit etmelerini ve risklerin finansal etkisini geliştirmelerine yardımcı olmalarını isteyin. Eğer yanınızda ise, mesajınız daha fazla ağırlık taşır.
Sağlıklı yönetim kurulu ilişkilerine sahip CISO’lar, kuruluş genelinde daha iyi işbirliğine sahip olma eğilimindedir. Ayrıca, son Splunk araştırmalarına göre, tehdit algılama kuralları oluşturmak, veri kaynaklarını analiz etmek, olay tepkilerini ve adli araştırmaları analiz etmek gibi üretken AI için kullanım vakalarını takip etme olasılığı daha yüksektir.