Bu Help Net Security röportajında, eBay’in CISO’su Sean Embry, siber güvenlik liderliğinin temel yönlerini tartışıyor. Uzun vadeli stratejik planlama ile tehditlere anında müdahalenin dengelenmesi, yeni teknolojilerin yatırım getirisinin değerlendirilmesi ve çalışanların siber güvenlik yorgunluğunun giderilmesine ilişkin içgörülerini paylaşıyor.
Bir CISO olarak, uzun vadeli stratejik siber güvenlik yatırımlarını anında taktiksel tehdit müdahalesiyle nasıl dengelersiniz?
Buradaki en önemli kelime “denge”dir ve etkili siber güvenlik programlarının daha uzun vadeli bir stratejiye sahip olması ancak sürekli değişen tehdit ortamıyla başa çıkabilecek kadar çevik olması gerekir. Biri olmadan diğeri var olamaz.
Daha uzun vadeli planlama için, her yıl güncellediğimiz, tehdit ve risk ortamındaki değişiklikleri, yeni iş önceliklerini ve yeni teknolojiler ile yetenekleri hesaba katan üç yıllık bir yol haritasını sürdürüyoruz. Bu bize dinamik ama her zaman önceliklere uygun, daha spesifik bir yıllık plan sunabileceğimiz bir çerçeve sağlıyor. Ve acil taktiksel tehdit müdahalemiz 7x24x365 yönetiliyor. Genellikle ekip içinde yer alsa da, herhangi bir aktif veya algılanan tehditle başa çıkmak için kuruluş geneline genişletilebilir. Taktiksel tehdit tepkisi sonucunda keşfedilen boşluklar ve fırsatlara dayanarak üç yıllık yol haritamızı sürekli olarak değerlendirdiğimiz aktif bir geri bildirim döngüsüne sahibiz.
Yeni güvenlik teknolojilerini ve çerçevelerini benimsemenin yatırım getirisini nasıl değerlendiriyorsunuz?
Tipik olarak, çözmeye veya önlemeye çalıştığımız soruna veya riske, maliyetler, hizmetlerin kullanılabilirliği, müşteri güveni ve diğer faktörler açısından işletme üzerindeki etkisinin ne olacağına bakarız. Varsayımları test etmek için kavramların kanıtını yürütüyoruz ve uygulamanın geniş ölçekte fizibilitesini, ekipler üzerindeki etkisini vb. inceliyoruz.
Şirket içinde yeni yetenekler geliştiriyorsak, şirket genelindeki etkiyi en aza indirmek için iş çabalarını güvenlik veya teknoloji ekiplerine yerelleştiririz. Uyguladığımız çözümlerin birçoğunun bize, yalnızca şirket parasından tasarruf etmekle kalmayıp, aynı zamanda müşterilerimiz veya çalışanlarımız için yaşanan sıkıntıları da azalttığımız ikili bir fayda sağladığını gördük; bazı örnekler şunları içerir: bot azaltma, siber suç önleme, hesap devralma (ATO) azaltma ve şifresiz teknolojiler.
Özellikle yeni politikaların veya araçların kullanıma sunulması sırasında çalışanlar arasındaki siber güvenlik yorgunluğunun giderilmesine yönelik bakış açınız nedir?
Her zaman güvenlik ve yüksek öncelikli projelerin rekabet etmek zorunda olmadığını hissettim. Bu, organizasyonun her seviyesinde iyi güvenlik hijyenini benimseyen bir kültür oluşturmakla başlar. Bir güvenlik ekibi olarak, ekiplerimizin siber güvenliğin yanı sıra birçok yüksek önceliğe sahip olduğunun farkındayız, ancak çalışanlar aynı zamanda çeşitli platformlarımızın güvenliğinin, uyumluluğunun ve kullanılabilirliğinin performansımızın temelini oluşturduğunu da biliyor.
Yorgunluğu önlememize yardımcı olan da bu ortak anlayış ve destektir ve ekiplerimizin planlarımıza dahil olmasını sağlamak için çeşitli mekanizmalardan yararlanırız:
- Yeni araçların veya politikaların (ölçeklenebilirlik, erişim yönetimi, bilgi işlem etkisi vb.) arkasındaki mimariyi ve mühendisliği incelediğimiz tüm teknoloji alanlarından temsil edilen sanal mimari ekiplerimiz var. Mümkün olan her yerde, güçlü güvenlik uygulamalarını korurken aynı zamanda daha olumlu bir kullanıcı deneyimi sunan, parolasız kimlik doğrulama gibi yeni standartları da benimsemeye çalışıyoruz. Çalışanlarımızın manuel görevlerini azaltmak için otomasyon çalışmalarına da öncelik veriyoruz.
- Uygulanan politika veya araçların mümkün olan en az etkiye sahip olmasını sağlamak için her ürün alanından katılımcıların yer aldığı ve geri bildirim aldıkları bir Güvenlik Şampiyonları programımız var.
- Kilit paydaşların ne yaptığımızı, bunu neden yaptığımızı ve onların yardımına ve etkisine nerede ihtiyacımız olduğunu anlamalarını sağlamak amacıyla tüm güvenlik ve uyumluluk portföyünün durumunu gözden geçirmek için kilit paydaşlarla aylık toplantılar yapıyoruz.
Ve en önemlisi, herhangi bir büyük değişiklikten önce, etkilenen tüm çalışan topluluğuyla iletişim kuruyor ve verimliliğin etkilenmemesini sağlamak için kaynak sağlıyoruz.
Birden fazla siber güvenlik düzenlemesine uymanın getirdiği karmaşıklıkları nasıl aşabilirsiniz?
Benim görüşüme göre siber güvenlik bir takım sporudur ve iş dünyasındaki tüm paydaş gruplarının işbirliği ve desteğinden yoksun olan hiçbir takım başarılı olamaz. Örneğin hukuk, BT, İK ve diğer iş birimleri, siber güvenlik programlarının yalnızca kuruluşta anlaşılmasını ve benimsenmesini değil, aynı zamanda gelişen düzenleyici ortamla uyumlu olmasını sağlamak için birlikte çalışmalıdır.
Bu önemli iş ortaklarının güvenlik yasalarını, çerçevelerini ve standartlarını anlamaları ve bu gereklilikleri iş genelindeki güvenlik çerçevesiyle uyumlu hale getirmeleri kritik öneme sahiptir. Geçerli tüm siber güvenlik düzenlemelerinin gerekliliklerini entegre eden açık politikalarımız ve standartlarımız var. Program yönetişiminin bir parçası olarak bu kontrolleri uygulamak ve boşlukları düzeltmek için kuruluş genelindeki ekiplerle birlikte çalışıyoruz. Ayrıca filo genelinde önemli güçlendirme kontrollerine karşı sapmayı tespit edecek otomasyon yeteneklerimiz var.
Siber güvenlik stratejisi için yöneticilerin desteğini almak isteyen yeni atanan CISO’lara ne gibi tavsiyelerde bulunursunuz? ROI’yi nasıl açıklayabilirler?
Her şeyden önce, yeni bir CISO, işini sadece masasının arkasında oturarak ve kontrol panellerini izleyerek yapamayacağını bilmelidir. Tüm kuruluş genelinde güvenlik ve uyumluluk durumunu (hijyen, kontroller, erişim, platform güvenliği, çevre güvenliği vb. anlamına gelir) ve iş stratejisinin veya yeni yüksek güvenliğin ne olduğunu anlamak için şirket içinde geniş bir iletişim tabanı oluşturmaları gerekir. öncelikli çabalar şunlardır (örneğin Ajans GPT).
İkinci olarak, yeni bir CISO, şirketin karşı karşıya olduğu tehdit ortamını, riskleri ve etkileri ve şirketin risk iştahına göre hangi hafifletme kontrollerinin uygulanması gerektiğini anlamalı ve iletebilmelidir. Pek çok sağlamlaştırma çabasının yatırım getirisi olmayacağını, diğerlerinin ise bunu yapabileceğini anlamak önemlidir. Yatırım getirisinin marjinal olabileceği durumlarda, yatırım getirisi görüşmesinin bir parçası olarak müşteri güveni ve marka itibarı gibi daha az finansal odaklı ölçümleri de dikkate almak önemlidir.
Devamını oku: