[ This article was originally published here ]
Tarafından, CISSP, CCSP, Cleveland Federal Rezerv Bankası için bir risk uzmanı ve KOBİ. 15 yıl boyunca teknoloji ve siber güvenlik danışmanlığında çalıştı. Allen şu anda E-Council’in Etik Hacking Danışma Kurulu olan ISSA North Texas’ın Yönetim Kurulu’nda görev yapmaktadır ve (ISC)² için CISSP incelemelerine katkıda bulunmuştur. Sertifikalı bir etik hacker ve sertifikalı tehdit istihbarat analistidir.
Yönetim Kurulunun amacı, yerleşik siber risk iştahı dahilinde siber güvenlik stratejisinin uygulanması da dahil olmak üzere, yönetişim sağlamak ve üst yönetimi sorumlu tutmaktır. Herhangi bir kuruluş için bir hedef, çoğu durumda internete maruz kalan teknoloji ve sistemlerin kullanımını içeren ticari faaliyetlerden gelir elde etmektir. Verileri işleyen ve depolayan teknoloji ve sistemlerin kullanımı, veri gizliliğinin, bütünlüğünün ve kullanılabilirliğinin kaybıyla sonuçlanabilecek doğal risklere sahiptir. Örgütler asla bertaraf etmek bu doğal risk, ancak azaltmak yerleşik siber risk iştahına bağlı olarak kabul edilebilir seviyelere Siber risk iştahı, firmanın yönetim kurulunun stratejik iş hedeflerine ulaşma arayışlarında kabul etmeye istekli olduğu toplam siber risk seviyesi ve türleri olarak görülebilir. Yönetim kurulu, baş risk yetkilisi ve ikinci savunma hattı uzmanlarının tavsiyesi ile kurum çapında risk iştahını belirlediğinde, bu ekip aynı zamanda kurum için siber risk iştahını belirli bir düzeyde ayrıntılı olarak tanımlar. Bu siber riski izlemek ve yönetmek, yönetim kuruluna siber güvenlik raporlamasının merkezinde yer alır.
Peki yönetim kurulu neden bu raporlamaya ihtiyaç duyuyor? Bu bilgilere, üst yönetimin, olası gelir kaybı, itibar kaybı ve hatta ciddi yasal risklere maruz kalmanın önlenmesinde kritik önem taşıyan teknoloji ve siber riskin doğru yönetimine bağlı kalmasını sağlamaya yardımcı olacak kararlar almalarını sağlamak için ihtiyaçları vardır. Bu nedenle, etkin risk raporlaması, yönetim kuruluna sağlanan bilgilerin, işletmenin uygun stratejik ihtiyaçlarına doğru zamanda, doğru kararlar almasına yardımcı olmada yararlı olması gerektiği anlamına gelir. Üst yönetim, Bilgi Sistemleri Yönetimi (MIS) aracılığıyla, teknik jargonu, siber riskin operasyonları nasıl etkilediğini ve operasyonlar üzerindeki etkisinin gelir getirici faaliyetleri nasıl etkilediğini açıklayan bir iş diline çevirebilmelidir. Operasyonel risk kapsamına giren siber risk, genellikle ideal olarak en az bir ticari ve teknik açıdan bilgili yönetim kurulu üyesi olan atanmış bir Kurul Risk Komitesi aracılığıyla yönetim kuruluna açık bir şekilde iletilmelidir.
Siber güvenliğin, üstünkörü ilgiyi hak eden bir maliyet merkezi olarak görüldüğü günler geride kaldı, ancak siber güvenlik ve teknoloji, kuruluşun ürün satış hizmetlerini içeren misyonunun ayrılmaz bir parçası olan iş etkinleştiricileri olarak görülmelidir. Bir firmanın ana faaliyet alanı ücret karşılığında siber güvenlik hizmetleri satmıyorsa, siber güvenlik harcamalarının, gelir yaratmayla net bir bağlantısı olmayan bütçenin bir yüzdesini kullanan bir maliyet merkezi olarak görülmesi muhtemeldir.
Bazı paydaşlar, yalnızca metrikler oluşturarak yönetim kuruluna etkin bir şekilde rapor verdiklerine inanırlar. Soru, bu metriklerin anlamlı stratejik kararlar almaya yardımcı olup olmadığıdır. Birçok kuruluş, belirli eşiklerin belirlenen iştahın dışına çıkması durumunda erken uyarı göstergeleri olarak hizmet eden metrikler olan temel risk göstergelerini (KRI’lar) kullanır. Bazı firmalar tarafından oluşturulan KRI’lar, zayıf kalibrasyon nedeniyle asla ihlal edilmez, bu da bu tür metrikleri karar vermeyle alakasız hale getirir. Üst yönetim, siber güvenlik ölçütlerinde ifade edilen siber riskin neden bir firmanın operasyonel sağlamlığı üzerinde olumsuz etkileri olabileceğini ve yönetim kurulunun, firma gelirlerine ve olası markaya mal olabilecek bir ihlali önlemek için bir yatırımı onaylamak gibi yapması gerekenleri gösterebilmelidir. zarar.
Örneğin, siber güvenlik ölçümleri, devlet destekli tehdit aktörlerinin fidye yazılımı olan bir firmayı hedef almak için tutarlı bir girişimde bulunduğunu gösteriyorsa, üst yönetim, olası bir yatırım kararı vermesi için bunu yönetim kuruluna kanıt olarak derleyebilir. Bir maliyet/fayda analizi gerçekleştirdikten sonra yapılan yatırım, özellikle risk altındaki veriler firmanın temel operasyonları için kritik önem taşıyorsa, firmanın sıcak site gibi bir yedekleme altyapısına yatırım yapması ihtiyacı olabilir.
Diğer bir örnek, firmanın operasyonları ve kârlılığı doğrudan etkileyebilecek tanımlanmış güvenlik açıklarını iyileştirmede geride olup olmadığını gösteren Kilit Performans Göstergeleri (KPI’ler) olabilir ve bu bilgileri iyileştirme faaliyetlerini hızlandırabilecek ek vasıflı personel işe almak için bir temel olarak kullanabilir. Bu tür siber güvenlik ölçümleri, yönetimin stratejik ihtiyaçları yönetim kuruluna sunmasına yardımcı olmada faydalıdır. Birçok kuruluş, yönetim kurulu üyelerini ezoterik olan ve alakasız bilgiler ileten bir ölçütler özeti ile bunaltıyor.
Sağlık hizmetleri gibi düzenlemeye tabi sektörler için siber güvenlik ölçümleri, yönetim kurulunun üst yönetimin yasalara ve düzenlemelere uyumu sürdürüp sürdürmediğini değerlendirmesini de sağlamalıdır. Bu aynı zamanda, yönetim kuruluna firmanın uyumluluğu nasıl sürdürdüğünü net bir şekilde bildirebilecek siber güvenlik ölçümlerinin dikkatli ve uygun şekilde tasarlanmış bir derlemesini gerektirir. Siber güvenlik raporlamasının, bilgi güvenliği şefine (CISO) bağlı ekip olan birinci savunma hattı tarafından yanlış bildirilmemesini sağlamak için, bağımsız bir ikinci savunma hattının, yönetim kurulu onları görmeden önce metrikleri uygunluk ve doğruluk açısından incelemesi ve sorgulaması idealdir.
Yönetim kurulunun, hissedarların çıkarlarını korumak için güvene dayalı bir görevi olduğunu ve tüm kararlarının nihai olarak bu amaca ulaşmayı amaçladığını hatırlamak önemlidir. Bu nedenle, siber güvenlik ölçümlerinin, firmanın siber risk profilinin durumu hakkında fikir vermesi gerektiğini anlamak önemlidir. Siber risk profili, yasal maruziyet ve marka hasarından kaynaklanabilecek gelir getirici faaliyetleri veya finansal riski nasıl etkileyebileceğini açıkça belirtmelidir. Üst yönetim, risk iştahını uygun şekilde operasyonel hale getirerek siber riski temel operasyon riskine bağlayabilir. Bir firma risk iştahının orta olduğunu söylediğinde, bunun nicel limitler kullanılarak risk eşiklerine çevrilmesi gerekir. Sınırlar, olası operasyonel etkinin tahmin edilmesi için bir temel oluşturmalıdır.
Bir CISO’nun ne sunması gerektiği, nasıl sunulacağı ve ne umduğunuz hakkında daha fazla bilgi için temel çıkarımlar okunur. Jon France, CISSP, (ISC)² CISO tarafından.
reklam