Teksas çiftliğinde bir çocukluğun FBI’da siber suçluların araştırılmasını ve daha sonra küresel bir yazılım şirketindeki finansal verilerin korunmasını içeren bir kariyere yol açmasını beklemeyebilir. Ancak siber güvenlik, öngörülemezlik üzerine inşa edilmiş bir endüstridir – ve yıllar önce kendim de dahil olmak üzere birçok hevesli kişiyi buna çeken şey budur.
Çeşitli ve çeşitlendirilmiş bir kariyere sahip olmak, birçok faydaya sahiptir ve en azından zorluklara daha geniş bir lensle yaklaşma, çok çeşitli deneyimlerden yararlanma ve hızlı bir şekilde yeni ve gelişen tehditlere uyum sağlama yeteneği yoktur. İki günün aynı olmadığı siber güvenlikte, bu tür çok yönlülük paha biçilmezdir. Donanma Departmanı ve ABD İflas Mahkemesi ile erken rollerden – FBI’a – o zamandan beri telekom, tüketim malları, özel sermaye ve şimdi finansal yazılım alanında Blackline’da CISO olarak güvenlik rollerine girdiğim birçok öğrenim var. Bu endüstrilerin ve kuruluşların bazıları daha farklı olamazken, herhangi bir güvenlik uzmanının farkında olması için bazı temel beceriler ve dersler vardır.
Finans ekipleri: Beklenmedik cephe hattı
Çoğu insan siber güvenlik hakkında düşündüğünde, BT departmanlarını ve güvenlik duvarlarını hayal eder. Ancak, saldırganlar gittikçe daha fazla teknik çevreyi atlıyor ve çanta tellerini tutan insanlar için doğrudan gidiyorlar.
Finans ve Muhasebe (F&A) profesyonelleri hassas verileri ele alır, ödemeler yetkilendirir ve satıcılarla etkileşim: Sistemleri veya insanları manipüle etmek isteyen siber suçlular için tüm başlıca fırsatlar. Aslında, iş e -posta uzlaşması (BEC), sahte fatura dolandırıcılıkları ve iç sahtekarlık planları, süreç boşlukları, sosyal mühendislik veya basit bir siber farkındalık eksikliği nedeniyle finans ekipleri dahilinde ortaya çıkar. Yine de, birçok finans ekibi siber güvenliği hala “başkasının işi” olarak görüyor.
Benzer konular, diğer birçok endüstride de devam ediyor, ön hat rollerindeki kişiler saldırıya karşı savunmasız. Bu tehlikeli bir kör nokta. Küresel finansal sahtekarlık kayıpları yılda 500 milyar dolar, finans ve diğer kilit departmanlarla, liderlerin artık siber riski temel bir iş riski olarak düşünmeleri gerekir – proaktif kontroller, eğitim ve güvenlik ekipleriyle işbirliği gerektiren.
Operasyonları güvence altına almak: zihniyet kayması pratik adımlara
İlk adım, siber güvenliğin sadece teknik bir sorun olmadığını kabul etmektir; Bu bir iş sorunu. Bu nedenle, tüm ekiplerin kuruluşu güvenli tutmak ve etkili bir şekilde çalıştırmak için hayati bir rolü vardır.
Blackline’da F&A profesyonellerine güvenlik programımızda kilit oyuncular olarak davranıyoruz. Kimlik avı simülasyonları da dahil olmak üzere özel güvenlik farkındalığı eğitimine büyük yatırım yapıyoruz ve finansal kontrollerimizin siber güvenlik göz önünde bulundurularak tasarlanmasını sağlıyoruz. Ödemeler için ikili onaylar, sistem erişimi için çok faktörlü kimlik doğrulama ve kullanıcı izinlerinin düzenli denetimleri standart uygulamadır.
Çok sık, modası geçmiş süreçler veya tek bir bireye aşırı güven nedeniyle bir siber saldırı veya sahtekarlık olur. Tüm finansal süreçler dahil olmak üzere katmanlı kontroller oluşturmak ve bunları düzenli olarak baskı test etmek riski büyük ölçüde azaltabilir.
Aynı derecede önemli olan üçüncü taraf maruziyeti tanımaktır. Örneğin, finans ve muhasebe ekipleri genellikle doğrudan satıcılar, ödeme işlemcileri ve bankalarla ilgilenir – bunlardan herhangi biri güvenlik açıkları getirebilir. Sonuç olarak, şüpheli sorunlar ve tehditler ortaya çıktığında, tespit, düzenli risk değerlendirmeleri ve açık yükselme yolları, güvenli bir finansal işlemin temel bileşenleridir. En önemlisi, diğer departmanlar ortaya çıkan potansiyel üçüncü taraf güvenlik sorunlarını önlemek için benzer adımlar atmak akıllıca olacaktır.
İletişim neden bir CISO’nun en güçlü aracıdır
Yıllar boyunca geliştirdiğim en değerli becerilerden biri teknik değil, çevirisi. Siber güvenlik riskini iş açısından iletmek, tehdit manzaralarını yaşamayan ve nefes almayan paydaşların etkileşimi için anahtardır.
BT’de geçirdiğim süre boyunca, riskin dilinde güvenliği nasıl çerçeveleyeceğimi öğrendim: sadece siber risk değil, finansal, operasyonel ve itibar riski. Perspektifteki bu değişim, özellikle finans gibi yüksek düzenlenmiş endüstrilerde BT ve iş işlevleri arasında daha güçlü bir uyum oluşturmamı sağladı.
Hem başarılar hem de zorluklar konusunda şeffaf olmak da kritiktir. Ekibim ve tahta ile neyi ölçtüğümüz, neden önemli olduğu ve nerede geliştirmemiz gerektiği konusunda net beklentiler belirledim. Bu, güven oluşturur ve sürekli iyileştirmenin – korkunun değil, eylemi yönlendirdiği bir kültürü geliştirmeye yardımcı olur.
AI’nın yükselişi – ve onunla birlikte gelen riskler
Tabii ki, siber güvenlik manzarası her zaman gelişiyor. Şu anda, üretken ve ajanik AIV araçlarının entegrasyonu, güvenlik ekipleri de dahil olmak üzere tüm departmanların nasıl çalıştığını yeniden şekillendirmek. Bu teknolojiler, görevleri otomatikleştirmede ve anormalliklerin tespit edilmesinde inanılmaz bir umut vaat ediyor, ancak veri sızıntısından kamu LLM’lerine, finansal anlamda da dahil olmak üzere bütünlüğü zayıflatabilecek yanlışlıklara kadar yeni riskler de getiriyorlar.
Bu nedenle, yeni AI çözümlerinin gümüş bir mermi olarak görülmemesi çok önemlidir. Yeni tehdit türlerinin bir dayanak kazanmasını önlemek için açık kullanım politikaları, düzenli incelemeler ve güçlü yönetişim ile dikkatlice konuşlandırılmalıdır.
Şirketimizde, insan gözetimini tamamlamaktan ziyade tamamlayan AI yeteneklerine yatırım yapıyoruz. Ve sadece teknoloji uzmanları değil, tüm çalışanların bu araçların hem fırsatlarını hem de sınırlamalarını anlamak için eğitilmelerini sağlıyoruz.
Sınırsız bir dünyada siber esneklik
Siber tehditler artık coğrafi sınırlara saygı göstermiyor. Uyum gereksinimleri bölgeye göre değişebilirken, saldırganlar merkezinizin Londra, Los Angeles veya Lagos’ta olup olmadığı umrumda değil. Bu yüzden ülkeye göre özelleştirmek yerine güvenlik kontrolleri için küresel bir “yüksek çubuk” kurmayı savunuyorum.
Finans uzmanlarını özellikle küresel bir CFO veya bir muhasebeci olun, orta ölçekli bir firmada almak, temeller aynı kalır: CIA Triad olarak bilinen gizlilik, bütünlük ve kullanılabilirlik her ne pahasına olursa olsun korunmalıdır. Ve yapay zeka çağında, bu daha da karmaşık hale gelir.
Yeni Nesil İçin Tavsiye
Siber güvenlik alanında bir kariyer düşünenlere, tavsiyem şudur: Perspektifiniz önemlidir. Yolculuğum, bilgisayar korsanlarını takip etmekten kurul seviyesi güvenlik stratejileri binaya kadar beklenmedik dönüşler aldı. Ancak değişmeyen bir şey varsa, bu: Siber güvenlikte, insan unsuru her zaman en önemlisidir.
Jill Knesek, Blackline’ın baş bilgi güvenlik görevlisidir.