Bu yardımcı net güvenlik röportajında, Federal Reserve System’deki CISO olan Tammy Hornsby-Fink, Fed’in siber riske nasıl yaklaştığını senaryo tabanlı, istihbarat odaklı bir strateji ile nasıl paylaşıyor. Fed’in finansal istikrardaki potansiyel kesintileri nasıl değerlendirdiğini ve üçüncü taraf ve bulut hizmet risklerini nasıl ele aldığını açıklıyor.
Hornsby-Fink ayrıca federal işbirliğinin sistemik tehditlerin yönetilmesini nasıl desteklediğini ve operasyonel esnekliği güçlendirdiğini tartışıyor.
Federal Rezerv Sistemi Ciso olarak, finansal istikrarı etkileyebilecek ulusal ölçekli siber tehditleri nasıl değerlendiriyorsunuz ve önceliklendiriyorsunuz?
Federal Rezerv’de siber tehditleri, özellikle finansal istikrarı bozma potansiyeline sahip olanları değerlendirmek için senaryo tabanlı, istihbarat bilgilendirilmiş bir yaklaşım benimsiyoruz. Gelişen tehditlerin, özellikle finansal hizmetleri ve kritik altyapıyı hedefleyen tehditlerin misyonumuzu nasıl etkileyebileceğini anlamaya çalışıyoruz. Ayrıca federal ajanslar ve sanayi paydaşları ile yakın işbirliği içinde işbirliği yapıyoruz.
Öncelik etmek gerekirse, tehditleri potansiyel iş ve operasyonel etkilere eşleştiren bir kurumsal siber risk kaydı kullanıyoruz. Bu, fidye yazılımı, tedarik zinciri uzlaşması veya bulut hizmeti kesintileri gibi sistemik riski belirlememize ve birbirine bağlı sistemler arasında basamaklama potansiyellerini değerlendirmemize yardımcı olur. Bu içgörüler, yatırım kararlarını doğrudan bilgilendirerek, kaynakları en yüksek riskli ve en büyük stratejik öneme sahip alanlara tahsis etmemize yardımcı olur. Ayrıca, varsayımlarımızı doğrulamak ve yanıt stratejilerimizi geliştirmek için düzenli egzersizler ve siber simülasyonlar yapıyoruz, çevik kalmamızı ve hızla gelişen bir tehdit manzarasında hazırlanmamızı sağlıyoruz.
Güçlü siber güvenlik kontrollerine olan ihtiyacını Fed’in şeffaflık ve kamu hesap verebilirliği yetkisi ile nasıl dengeliyorsunuz?
Şeffaflık ve güvenlik, kamu güveninin temelini oluşturuyor ve onları rakip önceliklerden ziyade tamamlayıcı olarak görüyorum. Bu dengenin anahtarı, gözetim organlarıyla aktif olarak etkileşime girerek ve paydaşlarla açık iletişim hatlarını koruyarak yönetişimimize şeffaflık oluşturmaktır.
Aynı zamanda, hassas bilgilerin korunmasını sağlamak için titiz erişim kontrolleri, veri sınıflandırması ve sürekli izleme içeren sağlam bir güvenlik programı sürdürüyoruz.
Fed’in teknolojisi ve siber risk manzarası bağlamında “operasyonel esnekliği” nasıl tanımlıyorsunuz ve ölçüyorsunuz?
Bana göre, operasyonel esneklik, Federal Rezerv’in önemli siber veya operasyonel aksamalar karşısında bile misyonunu yerine getirmeye devam edebileceği anlamına geliyor. İster siber saldırılardan, sistem arızalarından veya dış olaylardan kaynaklanıyorlar, olumsuz olaylara öngörme, dayanma, iyileşme ve advers’e uyum sağlama yeteneği olarak tanımlanabilir.
Esnekliği kurtarma süresi hedefleri (RTO’lar), algılama ve yanıt süreleri ve fidye yazılımı esnek yedekleme ve restorasyon yetenekleri ile temel işlevlerin yüzdesi ile teknik metrikler ile ölçüyoruz. Stratejimiz aynı zamanda siber güvenliği iş çevikliği ile hizalayan kültürel ve yapısal değişimleri de içeriyor. Güvenliğin iş hızında hareket etmek için hizalanması, daha hızlı hizmet sunumunu, geliştirilmiş esnekliği ve operasyonel esnekliği%70 oranında artırdı.
Mevcut Siber Tehdit İstihbarat Paylaşım Ekosisteminde gelişmiş görmek istediğiniz bir şey var mı?
Siber tehdit istihbarat paylaşımında, özellikle kamu ve özel sektörler arasındaki işbirliğini teşvik etmede anlamlı bir ilerleme kaydedilmiştir. Ancak, hala iyileştirme için yer var. Kilit alanlardan biri, ham verileri yorumlayacak veya premium tehdit istihbarat beslemelerine yatırım yapmak için kaynaklardan yoksun olabilecek daha küçük kuruluşlar için daha eyleme geçirilebilir, bağlamsallaştırılmış zekaya ihtiyaçtır.
Formatların standardizasyonu, gerçek zamanlı paylaşım mekanizmaları ve katkıda bulunanlar için yasal korumaların daha iyi anlaşılması ekosistemi de artıracaktır. Bir CISO olarak, sektörler arasında güvenilir ilişkiler kurmanın gerekli olduğunu gördüm. Bu ilişkiler, ortaya çıkan tehditlerden haberdar olmak için kritik olan açık, zamanında iletişim kurmayı teşvik eder. Siber tehdit istihbarat alıcılarının da içgörülere katkıda bulunduğu daha çift yönlü paylaşımın teşvik edilmesinin ekosistemi daha da zenginleştireceğine ve tehditleri tespit etme ve bunlara cevap verme konusundaki toplu yeteneğimizi geliştireceğine inanıyorum.
Fed’in karmaşık bir satıcı ve ortak ekosistemine olan güveniyle, özellikle bulut hizmetleri ile ilgili olarak üçüncü taraf ve dördüncü taraf riski nasıl yönetiyorsunuz?
Üçüncü ve dördüncü partili riski yönetmek siber güvenlik programımızın önemli bir parçasıdır. Vakıfta, satıcılarımızın genel sağlığını ve performansını izleyen bütünsel bir satıcı yönetim programı bulunmaktadır. Satıcı riski hakkında kapsamlı bilgiler sağlayan ve iş hatlarının bilinçli kararlar hızlı ve güvenle vermesini sağlayan merkezi bir satıcı tehdit değerlendirme hizmeti uyguladık. Ayrıca, satıcının gelişen beklentilerimizi karşılamasını sağlamak için sürekli izleme, ilişki yönetimi ve performans güvencesini de vurguluyoruz.
Üçüncü ve dördüncü partili risk yönetimini yönetmenin temelleri uygulanmaya devam ederken, bulut servis sağlayıcıları için geliştirmeler yaptık. Bunlar, esneklik kriterlerini edinme sürecine entegre etmek, satıcıya özgü acil durum planları geliştirmek ve risk eşikleri aşıldığında zamanında geçişlere rehberlik etmek için çıkış tetikleyicilerini tanımlamaktadır.
Kritik altyapı sektörlerinde CISOS’a ne tavsiye edersiniz?
Dayanıklılıkla başlayın. Uyum önemli olmakla birlikte, yeterli değildir. Uyum yapabilen, iyileşebilen ve güçlenebilen ekiplere odaklanın. Dayanıklılık stratejinize, operasyonlarınıza ve kültürünüze yerleştirilmelidir.
Halkınıza yatırım yapın. Teknoloji önemlidir, ancak ekibiniz en değerli kaynaklarınızdır. İşgücünüzü meşgul ve hazır tutmak için eğitime, mentorluğa ve sürekli öğrenme kültürüne öncelik verin. Takımlarınızı güvenlik sonuçlarının yenilik yapması ve sahipliğini almaları için güçlendirin.
Bağımlılıklarınızı anlayın. Kritik sistemlerinizi ve satıcılarınızı eşleştirin, böylece bir kesinti sırasında hazırlıksız yakalanmazsınız. Sistem ve süreçlerin görünürlüğü ve anlaşılması, etkili risk yönetimi ve bilgili karar verme için önemlidir.
Cevabınızı uygulayın. Egzersiz yapın, planlarınızı test edin ve her deneyimden öğrenin. Ne kadar çok hazırlarsanız, kuruluş en çok önemli olduğunda o kadar güvende ve yetenekli olur. Dayanıklılık, hazırlık, işbirliği ve ortak bir mükemmellik taahhüdü ile inşa edilmiştir.
Ve son olarak bunu unutmayın liderlik Etki, güven ve iletişim yoluyla teknik uzmanlık kadar önemlidir.