Geçenlerde Doğu Sahili’ni gezdim ve siber güvenlik ve değişen yasal uyumluluk ortamı hakkında samimi tartışmalar yapmak için Fortune 100’deki farklı sektörlerdeki bilgi güvenliği sorumluları (CISO’lar) ile bir araya geldim. Bu liderler, önemli ihlallerin etkilerini ve günümüzde karşı karşıya oldukları en ciddi zorlukları tartıştılar. Pek çok kuruluş yeni düzenlemelere ayak uydurmakta zorlanırken ve aynı zamanda işe alma zorluklarıyla karşı karşıya kalırken, kuruluşlarının boyutu veya konumu ne olursa olsun CISO’ların bazı ortak zorluklarını ve deneyimlerini keşfettim.
Federal Yönetmelikler ve Ajanslar
CISO’ların genellikle düzenleyici kurumlarla karmaşık bir ilişkisi vardır. Giderek artan bir şekilde, hükümetler sağlam siber güvenlik stratejileri oluşturmak için öneriler paylaşıyor ve düzenlemeler oluşturuyor. Bir ihlal yaşamadan önce federal kurumlarla ilişkiler kurmak önemlidir. Sektörünüz için kilit kurumlardaki kişilerle olan ilişkiler, bir güvenlik olayı durumunda hangi kurumlarla iletişime geçmeniz gerektiğini net bir şekilde anlamanıza yardımcı olur. Konuştuğum CISO’lardan bazıları önemli ihlaller yaşadı ve ilgili kurumlarla mevcut ilişkileri olanlar müdahale sürecini kolayca yönetti ve olayı verimli ve hızlı bir şekilde ele aldı.
Mevzuata uyum ortamı değiştikçe, CISO’lar mevzuat gerekliliklerine ayak uydurmanın önemi konusunda hemfikirdir. Bazı düzenlemeler, kuruluşların siber güvenlik uygulamalarıyla ilgili açıklamaları periyodik olarak dosyalamasını zorunlu kılar. Genel Veri Koruma Yönetmeliği (GDPR), 2022 tarihli Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA) ve Ulusal Kredi Birliği İdaresi (NCUA), kuruluşların maddi bir siber güvenlik olayı hakkındaki bilgileri 72 saat içinde ifşa etmesini şart koşarken, Menkul Kıymetler ve Değişim Komisyonu (SEC) 96 saate izin verir. Zaman çizelgesi, hızlı bir şekilde karar vermek için sağlam olay müdahale planlarının yürürlükte olması gerektiği anlamına gelir.
Benzer şekilde, CISO’lar, Siber Güvenlik Olgunluk Modeli Sertifikasyonunun (CMMC) Savunma Bakanlığı sözleşmeleri için ana yüklenicileri ciddi şekilde etkileyeceğini tahmin etmektedir çünkü ana yükleniciler, alt yüklenicilerinin işleri için uygun CMMC seviyesini karşılamasını sağlamaktan sorumludur. Birçok küçük taşeron, gerekli sayısız soru ve kontrolü yanıtlamak için daha hazırlıklı olmalıdır.
Kamu ve özel sektördeki CISO’lar bu değişikliklerin kaçınılmazlığını kabul ediyor. Düzenlemeleri karşılamak için doğru korumaları devreye sokmak ile önemli bir olay meydana geldiğinde hızlı bir şekilde rapor vermeye hazır olmak arasındaki dengeyi bulmaya çalışıyorlar. Siber güvenlik yeteneklerini işe almak ve elde tutmak, bu dengeyi sağlamanın ayrılmaz bir parçasıdır.
İşe Alma Zorlukları ve Fırsatlar
Siber güvenlik sorunları gelişmeye devam ettikçe, iş gücünde personel sıkıntısı artıyor. (ISC)2 araştırmalar, birçok kuruluşun artan risklerle karşı karşıya kalmasına, yeni yasal gerekliliklere uymak için çalışmasına ve yeni teknolojileri benimsemesine rağmen, 2022’de dünya çapında 3,4 milyon siber profesyonelden oluşan bir iş gücü açığı olduğunu gösterdi. İşe alma zorlukları iki yönlüdür: doğru yeteneği bulmak zordur ve birçok kuruluş ekip çeşitliliğini artırmaya çalışır.
Teknoloji endüstrisindeki işten çıkarmalara rağmen, CISO’lar hala açık rollerini dolduracak insan bulmakta zorlanıyor. Ancak Florida’da, pandemi sırasında birçok insanın bölgeye taşındığını keşfettim ve bu da mevcut rollerin orada doldurulmasını kolaylaştırdı.
Konuştuğum CISO’lar, ihtiyaç duydukları tüm yetenekleri edinmenin imkansızlığının üstesinden gelmek için daha fazla otomasyon kullanmak istiyor. Teknoloji ortamı değiştikçe ve yeni araçlar ortaya çıktıkça güvenlik ekipleri büyük miktarda veriyle dolup taşar. Güvenlik liderleri, bu verileri ayıklamak ve ekiplerinin neye odaklanması gerektiğini vurgulamak için otomasyon arıyor. Herkes sorumlu oldukları verileri, altyapıyı ve kuruluşları uygun şekilde korumalarını kolaylaştırmak için daha fazla yapay zeka (AI) ve makine öğrenimi (ML) istiyor.
CISO Rolü ve D&O Sigortası
Uber’deki 50 milyondan fazla müşterinin verilerini açığa çıkaranlar gibi büyük ihlaller, CISO’nun rolü ve CISO’ların yönetici ve memur (D&O) sigortasına ihtiyacı olup olmadığı hakkındaki konuşmayı ilerletiyor. Uber CISO Joseph Sullivan’a 2016 ihlalindeki rolü nedeniyle 50.00 ABD doları para cezası ve 200 saatlik toplum hizmetini tamamlama ve üç yıl denetimli serbestlik cezası ödemesi emredildi. Sektördeki bazıları bunu daha geniş bir güvenlik hatası ve kurumsal yönetim ekibindeki rolleriyle ilgili olduğu için CISO’lar için uyarıcı bir hikaye olarak görse de, diğerleri Sullivan’ın durumu yanlış tanıttığına ve daha fazla sorumluluk taşıdığına inanıyor.
Bu olaylar, CISO rolünün ve yürütme ekibi ve yönetim kurulu ile raporlama ilişkisinin gözden geçirilmesi gerekebileceğini göstermektedir. Bugün, CISO’lar, kuruluşlarının itibarı ve başarısı için önemli sorumluluklar taşıyor ve birçoğu, tıpkı yönetim ekibinin geri kalanının yaptığı gibi, siber güvenlik liderlik rollerinin bir parçası olarak D&O sigortasına ihtiyaç duyma zamanının geldiğine inanıyor.
Sıradaki ne?
CISO’lar ileriye bakarken, artan düzenlemeler ve bunlara uyma ihtiyacı ile büyük ölçüde ilgilenirler. Güvenlik liderlerinin hangi kontrollerin en önemli olduğunu seçmesi ve bunları bir uyumluluk çerçevesine göre ayarlaması gerekir. Bu, önlerindeki zorlukların üstesinden gelmek için otomasyon, yapay zeka, makine öğrenimi ve siber güvenlik yeteneğini harmanlayan etkili bir siber güvenlik programı oluşturmak için gereken bütçeyi elde etmelerine yardımcı olabilir – tercihen D&O sigortası kapsamına ihtiyaç duymadan.