Yönetim kurulu üyelerinin çoğu zaman teknik uzmanlığı yoktur ve siber riskleri tam olarak kavrayamayabilirler. Öte yandan CISO’lar BT personeliyle arayüz kurmaya daha alışkındır. Bu anlaşılabilir; yönetim kurulu üst düzey karar alma süreçlerine rehberlik etmekten sorumludur. Ayrıntılara nadiren dahil olurlar ve uygulama planlarını ve teknik denetimleri CISO’ya bırakırlar.
Çözüm, CISO’yu üst düzey yönetime etkili bir şekilde entegre etmek ve yönetim kuruluyla işbirliğine dayalı bir ilişki oluşturmaktır. Basit ve özlü bir dil kullanılarak mevcut bilgi açığı giderilebilir. Ayrıca CISIO’ların tehditlerin ciddiyetini, riskleri ve gereken uygun yanıt düzeyini vurgulayacak şekilde aktarmalarına da ihtiyaç vardır.
Yukarıdakileri göz önünde bulundurarak bu makale, CISO ile yönetim kurulunun geri kalanı arasındaki mevcut ilişkiyi ve siber güvenlik önceliklerini tartışırken yönetim kuruluyla görüşmeleri yönlendirmeye yönelik en iyi uygulamaları incelemektedir. Siber saldırıların büyük finansal ve itibar riskleri oluşturduğu göz önüne alındığında, CISO-yönetim kurulunun güçlü işbirliği kritik önem taşıyor ve CISO’ların becerilerini geliştirmeleri gerekiyor.
CISO kartı bağlantısının kesilmesi
Proofpoint raporuna göre yönetim kurulu üyelerinin yaklaşık %53’ü siber güvenlik uzmanlarıyla düzenli etkileşimde bulunduğunu bildiriyor. Bu, tüm toplantı odalarının yaklaşık yarısının karar alma süreçlerinde güçlü, farklı bir CISO perspektifinden yoksun kalmasına neden oluyor. CISO ile yönetim kurulunun geri kalanı arasındaki sık işbirliği, güven ve yakınlık oluşturmak açısından hayati öneme sahiptir çünkü ilgili siber güvenlik sorunlarının doğru kişilere iletilmesini ve zamanında ele alınmasını garanti eder.
Siber güvenlik stratejilerinin uygulanması ve güvenlik uzmanları ile diğer üst düzey yöneticiler arasında kaynak tahsisi konusunda da perspektiflerde belirli boşluklar var. Proofpoint raporu aynı zamanda CISO’ların içeriden gelen tehditleri, e-posta dolandırıcılığını ve iş e-postasının ele geçirilmesini ele alınması gereken başlıca sorunlar olarak göstermesine rağmen, yönetim kurulunun geri kalanının bu görüşü paylaşmadığını öne sürüyor. Yönetim kurulu için fidye yazılımı ve bulut güvenliğinin ihlali en öncelikli tehditlerdir. Ek olarak, yönetim kurulu üyelerinin güvenlik olayının sonuçlarına ilişkin endişeleri, dahili verilerin kamuya açık hale gelmesinin yanı sıra bir saldırı durumunda itibarın zarar görmesine odaklanırken, CISO’lar daha çok bir saldırının operasyonlarda yol açabileceği aksamalardan endişe duyuyor.
Yönetim kurulu ile CISO’ları arasında öncelikler konusunda bir kopukluk var. Yönetim kurulu reaktif güvenliğe odaklanırken CISO’lar proaktif önleme ve hafifletmeyle daha fazla ilgileniyor. Bu boşluk, siber güvenliğin iş büyümesi için bir fırsattan ziyade bir savunma mekanizması olarak algılandığı bir diyalogla kapatılabilir. CISO’nun bu alanda uzman olduğu göz önüne alındığında, bu değişime liderlik etmek onlara kalmıştır.
Yatırım görüşmesi
İş dünyası liderleri siber güvenliğin hayati önem taşıdığını anlamaya başladı ancak bunun önemi, bütçeleri kontrol eden ve karar verenler için her zaman açık değildir. Siber güvenliğin değerini ve potansiyel etkisini ikna edici bir şekilde iletmek, liderliğin desteğini almanın ve etkili bir güvenlik stratejisi için gereken kaynakları güvence altına almanın anahtarıdır.
En bilinçli siber güvenlik yatırım kararlarını vermek ve yatırım getirisini optimize etmek için CISO’ların zaman içindeki performans eğilimlerine ilişkin görünürlüğe ihtiyacı vardır. CISO’lar, ilgili verileri sürekli olarak takip edip analiz ederek, mevcut güvenlik araçlarının gerçek dünyadaki etkinliğini daha iyi anlayabilir ve iyileştirme fırsatlarını belirleyebilir. En önemlisi, bu veri odaklı yaklaşım aynı zamanda kaçınılan tehditlere karşı yatırım getirisinin ölçülmesine olanak tanıyarak, genellikle gözden kaçırılan genel güvenlik etkisinin daha eksiksiz bir resmini sunar. Veri odaklı bir bakış açısına sahip olmak, siber güvenlik harcamalarının optimize edilmesini ve maksimum savunma değeriyle uyumlu hale getirilmesini sağlar.
CISO’ların bu çabalarında karşılaşabileceği zorluklardan biri, şu anda erişilebilen çok çeşitli siber güvenlik ürünleri ve verileridir. Değerlendirilecek sonsuz seçenek varken, her çözümün potansiyel değerini ve yatırım getirisini belirlemek zor olabilir. Hangi ürüne yatırım yapılacağına ilişkin belirsizlik, yeni ürünlerin güvenlik olgunluğunu nasıl artıracağını niceliksel olarak belirleme mücadelesi nedeniyle yatırım konusunda tereddütlere yol açacaktır.
2022 yılında işletmeler BT bütçelerinin ortalama %9,9’unu siber güvenliğe ayırdı. Bununla birlikte, teknoloji ve sağlık hizmetleri gibi sektörlerde, CISO’lar, iş birimlerindeki karmaşık teknoloji yığınları göz önüne alındığında, bulut yazılımının bütçelerin %40’ını alabileceğini bildiriyor. Yatırımların etkililiğinin ve etkisinin ölçülememesi karar almayı engeller ve güvenliğin ilerlemesini yavaşlatır. Bunu göz önünde bulundurarak kuruluşların başarılı olabilmesi için kıyaslama, bütçeleme ve rota düzeltmelerini değerlendirme süreçlerini içselleştirmesi gerekir.
Sonuç odaklı bir strateji
Yönetim kurulunun ilgisini ve ilgisini canlı tutmak, önemli noktalara liderlik etmeyi, bu noktaları maliyetler ve gelir artışıyla ilişkilendirmeyi ve sonraki adımların ana hatlarını çizmeyi içerir. Her bir güvenlik ürününün artılarını ve eksilerini etkili bir şekilde iletme ve yönetim kurulunu tereddüt etmeden yatırım yapmaya ikna etme zorluğunu azaltmak için CISO’lar, kuruluşları için sonuç odaklı bir siber güvenlik stratejisi uygulamalıdır.
Bu yaklaşım, siber güvenlik stratejisini istenen iş sonuçlarıyla uyumlu hale getirmeyi ve iş etkisini en üst düzeye çıkarmayı içerir. Bu stratejilerden bazıları risk azaltma, müşteri deneyimi, gelir genişletme, yönetişim ve operasyonel esnekliği içerir. BT ve siber liderlerin, güvenliği yalnızca tehditlere karşı tepkisel bir savunma olarak görmek yerine, istenen iş sonuçlarını sağlamadaki rollerini proaktif bir şekilde iletmeleri gerekir.
Kuruluşlar, güvenlik programlarını risk, müşteri deneyimi, büyüme, uyumluluk ve dayanıklılık gibi somut hedeflere bağlayarak bakış açılarını değiştirebilir ve ek kaynakların kilidini açabilir. Vurgu, siber güvenliğin basit bir genel masraf merkezi yerine stratejik bir başarı faktörü olarak kullanılması haline geliyor.
Siber güvenliği iş büyüme stratejisinin bir parçası haline getirmek
Siber güvenlik, tehditler geliştikçe saldırganların kullanımına sunulan FraudGPT, EvilGPT ve WormGPT gibi yeni araçlarla da gelişti.
Sürekli değişen bu ortamda, güvenlik liderlerinin, kuruluşlarını gelişen tehditlere karşı koruma rollerini yerine getirmek için yönetim kurullarıyla etkili görüşmeler yürütmeleri büyük önem taşıyor.
Doğru bilgilerle donanmış olarak, organizasyonlarının güvenliğinin sağlanması, en kötü senaryoya hazırlıklı olmak ve aynı zamanda siber güvenlik önlemlerini iş sonuçlarını karşılamaya ve verimliliği en üst düzeye çıkarmaya yönelik itici güçler olarak tercüme etmek söz konusu olduğunda yönetim kurulu üyelerini aynı noktaya getirmek CISO’ya kalmıştır. örgütün etkisi.
Algılanan siber güvenlik risklerine rağmen yönetim kurullarının çoğu mevcut yatırım seviyelerinden ve CISO ilişkilerinden memnun olduklarını ifade ediyor. Bu rahatlık, pandeminin yol açtığı aksaklıkların ortasında güvenlik operasyonlarına ve mücadelelere ilişkin daha fazla görünürlükten kaynaklanabilir. Ancak kurulların rehavete kapılmaması gerekiyor. CISO’lar güvence sağlarken, yönetim kurullarının yine de kurum içi siber güvenlik yeteneklerini eleştirel bir şekilde değerlendirmesi gerekiyor. Yalnızca bir CISO’nun varlığı etkili güvenliği garanti etmez.
Yönetim kurulu üyelerinin, yanlış bir siber güvenlik algısına kapılmak yerine, kendileriyle güvenlik uzmanları arasında oluşabilecek boşlukları kapatacak adımlar atma konusunda proaktif olmaları gerekir.
Yaklaşımlar farklı olsa da CISO’lar ve yönetim kurulları aynı hedefi paylaşıyor: Kuruluşlarının siber zorluklara rağmen kalıcı başarısını güvence altına almak. Bu amaçla kurulların, CISO’lara iş odaklı güvenlik stratejilerini modern tehditlere karşı gerekli içgörüyle uygulama konusunda destek sağlaması gerekiyor. Hedeflerin hizalanması etkili bir ortaklığın temelini oluşturur.