GRC Yaklaşımıyla Siber Güvenlik Hedeflerine Ulaşmak


İle Anoop Kumar, Gulf News Bilgi Güvenliği Yönetişim Riski ve Uyumluluk Başkanı

Teknolojiye ve dijitalleşmeye giderek daha bağımlı hale geliyoruz. Verilerin önemi ve hacmi arttıkça, hepimizin kullandığı ve bağımlı olduğu sistemlerin bütünlüğünü korumak için veri koruma ve gizlilik hayati önem taşıyor. Dolayısıyla İnsan, Süreç ve Teknoloji açısından Dayanıklılığımız çok hayati önem taşıyor.

Kötü niyetli aktörler asla dinlenmez ve sürekli olarak gelişirler; bu nedenle tüketicilerin, firmaların ve hükümetlerin oyunda bir adım önde kalabilmek için zaman, enerji ve para yatırmaya devam etmeleri gerekecektir. Siber güvenlik hedefleri, hem uygunluk hem de büyüme açısından önümüzdeki yıllarda güçlü bir mega trendi temsil ediyor.

Sorun

Kuruluşların çoğu aşağıdakilerle yangınla mücadele ediyor:

  • Çok fazla olay ve hata
  • Kontrolsüz bütçe
  • Kontrolsüz projeler
  • Operasyonel sürprizler ve beklenmeyen kesintiler
  • Uyum eksikliği
  • Kontrolsüz çıkarılabilir ortam kullanımı
  • Kimlik ayrıcalıklarının kötüye kullanılması
  • Çok uzun, çok pahalı Denetimler ve kabul edilemez denetim sonuçları
  • Çok fazla yeniden çalışma
  • Sahiplik ve sorumluluk eksikliği
  • Hem iç hem de dış müşteri hizmetleri zayıf
  • Pahalı olay müdahale faaliyetleri
  • İtfaiye BT
  • Şeffaflık ve görünürlük yok

Operasyonel karmaşıklıkları ve sürprizleri somut iş sürdürülebilirliği ve siber dayanıklılığa indirecek bir program düşünmeliyiz.

Program

Tasarım gereği siber güvenlik GRC: Toplantı odasını yukarıdan aşağıya bir yaklaşımla eğitin ve aşağıdan yukarıya doğru etkinleştirin.

Siber güvenlik olaylarının kuruluşlar üzerindeki sıklığı ve olumsuz etkisi artmaya devam ediyor ve bu da yönetim kurulunun ve yöneticilerin siber güvenlik stratejilerine olan güvenini zayıflatıyor. Güvenlik GRC’si, paydaşların siber güvenlik yatırımı ile bunun sağladığı Koruma ve iyileştirilmiş Uyumluluk düzeyleri arasında düz bir çizgi çekmesine olanak sağlamak için tasarım gereği giderek daha fazla benimseniyor.

Kararlaştırılan koruma seviyelerini güçlü özelliklere sahip ve BT dışı yöneticilere açıklanabilecek basit bir dille yansıtan, savunulabilir bir siber güvenlik yatırım stratejisi oluşturmak için Siber Güvenlik GRC’yi tasarım olarak dikkate almalıyız. Bu, koruma seviyelerini değiştirmek için doğrudan yatırımı destekleyen risk iştahının güvenilir ve savunulabilir bir ifadesini sağlar.

Aynı zamanda Azalan işletme Maliyetleri, Risk ve gelişmiş Performans ile sonuçlanır. Burada, CXO’lar arasındaki ilişki, zorlukları fırsatlara dönüştürmenin anahtarıdır.

Örnek: CIO-CFO’nun yatırım getirisi konusunda her zaman iletişim boşlukları ve anlaşmazlıkları vardır.

Üzerinde Mutabakat Sağlanacak Süreç

Yeterli yönergelere sahip, iyi tanımlanmış bir süreç, operasyonlarda harikalar yaratabilir. Bu nedenle, tanımlanmış rol ve sorumluluklara sahip adım adım bir faaliyet süreci tasarlayın. KPI’ları yavaş yavaş tanımlayın ve üzerinde anlaşın, ancak önce tüm paydaşların süreci benimsemesine izin verin. Toplu olarak kabul edilen bir süreç uygulaması, tüm imza yetkilileri arasında güvenin artmasına neden olur.

Başarılı bir operasyonel devir teslim ile konsept aşamasından teslimat aşamasına kadar hem iç hem de dış standart beklentilerine istenilen uyumla bunu nasıl tanımlayabiliriz?

Bunları tanımlayalım:

Siber Güvenlik Hedefleri

Gerekli Kontrollere Sahip Bir İşlem Hattını Tanımlayın ve Kabul Edin

Siber Güvenlik Hedefleri

İnsanların İlgi Alanı

Tasarım modeliyle kolektif bir Siber Güvenlik GRC’yi tanımlamak ve üzerinde anlaşmaya varmak için, farklı organizasyon birimlerinden ortak bir amaç için birlikte çalışacak paydaşları belirlememiz gerekir (İK, Finans, Hukuk, BT, GRC vb.’den oluşan işlevler arası bir ekip). Onları, tanımlanmış KPI’lar ile toplu olarak kabul edilen bir süreçle eğitin. Bu, hangi kişilerin dahil olduğunu ve hangi verilerin (girdi ve çıktı) çalıştırıldığını belirlemek için bir iş süreci kılavuzu aracılığıyla gerçekleştirilir.

Teknoloji

Sosyal-teknik bir ortamı düşünün: Daha iyi sonuçlar için herkesin kültürünün ve uygulamalarının benimsendiği ve uyumlu hale getirildiği yer. Çeviklik için tempolu, katmanlı bir teknik mimari üzerinde anlaşın.

Siber Güvenlik Hedefleri

Teknoloji Çözümlerini Seçerken Önemli Hususlar

Üretken Yapay Zeka: yeterli Yönetişimle kullanmamız gereken çift taraflı bir kılıç

ChatGPT ve Gemini gibi büyük dil modeli (LLM) uygulamaları bu değişimin yalnızca başlangıcı olduğundan, siber güvenlik liderlerinin GenAI’nin hızlı evrimine hazırlanmaları gerekiyor.

Eş zamanlı olarak üretkenlik artışı, beceri açığının azaltılması ve siber güvenliğe yönelik diğer yeni faydalar vaatleriyle dolup taşıyorlar. Bu yıkıcı teknolojinin etik, güvenli ve emniyetli kullanımının temellerini desteklemek için iş paydaşlarıyla proaktif işbirliği yoluyla GenAI’yı kullanmak akıllıca mı?

Teknoloji için uzun vadeli sağlam bir umut var, ancak şu anda iki haneli üretkenlik artışı yerine ani yorgunluk yaşama olasılığımız daha yüksek. İşler gelişecektir; bu nedenle, özellikle güvenlik ekibi dışında, teknik laboratuvarlar gibi üretim dışı bir ortam sağlayarak deneyleri teşvik edin ve beklentileri yönetin. Yenilikleri benimseyin.

Üçüncü Taraf Siber Güvenlik Riskini Yönetin: Üçüncü tarafların siber güvenlik olaylarıyla karşılaşmasının kaçınılmazlığı, güvenlik liderlerini dayanıklılık odaklı yatırımlara daha fazla odaklanmaya ve önden yüklemeli durum tespiti faaliyetlerinden uzaklaşmaya zorluyor.

En değerli varlıklarının sürekli olarak korunmasını sağlamak için üçüncü taraf hizmetlerinin risk yönetimini (sürekli) geliştirmeyi düşünmeli ve önemli dış ortaklarla karşılıklı yarar sağlayan ilişkiler kurmalıyız ve en yüksek siber güvenliği oluşturan üçüncü taraf taahhütleri için acil durum planlarını güçlendirerek başlamalıyız. Üçüncü taraflara özel olay taktik kitapları oluşturarak riskleri ortadan kaldırın, masa üstü alıştırmalar yapın ve erişimin zamanında iptal edilmesini ve verilerin imha edilmesini içeren açık bir işten çıkarma stratejisi tanımlayın.

Hem iç hem de dış saldırı yüzeylerini sürekli olarak değerlendirin: Sürekli tehdide maruz kalma yönetimi (CTEM), dijital ve fiziksel varlıkların erişilebilirliğini, açığa çıkmasını ve kullanılabilirliğini sürekli olarak değerlendirmek için uygulamamız gereken pragmatik ve sistemik bir yaklaşımdır.

Değerlendirme ve iyileştirme kapsamlarının bir altyapı bileşeni yerine tehdit vektörleri veya iş projeleri ile hizalanması, ihlalleri azaltmak için güvenlik açıklarını ve düzeltilemez tehditleri vurgular. Güvenlik liderleri, sağlamlaştırılmış bir kurumsal saldırı yüzeyinin korunmasına yardımcı olmak amacıyla güvenlik açıklarının erken tanımlanmasını ve en iyi şekilde önceliklendirilmesini sağlamak için hibrit dijital ortamları sürekli olarak izlemelidir.

Kimlikleri Yönetin ve Yönetin: Güvenlik konusunda kimlik öncelikli bir yaklaşıma geçmek zorunda kalıyoruz, odak noktası ağ güvenliği ve diğer geleneksel kontrollerden IAM’e kayıyor ve bu durum siber güvenlik ve iş sonuçları açısından kritik hale geliyor. Bu nedenle, IAM’in güvenlik programlarındaki artan rolü ve uygulamaları, dayanıklılığı artırmak için temel hijyene ve sistemlerin güçlendirilmesine daha fazla odaklanacak şekilde gelişmelidir.

IAM yeteneklerinin genel güvenlik programının kapsamını destekleyecek en iyi konumda olmasını sağlamak için kimlik yapımızı güçlendirmeye ve geliştirmeye odaklanmalı ve kimlik tehdidi tespitinden ve yanıtından yararlanmalıyız.

Çözüm

Bu program, operasyonel maliyeti, karmaşıklıkları ve riski azaltmak ve operasyonel performansı ve uyumluluğu iyileştirmek için sosyal-teknik açıdan toplu olarak kabul edilen bir yaklaşım oluşturmayı amaçlamaktadır. Burada her paydaşın yeterli sorumlulukla oynayacağı bir rol vardır. Doğru teknolojiyle donatılmış, işlevler arası bir ekiple iyi anlaşılmış bir süreç harikalar yaratabilir.

Yasal Uyarı: Bu konuk yazısında ifade edilen görüş ve görüşler yalnızca yazar(lar)a aittir ve The Cyber ​​Express’in resmi politikasını veya konumunu yansıtmayabilir. Yazar tarafından sağlanan her türlü içerik, yazarın görüşüne aittir ve herhangi bir dini, etnik grubu, kulübü, kuruluşu, şirketi, kişiyi veya herhangi bir kişiyi veya herhangi bir şeyi kötüleme amacı taşımaz.



Source link