Bu Help Net Security röportajında, Google Cloud’un CISO’su Phil Venables, trendlerle güncel kalmak ve bunun yerine güvenliğe öncelik vermek için C-suite (özellikle CIO, CTO ve CISO) ile yapılan işbirliğine ilişkin yeni bir Google raporunun sonuçlarını tartışıyor. sonradan akla gelen bir düşünce gibi davranmak yerine.
Güvenlik liderleriyle yapılan düzenli görüşmelerin yönetim kurulu üyelerinin BT modernizasyon yolculuklarının durumu ve kuruluşu etkileyen çeşitli tehditler hakkında bilgi sahibi olmalarına nasıl yardımcı olduğunu vurguluyor.
Bazıları yönetim kurullarının siber güvenliğe bağımsız bir konu olarak çok fazla odaklandığını savunuyor. Sizce neden kurullar siber güvenliği daha geniş teknolojik modernizasyon bağlamında ele almalı?
Geleneksel olarak siber güvenliğe yatırım yapma konusunda artan bir eğilim görüyoruz, ancak bunun arkasındaki temel teknolojiyi modernleştirme konusunda bir eğilim görmüyoruz. Yönetim kurulları, daha iyi güvenlik, çeviklik ve verimlilik sağlamak için güvenliğin sabitlendiği değil yerleşik olduğu mimarilerden yararlanarak bir kuruluşun teknoloji altyapısını nasıl modernleştirebileceği konusundaki görüşmelere öncelik vermelidir.
Eski sistemler, daha modern teknoloji altyapısı (genellikle bulut veya bulut benzeri şirket içi) kadar güvenli olacak şekilde oluşturulmayabilir veya tasarlanmayabilir. Son on yılda, güvenlik araçlarına önemli yatırımlar yapan ancak genel BT altyapılarını yükseltmede veya yazılım geliştirme yaklaşımlarını modernleştirmede başarısız olan ve tüm teknoloji platformlarını saldırılara karşı savunmasız bırakan çok sayıda işletme yaşandı.
Modern altyapı olmadan bir kuruluş güvenli değildir. Yönetim kurullarının, tehdit korumasına yönelik modern bir yaklaşımın tüm avantajlarından yararlanabilmelerini sağlamak için iş kararları verirken siber güvenliğe yaklaşımlarını bu mercekten incelemeleri gerekiyor.
Yönetim kurulları, inovasyonu teşvik etmek ile kurumun girişimleri genelinde güvenliğin bir öncelik olarak kalmasını sağlamak arasında nasıl bir denge kurabilir?
Dünyanın her yerindeki kuruluşlar gelişen teknolojilerin gücünden yararlanmaya çalışıyor. Üretken yapay zeka gibi araçların, kuruluşların çoğu iş fonksiyonunda karar verme sürecini iyileştirmesine, ölçeklendirmesine ve hızlandırmasına olanak sağladığını görüyoruz.
Yönetim kurulları, kuruluşlarını bu yolculukta en iyi şekilde nasıl destekleyebileceklerini düşünürken, bu araçlara yönelik cesur ve sorumlu bir yaklaşım benimsemeli; güvenlik, ölçeklendirme ve gelişmeye yönelik üç yönlü bir yaklaşımla CISO’larla birlikte çalışarak riskleri en aza indirmelidir. Bu yaklaşımı kullanarak yönetim kurulu üyelerinin şunları yapması gerekir:
- Kuruluşlarının gelişen teknolojiyi nasıl dağıtmayı planladığını anlayın.
- Geniş ölçekte daha iyi siber güvenlik sonuçları elde etmek için yenilikçi teknolojinin gücünden en iyi şekilde nasıl yararlanabileceğinizi anlamak için CISO ile birlikte çalışın.
- Tehditleri önceden tahmin etmek amacıyla bu alandaki gelişmelerden haberdar olmak için CISO ile birlikte çalışın.
Daha savunulabilir bir teknoloji platformu oluşturmak için CIO, CTO ve CISO arasındaki ortaklık dinamiğini açıklayabilir misiniz? Bu çabada rolleri birbirini nasıl tamamlıyor?
En büyük yanlış inançlardan biri, CISO ve CIO/CTO’nun birbiriyle çelişen önceliklere sahip olduğudur; deneyimlerime göre bu durum pek de öyle değil. Siber güvenlik ve daha geniş anlamda teknoloji ve bilgi riski yönetiminde kendini derinden sorumlu hissetmeyen bir CIO veya CTO ile tanışmadım. Bir kuruluşun CISO’su gibi, genellikle yönetim kurulu ve idari liderlik tarafından da resmi olarak sorumlu tutulurlar.
CIO’lar ve CTO’lar güvenliği sağlamaya yatırım yaparlar, ancak çoğu zaman bunu bir kuruluşun iş veya misyon hedefleriyle dengelemek ve BT organizasyonlarında çeviklik oluşturmak zorunda kalırlar. Güvenliği entegre, tamamen yerleşik, mühendislik odaklı ve çevik bir şekilde başarılı bir şekilde sunduklarından emin olmak için CISO’larla başarılı bir ortaklığa güveniyorlar.
Yönetim kurulları kendi organizasyonlarında teknolojinin stratejik konumlandırılmasına nasıl daha etkili bir şekilde dahil olabilirler? Yönetim ekiplerine hangi soruları sormaları gerekiyor?
Yönetim kurullarının teknoloji ve dijital yetenekler hakkında sık sık sorular sorması gerekiyor; en azından üç ayda bir, hatta daha fazla. Güvenlik liderleriyle yapılan düzenli görüşmeler, yönetim kurulu üyelerinin eğitimli kalmasına, katılımda bulunmasına ve hem BT modernizasyon yolculuğunun durumu hem de kuruluşlarını etkileyen çeşitli tehditler hakkında bilgi sahibi olmasına yardımcı olur.
Yönetim kurulları, yönetim ekiplerine yaygın yanlış anlamaları ve istihbarat boşluklarını kapatacak sorular sormayı düşünmeli ve kendilerini teknoloji öncelikleri konusunda stratejik kararlar alma konusunda yetkili hissetmelerini sağlamalıdır.
Dikkate alınması gereken sorular şunları içerir:
- Organizasyon içerisinde teknolojinin kullanımı nasıl yönetiliyor? Açık bir hesap verebilirlik belirlenmiş mi ve karar alma yapılarında sorumluluğun açıklığı var mı?
- Teknoloji kullanımı, modernizasyon yaklaşımının amaçlanan sonuçlara ulaşacak şekilde uyarlanabilmesini sağlayacak şekilde, genel iş stratejisiyle ne kadar uyumlu ve uyumlu?
- Kuruluşun yapısı ve işletim modeli, hem yeni teknolojiden tam olarak yararlanacak hem de güvenli ve uyumlu bir benimseme olasılığını artıracak şekilde nasıl gelişiyor?
Güvenlik ekipleri sürekli olarak arayı kapattığında kuruluşlar hangi risklerle karşı karşıya kalır ve yönetim kurulları ve üst düzey liderlik bu senaryoyu nasıl önleyebilir?
Günümüzün tehdit ortamı karmaşık bir şekilde büyümeye devam ediyor ve bu, yetenek eksikliğiyle birleştiğinde, birçok kuruluşun siber tehditlerin önünde kalamadığı ve çoğu zaman yalnızca bir saldırının ardından tepki verip durumu düzeltebildiği anlamına geliyor. Böylesine gerici bir yaklaşım, kurumun kaynaklarını etkiler, zaman ve para kaybına neden olur.
Yönetim kurulları, güvenlik sonuçlarını ve genel riski tüm iş kararlarının bir parçası olarak değerlendirmeli ve ilgili gözetimi sürdürmek ve iş önceliklerini yönlendirmeye yardımcı olmak için paydaşlarla sürekli işbirliğini sağlamalıdır.
Yönetim kurulları yatırımları yeni iş girişimlerine yönlendirirken, güvenlik hususlarının bir kenara bırakılmamasını veya sonradan akla gelen bir düşünce olarak değerlendirilmemesini nasıl sağlayabilirler?
Güvenliğin tüm yeni iş girişimlerine dahil edilmesi çok önemlidir. Bunu etkili bir şekilde başarmak için kurullar, tüm ürünlere daha iyi güvenlik katmak amacıyla üst düzey yöneticiler (özellikle Bilgi Güvenliği Direktörü, Bilgi Yöneticisi, Teknoloji Direktörü ve Uyumluluk Direktörü) ile iş liderleri arasında daha derinlemesine işbirliğini teşvik etmelidir. ve hizmetleri, güvenliği sonradan akla gelen bir düşünce olarak ele almak yerine.