YORUM
bir ortasında fidye yazılımı saldırısı, tedarik zinciri ve iş dünyasına ve endüstriye yönelik diğer siber saldırılar, şirket yönetim kurulları ve diğer iş dünyası liderleri, siber güvenliğin öneminin fazlasıyla farkındadır. Ama yalnızca bir noktaya kadar. Birçok kuruluş hâlâ güvenliği kendi alanı olarak görüyor ve güvenlik ekiplerini iş akışının dışında faaliyet gösteren ayrı varlıklar olarak görüyor.
Bu kuruluşlar büyük resmi kaçırıyor. Güvenlik, işletmeye kattığı değer nedeniyle maliyet merkezinin aksine işin stratejik bir bileşeni olmalıdır. Güvenlik ekipleri yalnızca işletmeyi, müşterilerini ve hissedarlarını korumakla kalmaz (ki onlar olmadan işletmenin faaliyet gösteremeyeceği bir şeydir) aynı zamanda gerçekten olanak sağlayan hizmetler de sağlayabilirler.
Örneğin, müşterinin self servis hizmetine olanak tanıyan yeni bir güvenlik hizmeti doğrudan gelir yaratmaz çünkü müşteriden herhangi bir ücret alınmaz. Ancak müşteri deneyimini geliştiriyor, müşterilere değer katıyor ve satışları mümkün kılıyor. Güvenliğin perde arkasından çıkıp satış fırsatları yaratması ve şirket için rekabetçi farklılaşma sağlaması gerekiyor.
Güvenliğin Artan Önemi
BT ve güvenlik ekipleri iş operasyonlarının tuzağına düşmüş durumda; Günümüzde BT ekibi olmadan herhangi bir girişimin başlatılması çok nadirdir. Siber güvenliğin giderek artan önemi, bilgi güvenliği sorumlusu (CIO) ile bilgi güvenliği sorumlusu (CISO) arasındaki gelişen ilişkide de görülebilir.
Kısa bir süre önce CISO’lar CIO’lara rapor veriyordu. Farklı önceliklere sahip oldukları için çatışmalar ortaya çıkabilir. CISO’lar çoğunlukla riskin azaltılmasıyla ilgilenirken, CIO’lar bütçe hedeflerine ulaşmak için gereken kadar riski kabul etmeye istekliydi. Ve açık bir emir komuta zinciri vardı.
Ancak bugün CIO’lar ve CISO’lar daha eşit şartlardalar çünkü birbirlerine çok daha bağımlılar. Tüm yeni hizmetler kabul edilebilir risk seviyelerinde oluşturulmalı ve politikalarla uyumlu olmalıdır. Orada sıkı bir ortaklık var. Aslında CISO’lar yalnızca daha fazla sorumluluğa sahip olmakla kalmıyor, aynı zamanda daha fazla hesap verebilirliğe de sahipler. cezai suçlamalarla karşı karşıya eğer işler ters giderse.
BT ve güvenliğin kriz yönetimi gibi operasyonlarla daha bütünleşik olabileceği başka yollar da var. Pek çok şirketin iş sürekliliği ve felaket kurtarma planları var ancak kriz yönetimi planı yok. Güvenlik bu odak alanına sahip olmayabilir ancak kilit bir paydaştır.
Toplumsal huzursuzluktan siber güvenlik saldırısına kadar çeşitli olaylar operasyonları etkileyebilir ve hatta markayı riske atabilir. Bu olaylara yanıt vermek, kuruluş genelindeki farklı iş birimlerini içeren büyük ölçekli koordinasyonu gerektirir. BT, bu çabaları koordine etmede ve testlerden geçerken bunları iyileştirmede kritik bir rol oynayabilir.
İş Konuşmasını Konuşun
BT ve güvenlik kuruluşları sektördeki profillerini yükseltmek için ne yapabilir? Öncelikle güvenliğin iş dünyasındaki birçok kişiye yabancı bir dil olduğunu hatırlamak önemlidir. Örneğin, bir risk azaltma stratejisi için destek almaya çalışırken, hedef kitlenizi güvenlikle ilgili teknik terminolojiyle kuşatmak yerine, hedef kitlenizin önceliklerine odaklanarak durumunuzu onların dilinde sunmalısınız.
Ayrıca hedef kitlenin farklılık gösterebileceğini ve kullandığınız dilin de buna göre uyarlanması gerektiğini unutmayın. Örneğin, müşteriler uyumluluğu sürdürmeye ve riski azaltmaya odaklanmış olabilir; dolayısıyla onlarla yapacağınız bir görüşme, yeni bir risk azaltma özelliğinin onlara nasıl yardımcı olduğu konusuna odaklanabilir. Bir yönetici ekibi operasyonel olarak bir projenin iş senaryosuna ve yatırım getirisine odaklanma eğilimindedir; bu nedenle risk azaltmanın değeri ve bir projenin finansal etkisi ve getirisi hakkında konuşursunuz.
Yönetim kurulu düzeyinde, üyelerin güvene dayalı bir sorumluluğu vardır ve muhtemelen belirli bir iş durumundan ziyade doğru yönetim ve gözetimi sağlamaya odaklanmışlardır. Yönetim kuruluyla risk azaltma stratejisi hakkında konuşurken kıyaslama yapmaya ve sektörünüz için doğru güvenlik duruşuna odaklanabilirsiniz.
Örneğin operasyonel ölçümler hakkında yönetim kuruluyla veya siber güvenlik risk kıyaslamaları hakkında müşterilerle konuşmuyorsunuz. Noktaları her grubun anlayabileceği şekilde birleştirmeniz gerekir. “Odayı okumak” işe yarar.
Kurullardan bahsetmişken, bir kuruluşun siber güvenlik deneyimine sahip yönetim kurulu üyelerine sahip olması faydalıdır; özel bir siber güvenlik uzmanı olmasa da, siber güvenlik ve risk konusunda yeterli bilgi birikimine sahip en az bir kişi, bir miktar gözetim sağlayacaktır. Siber güvenlik bilgisi, kurulun uzmanlık dengesinin bir parçası olmalıdır.
Yapay Zekanın Ortaya Çıkışı
Sırasında Siber güvenlikte yapay zeka henüz başlangıç aşamasındadırŞirketler, gelişmiş tehdit algılama ve olay müdahale sürelerinin beklenen faydalarının ötesine geçmek için yapay zekadan yararlanmanın yollarını belirlemeye başlıyor. Yapay zeka destekli güvenlik yığınları, müşteri güvenini artırarak, iş sürekliliğini geliştirerek ve rekabette farklılaşma sağlayarak güvenlik ekiplerinin yeni gelir akışları oluşturmasına yardımcı oluyor. Yapay zekanın gücü katlanarak arttıkça, güvenlik ekipleri geliri artırmak ve işlerine değer katmak için stratejik kullanım örneklerini belirlemeye devam edecek.
Güvenliğin işletmeler içerisinde ayrı bir varlık olarak ele alınabileceği noktayı çoktan geçtik; kurumsal operasyonların her yönüyle çok sıkı bir şekilde iç içe geçmiş durumda. Her paradigma değişikliğinde olduğu gibi, bu yeni gerçekliğe uyum sağlamak, kuruluşların yalnızca teknolojiyi benimseme açısından değil, aynı zamanda kültürel olarak da uyum sağlamasını gerektirir. Bu yeni pazar koşullarında başarılı olabilmek için şirketlerin güvenlik işinin aynı zamanda işin kendisi olduğunu anlamaları ve buna göre hareket etmeleri gerekiyor.