26 Eylül CISO Raporu: Hemşireleri ve Kurulları Siber Güvenlik Konusunda Eğitmek
Bloglarda, Videolarda
Bank of Ireland’da CISO (Birleşik Krallık) olan Ian Anthony Baxter, siber güvenliğe karşı iyi bir tutum geliştirmeye yardımcı oluyor
– David Brown
Melbourne, Avustralya – 26 Eylül 2022
CISO Raporu sponsorluğunda BilBe4.
Personeli siber güvenlik konusunda eğitmek, bir güvenlik uzmanının işinin birçok bölümünden biridir, ancak Ian Anthony Baxter, mesajın iletilmediğini söyleyebilecek kadar bunu yaptı ve yaklaşık 2.000 hemşireye yaptığı unutulmaz bir sunumda bunu söyleyebilirdi. .
Bu yılın başlarında Bank of Ireland ile CISO (Birleşik Krallık) rolünü üstlenen uzun zamandır siber güvenlik danışmanı Siber Suçlara “Onlar için güvenlik hakkında konuşmaya çalışıyordum, ancak konuşmam hiç de iyi gitmiyordu” dedi. dergi.
Sonunda farklı bir yol izleyen Baxter, “O odada oturduğumu, kafamı kaşıdığımı ve bu konuyu bu insanlar için nasıl canlı hale getireceğimi düşündüğümü hatırlıyorum” dedi.
“Bunu planlamamıştım,” diye açıkladı, “ama onlara sadece ‘hastalarınızı önemsiyorsanız, onların verilerini ve mahremiyetlerini de önemsersiniz’ dedim.
“Birçoğuyla birlikte geldi,” diye devam etti, “çünkü umursuyorlar ve harika bir iş çıkarmak istiyorlar. Fakat [the key was] ‘evet, bu bana mantıklı geliyor… hasta verileri, kamuya açıklanmayacağınız oldukça kritik şeyler’ demeleri için bir kanca olan dili bulmak.”
Siber güvenliği önemli kılmak için doğru dili bulmak çoğu zaman zor olabilir ve Baxter’ın da çok iyi bildiği gibi, bu, birçok kuruluşun en üst düzeylerinde bile ortak bir sorundur.
Baxter, genel olarak siber güvenlik fikrini ve onlar için teşkil ettiği riskleri anlamaya çalışan yönetim kurullarıyla çalışırken de benzer sorunlar yaşadı.
Bu, üst düzey yöneticilere genellikle kıdemleri nedeniyle güvenlikten taviz vermeleri için sınırsız yetki verildiği durumlarda bazı rahatsız edici konuşmalar yapılmasına neden oldu – tıpkı “parolaları sevmeyen ve oturum açma bilgilerini şifre gerektirmeyecek şekilde ayarlayan başkanın yaptığı gibi, ardından şirket ağına otomatik olarak giriş yapmak için ağı evinde kurun.”
Baxter, sadece üç yıl önce güvenlik personelinin itiraf ettiği konuşmayı hatırlayarak gülerek, “Bir arabadan geçebilir ve onun garaj yolundan onun gibi giriş yapabilir ve hemen şirket organizasyonuna geri dönebilirsiniz,” dedi. böyle kurdu çünkü o böyle seviyordu ve o zamanlar kimse ona hayır demedi’” dedi.
Hayır demeyi öğrenmek
Şu anda, büyük bir düzenlemeye tabi finans kurumunda bilgi güvenliğini yöneten Baxter’ın danışman olarak geçirdiği yıllar, kendisine, paydaşların güvenliğin önemini kendileriyle yankılanacak şekilde kavramadığı zaman güvenlik tutumlarının ne kadar kötü olabileceğini göstermiştir.
Ve endüstri ve hükümet düzenleyicilerinden gelen yoğun baskı, kurulları uygulanabilir ve kullanılabilir siber risk yönetimi uygulamaları geliştirmeye zorlarken, Baxter, bir üyenin genellikle siber güvenlik sorunlarını araştırmak ve bunları açıklamakla görevlendirildiği kurullarda “konuyla ilgili hala bir rahatsızlık var” diyor. kurulun geri kalanı.
Bu soruşturmalar, kurulun, yeni yükümlülüklerini yerine getirmek isteyen yönetim kurulu üyeleri için genellikle ilk temas noktası haline gelen CISO ile ilişkisini şekillendirdi.
Baxter, “Birkaç yıl önce kaçınmadan, zımni bir kabule, onu gemiye almaları gerektiğinin farkına varmaya, aslında sadece işlerinin bir parçası olarak görmeye doğru bir kayma var” dedi.
“Bundan sorumlu oldukları onlara çok, çok açık bir şekilde yazılmıştır – bu yüzden bana etkili bir şekilde meydan okuyabilmeleri ve doğru soruları sorabilmeleri gerekir. Ve bu sadece işlerini düzgün yapıyorlar.”
Ancak bu, panoların otomatik olarak uyum içinde çalıştığı anlamına gelmez. Baxter, bir şirketin fidye yazılımı fidye ödemesi gerekip gerekmediğine ilişkin yakın tarihli bir “sıradan konuşmanın”, “evet” ve “hayır” seslerinden oluşan bir koronun kendi görüşlerini bastırmasıyla 15 yönlü hararetli bir tartışmaya dönüştüğünü söyledi.
Bu tür tartışmalar, siber güvenlikle başa çıkma sürecinin doğal bir parçasıdır – ancak Baxter, görüşlerin farklılığının bunu yapmanın önemini pekiştirdiğini söyledi. önceki gerçek bir olay, anlık kararlar almaya zorladı.
“Bir karar vermeniz gereken bir durumda olsaydınız, çok kötü bir şekilde sıkışıp kalacağınızın farkındasınız. Bunu önceden harekete geçirmek isteyebileceğimizi fark ettik ve isteseydik, ne zaman, ne zaman yapmayacağımızı anlayacağımız noktaya geldik – ve önceden bu gruplar arasında bir fikir birliğine varmak için senaryo planlaması yaptık. zaman.”
Siber güvenlik riski profilde arttıkça ve yeni paydaşlarla yeni yollarla etkileşime girerken, yeni rollerini hala somutlaştıran CISO’lar için siber risk yönetimi etrafında üst düzey fikir birliğini kolaylaştırmak önemli bir görev olmaya devam ediyor.
Doldurulamaz siber beceri boşluğu
Yine de yönetici eğitimi, CISO’nun görevlerinden yalnızca biridir ve bu, Büyük İstifa gibi işgücü eğilimleri zarar etmeye devam ettikçe sürekli değişen sık sık değişen ekiplerin sağlam siber güvenlik sonuçlarını tartışmayı da içerir.
Baxter, siber güvenlik personelinin suları giderek daha fazla test etmesi ve sonuç olarak şirketler arasında hareket etmesi nedeniyle “işe almak zor ve elde tutmak daha da zor” dedi.
“İnsanları dahili olarak eğittik, onları harika bir seviyeye getirdik ve sonra gittiler çünkü piyasa şu anda çok aktif” diye açıkladı. “Bütün bu boşlukları asla dolduramayacağımızı anlamaya başlıyoruz. O köprüyü boyamanın sonuna asla varamayacağız.”
Daha genç insanların siber güvenlik kavramlarına genellikle daha aşina göründüğünü ve zamanla eğitilmesi ve etkileşime girmesi daha kolay olabileceğini söyledi.
Yine de, Baxter son zamanlarda kadınların siber güvenlik sektörüne dahil edilmesini artırma çabalarına dahil olduğundan ve potansiyel olarak iyi birçok adayın başvurmaya bile tenezzül etmediğini fark ettiğinden, dil de işe alımda bir sorun haline geldi.
“Dilin kendisinin büyük bir engel olduğunu öğrendik” diye açıkladı. “Bir iş ilanı yazma şekliniz insanları hemen kapatabilir – bu yüzden geri döndük ve bu reklamları nasıl yeniden yazabileceğimizi düşündük ve döngüde bireylere daha erken hitap etmeye başladık, böylece bir yol olduğunu görebildiler. şimdi siberde yapıyorlar ve bu yararlı ve anlamlı olabilir.”
“Bu alana taşınabilecek kaynaklarımız var, ancak bunu bir kariyer olarak düşünmedik. Ve bu şekilde, bu fırsat ceplerinden bazılarının üstesinden gelmeye başlıyoruz.”
– David Brown Melbourne, Avustralya merkezli ödüllü bir teknoloji yazarıdır.
David’s Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan dünyanın en büyük güvenlik bilinci eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Güvenlik konusunda farkındalık eğitimine yönelik yeni bir okul yaklaşımıyla fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.