“Auld Lang Syne” şarkı sözlerinin çok güzel bir şekilde söylediği gibi, “Eski tanıdıklar unutulmalı ve asla akla getirilmemeli mi?” Güvenlik liderleri yeni yılın neler getireceğini sabırsızlıkla beklerken ekipleri, teknolojileri, bütçeleri gibi her şeyi değerlendiriyor ve zorlu bir yıl daha olacak gibi görünen bir yılı planlamaya çalışıyorlar.
Magic 8 Ball’um olmasa da 2023 aynı bütçe kısıtlamaları, aynı tedarik zinciri sorunları ve aynı siber güvenlik sorunları gibi görünüyor. Ayrıca şu anda güvenlik liderleri üzerinde, siber güvenlik programlarının etkinliği için daha fazla inceleme ve daha fazla sorumlulukla karşı karşıya kalırken, daha azla daha fazlasını yapma konusunda çok fazla baskı var. Sofistike ve sık siber saldırılar, daralan bütçeler ve dağınık bir iş gücü, yalnızca önceden var olan güvenlik zorluklarını, önce neyin ele alınacağını bilmenin zor olduğu bir noktaya kadar şiddetlendirdi. Dolayısıyla, hâlâ Yeni Yıl kararlarınız üzerinde çalışan bir güvenlik lideriyseniz, siber dayanıklılık listenizde 1 numara olmalıdır.
Zihniyetinizi Değiştirmek
Bugün çoğu güvenlik lideri, siber güvenlik olaylarıyla ilgili olarak “eğer olursa değil, ne zaman” zihniyetini benimsemiştir. Ek olarak, riski sürekli olarak tanımlayan ve uygun hafifletici kontrolleri uygulayan risk yönetimi, genel siber güvenlik programı yönetiminin önemli bir bileşeni olmaya devam ediyor. Ancak, gerekli kontrolleri uygulayamazsanız veya kritik bir riski belirleyemezseniz ne olur? Asıl soru, hafifletici kontrollerin olmaması, yetersiz hafifletici kontroller veya kör noktalar nedeniyle gerçekleşen bir riskle karşı karşıya kaldığınızda hazırlıklı olma planınız nedir?
Yakın zamanda potansiyel bir müşteriyle görüştüm ve güvenlik personeli mevcut siber güvenlik zorluklarını, program/teknoloji istek ve ihtiyaçlarını ve yetenek eksikliklerini özetledi. En önemli siber güvenlik endişelerini anlatırken, sorunları hakkında doğru düşünüp düşünmediklerini sordum; X sorununa odaklanmak yerine belki de Y sorununa odaklanmalılar. Ama sonra o şirketteki güvenlik liderinin her gün aynı sorunları gördüğünü ve bunların kuruluşa özgü olduğunu fark ettim. Bununla birlikte, aksine, bir güvenlik çözümleri danışmanınınkine benzer bir rolde olduğum için, pek çok farklı türde soruna çeşitli şekillerde yaklaşıldığını ve çözüldüğünü görüyorum.
Perspektifteki bu farklılığın, bir sektör olarak siber güvenlik temel çizgileri, ölçütleri, önceliklendirme yaklaşımları vb. konularda uyum sağlama yeteneğimizi ne kadar etkilediğini merak ettim. Sorunlar, koruduğumuz kuruluşlar ve önceliklerimiz her yıl değiştiğinde, siber güvenlik programlarımız dahilinde sorunları çözmek zordur. gün. Eğer “eğer olursa değil, ne zaman” konusunda hemfikirsek, güvenliğimizi yönetirken bir dereceye kadar belirsizliği kabul etmemiz gerektiği konusunda da hemfikiriz. Ancak bu kör noktaların iş kesintisine yol açmasına izin veremeyiz. Bunun yerine, siber güvenlik programlarının yönetilme biçiminde, geleneksel bir risk yönetimi modelinden siber esnekliğe doğru bir zihniyet değişikliği olmalıdır.
Güvenlik Oyununu Anlamak
İyi haber şu ki, etkili risk yönetimi siber dayanıklılığın önemli bir bileşeni olmasına rağmen, yalnızca riske değil, esnekliğe de öncelik veren kuruluşlarda bir değişim görmeye başlıyoruz. Yakın tarihli bir Forrester raporuna göre, doğrudan CEO’ya bağlı baş risk sorumlularında (CRO’lar) önemli bir artış olmuştur. Bu, güvenliğin bir uyumluluk onay kutusundan siber dirençlilik stratejisine yapılan bir yatırıma dönüştüğü kurumsal zihniyette çok ihtiyaç duyulan bir pivot örneğidir. Yetersiz korumaya sahip şirketler için, CISO’ların bütçelerini, kaynaklara sahip bir ekibe, uygun araçlara ve sağlam bir eğitime odaklaması gerekecektir.
Bu zihniyet değişiminin bir parçası da oynamanız gereken güvenlik oyununu anlamak ve ardından bu stratejiyi liderlik ekibinize ve yönetim kuruluna açıklayabilmektir. Düşündüğünüz tek şey risk olduğunda — biz burada riskliyiz, yani bu deliği bu çözümle kapatacağız, o zaman burada riskliyiz, yani şuradaki deliği bu diğer çözümle kapatacağız — bu sanki köstebek vurma oyunu oynamak. Bu yaklaşımı yönetim kurulunuza iyi tanımlanmış bir strateji olarak taşımayı deneyin.
Bunun yerine, mesajın şu şekilde olması gerekir: Sektörümüzdeki sektör araştırmasına göre, saldırganların bizim ortam türümüzde yararlanabilecekleri başlıca tehditler ve ortamımızı nasıl iyileştirebileceğimiz aşağıda açıklanmıştır. Stratejimiz daha dirençli olmaktır.
Artık ölçülebilir bir şeye sahipsiniz ve makul bir siber güvenlik programı yol haritası oluşturabilirsiniz.
Siber Direnç Neden Yapılacaklar Listenizde 1 Numara Olmalı?
2023’te en etkili olacak CISO’lar, “Güvende miyiz?” Cevap her zaman hayır olduğu için – her zaman risk olacaktır. Doğru soru “Ne kadar hazırız?” Bu siber olaydan ne öğrendiğinizi düşünmek istiyorsunuz; bu, tepkisel olarak riski belirlemekten, maliyetleri değerlendirmekten ve ardından buna göre kontrolleri uygulamaktan daha fazlasıdır. Bil bakalım ne oldu? Saldırganlar da bu kontrollere sahiptir. Tedarik sürecinizi, değer kanıtlamanızı, satıcı seçiminizi ve çözüm uygulamanızı tamamladığınızda, saldırganlar sizden birkaç adım öndedir.
Ortamınız hakkında bildiklerinizde her zaman boşluklar olacaktır, bu nedenle 2023’e nasıl yaklaşmanız gerektiği, öngörmeye, dayanmaya, toparlanmaya ve uyum sağlamaya hazır olma merceğinden güvenlik programınızın sürekli iyileştirilmesine odaklanmaktır.
Şimdi güvenlik liderlerinin siber dayanıklılık odaklı bir program oluşturma zamanı. Şirketler tüm riskleri ortadan kaldıramaz, ancak kuruluşların siber güvenlik programlarındaki ilerlemeyi ve gelişmeyi ölçmeye hazır olmaları için tam ölçekli planlar uygulamaya koyduğunu ve ihtiyaç duydukları yerde harcama yaptığını göreceğiz. “Yeterince iyi” yaklaşımını benimseyen kuruluşlar, büyük olasılıkla bedelini (ve daha fazlasını) daha sonra ödeyeceklerdir.