Net güvenlik röportajında bu yardımda, Juventus Futbol Kulübü BİT başkanı Mirko Rinaldini, kulübün siber risk stratejisine yaklaşımını tartışıyor. Juventus, yeniliği kibrit günleri, e-ticaret ve dijital platformlarda korumalarla dengeleyen tehdit liderliğindeki sonuçlara dayalı bir program geliştirdi.
Rinaldini, diğer yüksek bahisli kuruluşların uygulayabileceği yönetişim, işgücü farkındalığı ve AI özellikli risk yönetimi dersleri paylaşıyor.
Juventus, doğal olarak onu bir hedef haline getiren dünyanın en yüksek profilli futbol kulüplerinden biridir. Kulübün küresel görünürlüğü siber risk stratejinizi daha geleneksel bir işletmeye kıyasla nasıl şekillendiriyor?
Yüksek görünürlük öncelik ve zamanı etkiler. NIST çerçevesine dayanan ve Juventus Reality’ye ayarlanmış tehdit liderliğindeki, sonuçlar güdümlü bir program yürütüyoruz: maç günleri, transfer piyasası pencereleri, küresel fan katılımı ve 7/24 medya işlemleri, kesintilerin başlıkları haline geldiği.
Belirli platformları biletleme ve spor yönetim sistemleri gibi iş kritik olarak belirledik ve bu nedenle bunları özellikle zirve, gelire duyarlı sürelerde (örneğin, bilet satışları) artan güvenlik kontrollerine ve gelişmiş dayanıklılığa maruz bıraktık. Benzer şekilde, veri sınıflandırma çerçevemiz, katmanlı koruma ve kurtarma önlemlerini, güvenceleri ve restorasyon hedeflerini her bir veri kategorisinin hassasiyetine ve iş kritikliğine hizalayarak sağlar.
Maç günleri ve hassas pencereler için, kararları hızlı, denetlenebilir ve tutarlı bir şekilde almak için önceden onaylanmış oyun kitapları ile yüksek bir duruşa geçiyoruz.
Stres altında temel fan hizmetlerini korumak için esneklik tasarlıyoruz ve süreklilik ve muhafaza (algılama/yanıt pencereleri ve müşteri tarafından görünür etki) ölçüyoruz.
Çalışanlar ve tedarikçiler, Juventus içinde yapılan herhangi bir eylemin, standart bir çalışma ortamında tipik olarak beklenenden daha yüksek düzeyde dikkat ve ihtiyatlık gerektiren önemli medya etkisi taşıdığının tutarlı bir şekilde farkındadır.
Spor organizasyonları genellikle yoğun bir kamu incelemesi altında faaliyet göstermektedir. Juventus’un siber risk yönetiminden hangi dersler Finans, sağlık veya hükümet gibi diğer yüksek şölen ortamlarına uygulandığını düşünüyorsunuz?
Spor organizasyonları, sadece geleneksel bir kurumsal işletmenin karmaşıklıklarını değil, aynı zamanda mekan yönetimi (maç günleri ve etkinlikler için) ile ilgili zorlukları ve performans ve spor operasyonlarıyla ilgili olanları kapsayan çok işli varlıklardır. Bununla birlikte, bu bağlamda öğrenilen derslerin çoğu geniş bir endüstri yelpazesinde geniş ölçüde uygulanabilir. Birkaçını vurgulamalıysam, kesinlikle aşağıdakileri eklerim:
1. İş hızında hareket eden yönetişim. Olaylardan önce risk sahipliğine, yükseltme yollarına ve dış komutlar kurallarına karar verin ve bunları prova edin. Basınç arttığında güvenilirliği korur.
2. üçüncü taraf = birinci dereceden risk. Tedarikçilere ve platformlara saldırı yüzeyinizin bir parçası olarak davranın. Güvenliği – sözleşme (bildirim pencereleri, yama zaman çizelgeleri, günlük taşıma, süreklilik, olay oyun kitapları) kodlayın ve bu yükümlülükleri sadece araçlar değil, test edin.
3. Sürekli farkındalık ve işgücü hassasiyeti. Güvenliği yıllık bir kurs değil, yıllık bir alışkanlık haline getirin. Zorunlu yerleşik, rol seçilmiş mikro öğrenimi, kimlik avı simülasyonlarını ve sadece zaman içi istemleri birleştirin; Test tamamlamalar yerine davranış sonuçlarını (örneğin, gecikme, riskli eylemlerde azalma) ölçün. Bu sürekli kadans, en yoğun günlerde gerçek dünya kararlarını geliştiren şeydir.
Juventus aynı zamanda dijital ürünler, akış ve e -ticaret ile bir iştir. Bu alanlardaki yeniliğin güvenlik hususlarını aşmamasını nasıl sağlıyorsunuz?
BİT güvenlik ekibinin liderliği ile, tüm teslimat yol haritamızda Go/Go -Go Gates ile güvenlik tasarımı ile çalışıyoruz.
Güvenlik, alımda işlevsiz gereksinimler olarak yakalanır; Bültenler, kimlik, veri işleme ve gözlemlenebilirlik için temel çizgileri karşılamalıdır. Takımlar tehdit modellerini ve istismar kataloglarını korur; Boru hatları, güvenli varsayılanları ve zamana bağlı iyileştirme slos’unu uygular.
Geliştirdiğimiz yazılımı ve harici olarak maruz kalan API’leri düşman emülasyonu, kod incelemesi ile doğruluyoruz ve iş baskısından geri dönüş yapmak için özellik bayraklarını/öldürme switch’lerini saklıyoruz.
Sonunda, üçüncü taraflardan sıklıkla yararlandığımız için, iç güvenlik politikalarımızı tedarik zinciri boyunca akar ve uyumu zorlarız.
İş gücünüz, hem teknik personel hem de antrenörler, oyuncular ve ön ofis çalışanları gibi teknik olmayan roller de dahil olmak üzere çeşitlidir. Bu tür farklı gruplar arasında birleşik, birinci güvenlik kültürü nasıl oluşturuyorsunuz?
Güçlü bir siber güvenlik kültürü oluşturmak, çeşitli ortamlarda çalışırken ve bir ofis ortamından ziyade öncelikle “sahada” çalışan bireyleri etkilerken zordur.
Etkili olabilmek için, hem dil hem de teslimatta iletişim, aynı zamanda genellikle yerleşik zihniyetlerinin dışına çıkan bir konu etrafında farkındalık ve alaka düzeyi yaratmalıdır.
2025’te işe alım, mikro öğrenme ve periyodik kimlik avı kontrolleri ile 12 aylık bir farkındalık programı yayınladık; Kadans, sınav puanlarına göre davranışsal sonuçları (daha az riskli eylem, daha hızlı raporlama) vurgular. Uyum eğitimi, spor ve kurumsal işlevler arasında ortak bir sorumluluk temelini destekler.
Ayrıca, yoğun dönemlerde iyi davranışları yapışkan tutmak için her bir işlevde sadece zaman içinde nudges ve bir şampiyon ağı kullanıyoruz (armatürler, aktarma pencereleri, büyük kampanyalar).
Spor organizasyonlarındaki BİT ve güvenlik ekiplerinin önümüzdeki on yıllık tehditleri ele almak için en çok ihtiyaç duyacağına inanıyorsunuz?
On yıllık bir stratejik ufuk tanımlamak oldukça karmaşıktır. Bununla birlikte, orta vadede, BİT ve güvenlik ekipleri için gereken kritik yeterlilikler aşağıdaki alanlarda yoğunlaşacaktır:
- Sonuç merkezli yönetişim ve metrikler. Duruşu tahtaya dönüştüren esneklik göstergelerine dönüştürün; Retorik değil, “Yöneticiyi” eyleme geçirilebilir hale getirin.
- Kimlik – ilk, veri merkezli güvenlik. SaaS, Bulut ve Edge’de erişim disiplini ve veri sınıflandırma/kullanımında derin yeterlilik.
- Tespit Mühendisliği ve Tehdit liderliğindeki savunma. Telemetri ve tespitleri ürün olarak tedavi edin; SOC aylık ritimlerimize gömülü gerçekçi saldırgan davranışlarına karşı hipotezleri sürekli olarak test edin.
- Geliştirici Velocity’de Ürün ve API Güvenliği. GO/Go -Go Gates tarafından uygulanan gerçek CI/CD ve serbest bırakma basıncından kurtulan desenler.
- AI – Okuma Risk Yönetimi. Mevcut sezon hedeflerimizde açık olan AI – hızlandırılmış tehditlere karşı savunurken veri platformunda AI’yi güvenli bir şekilde kullanın.
- Düzenleyici hazırlık ve tedarikçi disiplini. Arz zincirine maruz kalmayı azaltmak için NIS2’ye duyarlı politikalar oluşturun ve sözleşmelerde kontrolleri kodlayın.