Avustralya yönetilen servis sağlayıcısı Kaine Mathrick Tech’in CEO’su Bradley Kaine’ye göre, siber güvenlik sözleşmeleri kurulların ihtiyaçlarına ayak uydurmuyor.
.jpg&h=420&w=748&c=0&s=0)
Bradley Kaine, Kaine Mathrick Tech
Kaine, ITNews’ın kardeş yayınından TechPartner.news’ten, siber güvenlik hizmetlerini değerlendirirken veya yenilerken kuruluşların neye öncelik vermesi gerektiği hakkındaki görüşlerini paylaşmaları için MSP endeks dizinindeki seçilen firmalara bir davetiye yanıt veriyordu.
Siber Güvenlik Yasası 2024 ve yeni 72 saatlik fidye yazılımı ödeme raporlama yükümlülüğünü, olay müdahale terimlerini tekrar gözden geçirmek için katalizör olarak gösterdi, ancak buna uygun bir işaret bilgisi alıştırması olarak muamele görmeye karşı uyardı.
S. Avustralya’daki birçok kuruluşun siber güvenlik sözleşmelerini nasıl değerlendirdiklerini güncellemeye ihtiyaç duyuyor musunuz – eğer öyleyse, neden ve şimdi odaklanmaları gereken bir şey nedir?
Bradley Kaine, Kaine Mathrick Tech: Kesinlikle, Avustralya’daki kuruluşların sözleşmeleri içinde siber güvenliği nasıl değerlendirdiklerini yeniden düşünmeleri için açık ve artan bir ihtiyaç görüyoruz. Manzara önemli ölçüde değişti ve riskler her zamankinden daha yüksek.
Commonwealth’in bu yılın başlarında siber risk modeli hükümlerini serbest bırakması güçlü bir sinyaldir. Dijital Dönüşüm Ajansı tarafından geliştirilen ve AGS tarafından desteklenen bu hükümler [Australian Government Solicitor]hükümet alıcılarının BİT tedariklerinde siber riskleri yönetmelerine yardımcı olmak için tasarlanmıştır. Bunlar arasında siber sigorta, dijital güvenlik ve veri koruma ile ilgili ayrıntılı hükümler ve Koruyucu Güvenlik Politikası Çerçevesi (PSPF), Essential Sekiz ve IRAP değerlendirmeleri gibi çerçevelerle uyumludur.
İş liderliği perspektifinden bakıldığında, kuruluşların şu anda odaklanması gereken tek şey, siber esnekliği tedarik ve satıcı yönetimi süreçlerinin her katmanına yerleştirmektir. Bu şu anlama geliyor:
- Tedarikçilerin siber güvenlik olgunluğunun riske dayalı değerlendirmeleri.
- Sözleşmelerin sağlanması, olay müdahalesi, veri koruma ve Avustralya standartlarına uyum konusunda açık yükümlülükleri içerir.
- Siber sigorta kapsamı ve istisnaların eleştirel bir gözle gözden geçirilmesi.
2023-2030 Avustralya siber güvenlik stratejisi bu aciliyeti güçlendiriyor. Artık sadece uyumluluk ile ilgili değil, aynı zamanda dijital bir ilk ekonomide güven ve esneklik oluşturmakla ilgili. Son mali yılda bildirilen 94.000’den fazla siber suç olayı ve düzenleyici incelemenin artmasıyla, kuruluşlar siber güvenliği sadece BT değil, bir yönetim kurulu sorunu olarak ele almalıdır.
S. Olay Yanıtı ve Kurtarma Siber Güvenlik Ortaklığı Yapabilir veya Kırılabilir. Bir sözleşme fıkra kuruluşlarının ısrar etmesi gereken nedir – özellikle fidye yazılımı şu anda odakta raporlama ile?
Bradley Kaine, Kaine Mathrick Tech: Evet, kesinlikle bir vardiya görüyoruz. Avustralya kuruluşlarının siber güvenlik sözleşmelerini değerlendirme şekli hızla gelişiyor ve ihtiyacı var. Siber Güvenlik Yasası 2024 şu anda yürürlükte ve fidye yazılımı ödeme raporlama kuralları 2025 aktif, olay yanıtı ve kurtarma sadece operasyonel kaygılar değil, bunlar yasal ve itibar zorunlulukları.
Her kuruluşun ısrar etmesi gerektiğine inandığım bir madde “zorunlu bir olay ifşa ve işbirliği” maddesidir. Bu fıkra, satıcıların şunları yapmasını gerektirmelidir:
- Şüpheli veya onaylanmış fidye yazılımı olayından birkaç saat içinde müşteriye bildirin.
- Tüm iletişimi zorlayıcı varlık ile ifşa edin.
- Kanunun 27. Bölümü uyarınca 72 saatlik fidye yazılımı ödeme raporlama yükümlülüğüne uygunluk da dahil olmak üzere adli soruşturmalar ve hükümet raporlarında tam işbirliği sağlayın.
Bu sadece bir uyum kutusunu işaretlemekle ilgili değil. Bu, ortaklarınızın değerlerinizle uyumlu olmasını sağlamakla ilgilidir – şeffaflık, hesap verebilirlik ve esneklik. Çünkü bir ihlal meydana geldiğinde, yanıtınızın hızı ve netliği markanızın geleceğini tanımlayabilir.
S. Siber güvenlik sözleşmeleri, kurulların ve iş liderlerinin raporlama ve güvence ihtiyaçlarına ayak uyduruyor mu-yoksa hala çok mı odaklanmış mı?
Bradley Kaine, Kaine Mathrick Tech: Hiçbir soru yok, siber güvenlik sözleşmeleri yeniden düşünmek için gecikmiş. Çok fazla kişi, risk, esneklik ve yönetişim dilini konuşmaları gerektiğinde hala dilini konuşuyor.
Bugün kurullar artan baskı altında – sadece ASIC gibi düzenleyicilerden değil, hissedarlardan, sigortacılardan ve halktan siber okuryazarlık ve aktif gözetim göstermek için. 2001 Şirketler Yasası uyarınca, yöneticilerin özen ve gayretle hareket etme görevleri vardır ve bu, kuruluşun siber esnek olmasını sağlamayı da içerir. Bir ihlal meydana gelirse ve Kurul doğru soruları sormazsa veya doğru güvenceleri talep etmediyse, kişisel olarak yükümlü olabilirler.
Peki, sözleşmeler ayakta mı tutuyor? Birçok durumda, hayır.
Hala teknik kontrollere odaklanıyorlar ve raporlama, hesap verebilirlik ve stratejik uyum konusunda yeterli değiller. Bu kapatmamız gereken bir boşluk.
Her kurulun ısrar etmesi gereken bir maddenin “Kurul düzeyinde siber risk raporlaması ve güvencesi” maddesi olduğuna inandığım bir madde. Bu madde:
- Tedarikçilerin siber duruş, olaylar ve risk azaltma hakkında düzenli, tahta hazır raporlar sunmalarını gerektirir.
- ACSC’nin Essential Sekiz ve Kritik Altyapı Güvenliği (SOCI) gibi çerçevelerle uyumu zorunlu kılın.
- Üçüncü taraf denetimleri için hükümler ve esnekliği doğrulamak için olay simülasyonları ekleyin.
Siber güvenlik artık sadece teknik bir sorun değil, stratejik bir kolaylaştırıcı. Güven, itibar ve hissedar değerini korumakla ilgilidir.
Bradely Kaine, Avustralya yönetilen bir servis sağlayıcı olan Kaine Mathrick Tech’deki liderlik ekibinin stratejik yönü, kârlılığı, büyümesi ve gelişmesinden sorumludur.
Techpartner.news adresindeki Yönetilen Servis Sağlayıcıların (MSP) dizinine bakın.
Feragatname: Bu Soru -Cevapta ifade edilen görüşler, bireysel katkıda bulunanların görüşleridir ve ITNews veya TechPartner.news’in görüşlerini yansıtmaz. İçerik yalnızca genel bilgi amaçlı olarak sağlanır ve yasal, finansal veya mesleki tavsiyeler oluşturmaz.