CEO’lar ve şirket yönetim kurulları genellikle kurucu ve yönetici Kevin Mandia’ya şu soruyu sorar: Mandiant’ın eski CEO’suCISO’larının gücünü nasıl belirleyeceklerini. Her şeyden önce Mandia, yöneticilere CISO’larının eğilimlerini değerlendirmelerini tavsiye ediyor.
“Güvenlik zihniyetine sahip bir CISO’nuz var mı?” Mandia, Çarşamba günü Denver’daki Mandiant Dünya Bilgi Güvenliği Değişim konferansındaki açılış konuşmasında “Eğer buna sahip değillerse, muhtemelen harika bir güvenlik programınız olmayacak” dedi.
Kuruluşlar siber tehditlerle asimetrik bir ortamda karşılaştıkları için, yöneticiler ve yönetim kurulları nadiren güvenlik liderlerinin yönetim becerilerini veya teknik zekasını derinlemesine araştırma lüksüne sahip olurlar. Çoğu kuruluş için siber tehditler düşük etkili egzersizlerde boğulmak için çok fazla baskıcıdır.
“Siber alanda çok az caydırıcılık var. Hepimiz sadece kaleci oynuyoruz ve saldırganlar bize karşı sınırsız penaltı vuruşlarıyla güvenli limanlarda. Bu bir dezavantaj,” dedi Mandia.
Özel kuruluşların genellikle hücuma yatırım yapacak araçları olmadığını söyledi. “Sürekli olarak savunmayı ve bize karşı sürekli saldırılara nasıl dayanacağımızı düşünmelisiniz.”
Mandia, son yirmi yıldır yöneticilerin ve yönetim kurulu üyelerinin bir CISO’nun işinde başarılı olma becerisine olan güvenlerini test etmelerine yardımcı olmak için tasarlanmış beş sorudan oluşan bir dizi hazırladı.
Mandia’nın CISO güven testindeki sorular şunlardır:
- Bize nasıl girersiniz? Zayıf noktamız nedir?
- En kötü senaryomuz ne?
- En kötü senaryo gerçekleşirse ne yaparsınız?
- Ne kadar dayanıklıyız? Sistemlerimizi ve uygulamalarımızı kurtarmak ne kadar sürer?
- Ne istiyorsun?
Şu anda Google Cloud’da stratejik güvenlik danışmanı olarak görev yapan Mandia, CEO’ların tavırlarının bir ölçüsü olarak CISO’larının bu sorulara verdiği yanıtlara odaklanmaları gerektiğini söyledi.
Mandia, “CEO’lara şunu söylüyorum: CISO’nuzun gerçekten bir cevabı olduğu sürece bu soruların cevabının ne olduğu umurunuzda bile olmaz, çünkü en azından bu, sizin zihniyetiniz olduğu anlamına gelir” dedi.