Bu yıl, sağlık kurumları ve okullardan finansal hizmet kuruluşlarına kadar herkese yönelik saldırıların yanı sıra güvenliği gündeme taşımak için İngiltere ve AB genelinde mevzuatın getirilmesi zemininde, siber güvenlik şüphesiz kurullar için daha öncelikli hale geldi.
Bu ihlaller manşetlere çıkmaya devam ederken, artık yönetim kurulu yöneticilerinin şirket genelinde siber güvenliğin gidişatını belirleme sorumluluğunu üstlenme zamanı. Ne de olsa, öncelikleri yönetim kurulu düzeyinde aşılamak ve bu mesajı şirket genelinde yaymak, ticari başarının temel ilkelerinden biridir.
Ancak siber güvenlik farklı mı ele alınıyor? Bazıları, yönetim kurulu tartışmalarında siberin kesinlikle bir öncelik olmasına rağmen, yöneticilerin güvenlik duruşları için henüz tam sorumluluk almadıklarını ve genellikle bunu SecOps ekiplerine veya CISO’larına silip süpürdüğünü iddia edebilir. Fidye yazılımlarının operasyonları, finansmanı ve itibarı istikrarsızlaştırma potansiyeli göz önüne alındığında, daha fazla yönetici siber güvenliği gündemin ön ve merkezine koymalıdır. Belki de baktıklarının gerçeğini anlasalardı anlarlardı.
Tahta neden gemide değil?
Dünyanın dört bir yanındaki kuruluşlar siber olgunluk yolculuğuna devam ederken, yönetim kuruluyla doğrudan siber güvenlik konusunda ilgilenmeyen şirketler, gelecekte ciddi risklere kapı aralıyor. Bu katılım eksikliği, güçlü yönetim kurulu siber güvenlik uzmanlığının/deneyiminin olmaması veya basitçe riskin hafife alınması gibi çeşitli değişkenlerden kaynaklanabilir. CISO’lar, o yönetim kurulu odasında olsunlar ya da olmasınlar, bunun değişmesi gerektiğini ve değişimin ancak daha net risk iletişiminden kaynaklanabileceğini kabul edeceklerdir.
Yönetim kurulunun siber güvenliğe daha fazla ilgi göstermesini veya bunu şirket için bir öncelik haline getirmeme riskini tam olarak kavramasını istiyorsanız, o zaman risk seviyeleriyle konuşmanız gerekir. Kendilerine anlayacakları ve teknik jargonu aşan bir şekilde konuşulan temel gerçeği istiyorlar. Bunu yapmamanın sonuçları onların kâr hanesini nasıl etkileyecek? Bir fidye yazılımı saldırısı itibarlarını nasıl etkiler? Bu neden bir öncelik? Şu anda?
Aramızdaki CISO’lar, bu konuşmayı boşuna yapmaya çalıştıklarını hissedebilirler, ancak çeviride kaybolma riski çok yüksektir. Kurulu meşgul etmek için, bir bilgisayar korsanının ağınızda bir güvenlik açığı bulması durumunda ne olacağı ile sonuç olarak işlerin ne kadar kötü gidebileceği arasındaki doğrudan bağlantıyı açıkça göstermeniz gerekir. Onların anlayacağı bir gerçeği söylerseniz, siber güvenliğe işin her düzeyinde hak ettiği ilgiyi vermek için gereken güven, şeffaflık ve işbirliğini açığa çıkaracaksınız. Kırmızı takımlar bunu başarmanıza yardımcı olabilir.
Kırmızı takımlar ve “hücum güvenliği”
Kırmızı ekiplerin CISO’lara verebileceği şey, ağlarının işi mahvedebilecek tehditlere karşı nasıl biriktiğine dair soğuk, katı gerçektir. Kırmızı takımlar, çevrilmemiş taş bırakmaz ve çözülene kadar her ipliği çeker. Bu, işletmenin finansmanına veya itibarına zarar verecek güvenlik açıklarına ışık tutar.
Kırmızı bir ekiple, hedefe dayalı sürekli sızma testi (saldırganların en iyi hilelerini bilen uzmanların liderliğinde), bir atılımla sonuçlanabilecek her yolu keşfetmek için saldırı yüzeyini durmaksızın inceleyebilir. Bu proaktif, “saldırgan güvenlik” yaklaşımı, bir işletmeye saldırı yüzeyinin paranın satın alabileceği en kapsamlı resmini verecek, bir saldırganın kullanabileceği her olasılığın ve nasıl düzeltilebileceğinin haritasını çıkaracaktır.
Teknoloji yığınını test etmekle de sınırlı değildir; çalışanlarının sosyal mühendislik saldırılarına açık olduğundan endişe duyan işletmeler için kırmızı ekipler, testlerinin bir parçası olarak sosyal mühendislik senaryolarını taklit edebilir. Sıkı bir sosyal mühendislik değerlendirme programı, yalnızca BT altyapısındaki zayıflıkların incelenmesi lehine göz ardı edilmemelidir. Siber güvenlik, mevcut teknolojiyi kullanarak bir çözüm oluşturmak için insanlara ihtiyaç duyan bir insan sorunudur.
Gerçekleri öğrenin, güvenlerini kazanın
CISO’lar için, kırmızı ekiplerin kanıtları, kötü niyetli bir ihlalin olumsuz sonuçlarının hiçbiri olmaksızın saldırı yüzeyinin kim, ne, ne zaman ve nasıl olduğunu incelemeye açık hale getirir. Bu, kurula sunabilecekleri ve siber güvenliğin yönetici düzeyinde ciddiye alınması için durumu güvenle ifade edebilecekleri ve fidye yazılımlarına karşı ellerinden gelenin en iyisini yapmak için ihtiyaç duydukları güveni kazanabilecekleri kanıtlardır.
Yönetim kurulu için, aynı anda saldırı yüzeylerine yönelik tehditlerin büyük resmini görecekler, ancak aynı zamanda bir iyileştirme planı da sunulacak. İşi etkilemeden önce güvenlik açıklarını çözmek için her şeyin yapıldığı konusunda BT ekibine güvenebilirler. Ve kırmızı ekipler, her bir güvenlik açığının ne kadar acil bir risk olduğunu doğru bir şekilde ölçecek bilgiye sahip olduğundan, sunum, bu tartışmaları özlü ve çözüm odaklı tutarak, hemen yapılması gerekenleri sıfırlayabilir.
Bu güven oluşturulduktan sonra kırmızı ekipler, kurulun siber güvenlik konusunda güncel kalmasını kolaylaştırır. Sürekli penetrasyon testi, sorunun gerçekten çözüldüğünden emin olmak için güvenlik açıkları düzeltildikten sonra bile devam eder. Bu, siber güvenliğin her zaman gündemde olduğu anlamına gelir ve CISO’lar ile yöneticiler arasında, bir saldırgan güvenlik açıklarını fark etmeden önce, kuruluşun proaktif olarak güvenlik açıklarını nasıl yamalamaya çalıştığı konusunda şeffaflık vardır.
Bir kuruluşun siber güvenliği hak ettiği ilgiyi görmüyorsa yönetim kurulunun bunu bilmesi gerekir. Ancak, bilgi güvenliği ekibi “pano dili” konuşmuyorsa, wxec’lerden katılım almak zor olabilir. Kırmızı bir ekibin uzmanlığını devreye alarak, bu karar vericilerin gerçekten önemsediği konuların özüne inmek için ihtiyaç duyduğunuz gerçeklere sahip olacaksınız ve karşı karşıya oldukları risklere dair somut kanıtlar elde edeceksiniz ve onları korumak için gereken desteğin kilidini açacaksınız. tüm işletme güvende.