Siber güvenlik yönetişimi ve risk yönetimi, 2023’te birçok kuruluşun akıllarında yer alacak. Artan hasar oranlarıyla karşı karşıya kalan sigortacılar, siber güvenlik risk bilgilerinin kalitesini iyileştirmeye ve daha iyi hale getirmeye çalıştıklarından, şimdiye kadar siber sigorta sektörü bu düşünceyi büyük ölçüde yönlendirdi. risklerini yönetebilirler. Daha sıkı sigortalama metodolojileri ve güvenlik kontrollerine yönelik gereksinimleri, risk anlayışı ve fiyatlandırmada daha fazla doğruluk sağladı ve düzenleyiciler ve mahkemeler artık bu duruma yetişiyor.
Bu da risk yönetimi ve gözetimini, sorumlulukları herhangi bir sigorta aracısından çok daha külfetli olan üst düzey yöneticiler ve direktörler için önemli bir endişe haline getirdi. Ancak bu yöneticilerin rehberliğe ihtiyacı var: Yokluğunda, siber saldırılarla ilgili kabus gibi hikayeler, ağır para cezaları ve yöneticilerin sorumluluklarını yeniden ele alan sıkıcı makaleler yalnızca siber kaygıyı artıracak ve karar alma sürecini kötüleştirecektir.
Yöneticiler korkmamalı. Bunun yerine, hayati bir stratejik varlığın kontrolünü ele geçirmelerine ve diğer sorumluluklarına odaklanmalarına olanak tanıyan bir siber güvenlik yaklaşımına ihtiyaçları var. Sonuçta baharatın akması gerekiyor.
Sigortadan istihbarat dersi
Etkili yönetim ve karar almayı engelleyen önemli bir sorun, yeterli veriye dayalı bilginin bulunmaması olmuştur. Öznel anketler ve “kendi ödevinizi işaretlemeye” varan çabalar, resmi bir süreç veya çerçeveyi bilgilendirmek için veriye dayalı ölçümlerin yerini alamaz. Buna güvenen bazıları için açık olmayabilir, ancak operasyonel risk değerlendirme bilgilerinin önemli bir kısmı kanıta dayalı değildir. Bu kanıt eksikliği, güvenlik kararlarına zarar verebilirken, bu keyfi ve doğrulanamayan bilgilerin çoğu, üst düzey yöneticilerin ve direktörlerin düzenleme ve yönetişim gözetim yükümlülüklerini karşılamayacaktır.
Yöneticilerin ve direktörlerin kendilerini baskı altında hissetmelerine şaşmamalı; birçoğu sessizce neyi bilmediklerini bile bilmediklerini kabul ediyor.
Siber sigorta sektörü de benzer bir sorunun üstesinden geldi. Sorunu çözmek, daha sıkı bir risk değerlendirmesi ve kontrollerin doğrulanmasını ve taraflar arasında açık risk sorumlulukları tahsis eden sigorta sözleşmelerini içeriyordu. Tıpkı sigortacılar gibi, 2023’ün üst düzey yöneticileri ve direktörlerinin de aldıkları risk bilgilerinin kalitesi ve siber güvenlik gözetimi konusunda bu bilgilere ne kadar güvenebilecekleri konusunda net bir anlayışa ve hesap verebilirliğe ihtiyaçları var.
Sonuçta sigortacılar işin aslını anladı: niceliksel ölçüm, kanıta dayalı karşılaştırmalı risk değerlendirmesine olanak tanıyor. Niteliksel yargılar kaçınılmaz olarak insan yanlılığına eğilimlidir ve daha düşük güvene sahip karar vermeyle sonuçlanacaktır.
Çerçeveler: Risk yönetimi atlası
Özünde siber güvenlik, kredi veya döviz gibi diğer işletme risklerinden farklı değildir. Riskler daha karmaşık olabilir ve kaynaklar ile risk yönetimi modelleri hâlâ gelişmektedir ancak genel prensipler aynı kalmaktadır. Risk yönetimi araçları ve niceliksel süreçlerin yanı sıra sistematik çerçevelere de güvenen işletmeler, riski anlamayı ve etkili bir şekilde yönetmeyi çok daha kolay bulacaktır. Doğru siber güvenlik risk çerçevesini seçmek iyi bir başlangıç noktası olacaktır.
ACSC Essential Eight, NCSC Cyber Essentials veya NIST Siber Güvenlik Çerçevesi gibi uygun bir çerçeve seçerken kuruluşlar uygunluk aramalıdır. Çerçeve, endüstri ve yargı alanındaki ihtiyaçları karşılamanın yanı sıra, kullanımı kolay, sistematik ve artan risk değerlendirme yeteneğini de desteklemelidir. Örneğin, temel risk hafifletme kontrollerinin varlığını, etkinliğini ve olgunluğunu otomatik olarak ölçmek için “endüstriyelleştirilmiş” bir araç sağlamak. Risk önleme, kontrol altına alma ve kurtarma çabalarını destekleyen niceliksel kontrol ölçümü ve raporlama yeteneği, siber güvenlik risk yönetimi ve yönetişiminin temelini oluşturur.
Kuruluşlar, risk yönetiminin kapsamını artırmak için bu temel üzerine inşa edebilir, ancak temel çerçeve basitliği hedefler; en büyük etkiye sahip olacak ve güvenlik direncinin temel çizgisini oluşturmayı kolaylaştıracak güvenlik kontrollerine odaklanmak. Doğru kullanıldığında, doğru çerçeve kullanıcılara aktif olarak sürdürülen, kullanımı kolay, sistematik bir siber güvenlik risk çerçevesi ve kontrol etkinliğinin ampirik ölçümü, kanıta dayalı risk yönetimi ve kalite iyileştirmeye ideal olarak uygun bir olgunluk modeli sunacaktır; ve tanısal bir görüntüleme aracı gibi siber dayanıklılığın açık, doğru ve güvenilir bir tasvirini sağlar.
Siber güvenliğin dayanıklılığına güvenmek
Niteliksel, anekdotsal risk bilgisi yeterli değildir ve hiçbir zaman da olmadı. Siber güvenlik esnekliği ve gözetimi artık bir bonus değil; önemli bir işlev ve hatta rekabet avantajı.
Siber güvenlik risk ortamı son derece dinamiktir ve güvenlik açığı açıklarının hiç bitmeyen bir şekilde azaltılmasını gerektirir. Bu alanda ayrıntı önemlidir. Risk ölçümü doğru, objektif olmalı ve risklerin ve önerilen azaltma stratejilerinin önceliklendirilmesine yardımcı olmalıdır. Uygun güvenlik riski çerçevelerine göre ölçüm yapan niceliksel “risk muhasebesi” ve denetlenebilir değerlendirme süreçleri, etkili siber güvenlik risk yönetimi ve gözetimi açısından kritik öneme sahiptir
Zamanla, yeni risk yönetimi süreçleri ve teknolojileri, daha geniş bir siber güvenlik yönetişim çerçevesini ve neredeyse gerçek zamanlı ampirik risk ölçüm sistemini destekleyecek şekilde gelişecektir. Ancak şu anda doğru çerçeveyi seçmek, güvenlik ekiplerinin ve yöneticilerin üzerindeki büyük yükü ortadan kaldıracak.
Peter Woollacott, Avustralya merkezli SIEM ve siber analiz platformu uzmanı Huntsman Security’nin CEO’sudur.