Farklı bakış açıları nedeniyle, Yönetim Kurulu üyeleri ve CISO’lar genellikle siber saldırı riskleri konusunda farklı görüşlere sahiptir. Tutarsızlık, Kurulların siber güvenlik uzmanlığına, teknik jargonu anlama konusunda yardıma ihtiyaç duyduğunda veya CISO’ların iş dilinde iletişim kurması gerektiğinde ortaya çıkar.
Bu Help Net Security röportajında, PlanSource’un CISO’su David Christensen, siber güvenlik risk yönetimi, stratejisi ve yönetişiminin daha geniş kurumsal ve stratejik sonuçlarını anlamak ve kabul etmek için stratejiler öneriyor.
Yönetim kurulu üyeleri ve CISO’lar genellikle siber saldırı riski konusunda hemfikir değildir. Sizce bu tutarsızlığın başlıca nedeni nedir?
Bakış açısındaki bir farklılık, Yönetim Kurulu üyeleri ile CISO’nun her zaman uyumlu olmamasının temel bir nedenidir. CISO’ların siber güvenlik riskini değerlendirmekten ve azaltmaktan sorumlu olduğu durumlarda, yönetim kurulu üyeleri genellikle kuruluşun hedefleri, stratejileri ve genel risk ortamı hakkında çok daha geniş bir görüşe sahiptir. Perspektiflerdeki bu farklılıklar, zıt önceliklere ve risk değerlendirmelerine yol açar. Bununla birlikte, Kurul üyeleri ve CISO’lar siber saldırı riskleri konusunda aynı fikirde olmadıklarında, bunun nedeni genellikle Kurul’un üyeleri arasında siber güvenlik uzmanlığının olmaması, konuyu anlamanın karmaşıklığı ve CISO’ların teknik konulara çok fazla odaklanmasıdır. Kurul ile yaptıkları görüşmeler sırasında dil.
Siber riskin Kurula iletilmesi, CISO’nun hedef kitleyi anlamasını, teknik jargonu iş diline çevirmesini ve Kurulun CISO’yu stratejik bir ortak olarak görmesini sağlar. Stratejik ortak olmak ayrıca, Yönetim Kurulu’nun rakip öncelikler ve harcamalar karşısında bir yatırımın önemini anlamasına yardımcı olmak için CISO’ların siber güvenlik yatırımlarını yatırım getirisi açısından incelemelerini gerektirir.
CISO’ların ayrıca, Siber saldırıların potansiyel uzun vadeli etkilerine daha fazla uyum sağlayan ve proaktif önlemleri savunan CISO’ların aksine, Yönetim Kurulu üyelerinin üç aylık veya yıllık performansa odaklanarak karar vermek için genellikle daha kısa bir zaman ufkuna sahip olduğunu anlamaları gerekir. Zaman ufuklarındaki bu yanlış hizalama, risk algılarındaki eşitsizliklere katkıda bulunabilir.
Bir CISO, teknik jargonu Yönetim Kurulu üyelerinin anlayabileceği ve etkileşim kurabileceği iş diline etkili bir şekilde nasıl çevirebilir? Aklınızda belirli stratejiler veya yaklaşımlar var mı?
Bir CISO, teknik jargonu iş diline ve hedef kitlenin aşina olduğu bir dile çevirebilmek için Yönetim Kurulu üyelerinin bilgisini ve geçmişini anlamalıdır. Buna, teknik jargonu günlük durumlara veya iş senaryolarına bağlayarak yaklaşıyorum, bu Yönetim Kurulu’nun kolaylıkla kavrayabileceği bir şeydir.
Bu iletişim tarzında etkili olmak için, iş uyumunu optimize etmek üzere teknoloji gruplarının dışındaki diğer iş liderleriyle işbirliği yapıyorum. Siber güvenlik riskinin potansiyel iş etkisine odaklanmak, bir CISO’nun teknik sorunları finansal kayıp veya şirketin markasına verilen zarar gibi sonuçları açısından çerçevelemesine de olanak tanır.
Yönetim Kurulu’ndan ağırlık vermesini istediğiniz stratejik hedeflere odaklanırken, kısa ve öz olmak ve aşırı süsleyen siber risklerden kaçınmak da aynı derecede önemlidir. Siber riskin azaltılmasını teşvik etmek amacıyla Kurul üyeleri ve CISO’lar arasındaki uçurumu kapatmak için bir CISO’nun iletişimi geliştirmesi, Kurul üyelerini siber güvenlik riskleri konusunda eğitmesi ve karar alma konusunda işbirlikçi bir yaklaşımı teşvik etmesi önemlidir.
Birçok Kurul, siber güvenliği hâlâ tamamen teknik bir konu olarak görüyor. Siber güvenliğin daha geniş kurumsal ve stratejik etkilerini anlamak ve kabul etmek için hangi stratejileri kullanabilirler?
Kurulların siber güvenliğin daha geniş kurumsal ve stratejik etkilerini daha iyi anlaması ve kabul etmesi için siber riskin nasıl görüldüğü ve ele alındığı konusunda bir değişiklik olması gerekiyor. Yönetim kurulları, CISO ile Yönetim Kurulu toplantıları dışında da devam eden doğrudan ve stratejik bir ilişki geliştirerek var olan ortak CISO-Yönetim Kurulu kopukluğunun üstesinden gelerek işe başlayabilir. Kurullar aynı zamanda siber güvenlik konusuna daha fazla zaman ayırmalı ve CISO’nun riski Kurul’a birkaç üç aylık slayttan daha fazla iletmesine izin vermelidir. Siber güvenlik uzmanlığının da, iş ve siber deneyim karışımına sahip direktörleri dahil ederek Kurul kompozisyonunun bir parçası olması gerekir.
Kurulların siber güvenlik risk yönetimi, stratejisi ve yönetişimine yaklaşım şeklini değiştiren SEC tarafından önerilen değişiklikleri nasıl tasavvur ediyorsunuz?
SEC tarafından önerilen değişiklikler gerçeğe dönüştüğünde, Kurulların siber güvenlik konularına daha fazla ilgi göstermesini öngörüyorum. Bu değişikliklerin Kurulları bir olaydan etkilenmeden önce siber güvenlik riskini değerlendirmek, yönetmek ve azaltmak için daha fazla kaynak, zaman ve uzmanlık ayırmaya yönlendirmesi umulmaktadır.
O zaman bunun, Kurulların siber güvenlikle ilgili yönetişim yapıları oluşturması veya geliştirmesi, siber güvenlik gözetimi için net roller ve sorumluluklar tanımlamasına ve nihayetinde Kurul düzeyinde siber güvenlik uzmanlığının varlığına yol açmasını beklerim. Bu değişiklikler aynı zamanda Kurulları siber güvenlik hususlarını genel iş stratejilerine entegre etmeye teşvik edecektir.
Sizce, Kurul üyeleri siber güvenlik kaynaklı risklere ilişkin anlayışlarını geliştirmek ve bunları etkili bir şekilde yönetme planlarını değerlendirmek için hangi somut adımları atabilir?
Kurul üyeleri, ortaya çıkan tehditler ve en son trendler konusunda güncel kalmalarına yardımcı olabilecek konuyla ilgili eğitimlere, çalıştaylara ve konferanslara katılarak kendilerini siber güvenlik konusunda aktif olarak eğitmelidir. Kurullar ayrıca, bir kuruluş içindeki siber güvenlik girişimlerini değerlendirmeye ve denetlemeye yardımcı olmak için ilgili uzmanlığa sahip üyelerden oluşan özel bir siber güvenlik komitesi oluşturmalıdır.
Kurul ayrıca, kuruluşlarının karşı karşıya olduğu belirli riskler ve zorluklar hakkında fikir edinmek için siber güvenlik uzmanları ve danışmanları ile işbirliği yapmalıdır. Ek olarak Kurullar, kuruluşlarından düzenli risk değerlendirmeleri yapmasını ve ayrıca kuruluşun siber güvenlik duruşuna genel bir bakış sağlayacak siber güvenlik raporlarını incelemesini şart koşmalıdır.