Conversant Group CEO’su John A. Smith tarafından
Siber riskin sorumluluğunu üstlenmeye gelince, yönetici liderlik on yılı aşkın bir süredir bir oyundaki karakter oyuncuları gibi spot ışıklarına girip çıkıyor. Yaklaşık 15 yıl önce, BT ekiplerinin çoğu, “ışıkları açık tutmak” için çalışırken aynı zamanda kuruluşu tehditlere karşı korumaya çalışarak bu işi tek başına yaptı. Siber saldırılar ve ilgili küresel manşetler göz ardı edilemeyecek kadar hacimli hale geldiğinde, (haklı olarak) CEO’lara ve yönetim kurullarına müdahil olma çağrıları duymaya başladık – bu saldırılar, üst düzey liderlik için farkındalığı, karar vermeyi ve suçlamayı erteleyemeyecek kadar yıkıcı hale geldi. İhlal hasarları arttıkça, birkaç CEO görevden alındı. Son olarak çok sayıda yönetici çağrıya cevap vererek kısa süreliğine güvenlik operasyonlarında sahne aldı.
Ama uzun sürmedi; dünya çapındaki şirketler, CEO’ların sessizce geri dönebilecekleri yeterince yüksek bir unvana sahip bir teknik lider sunan bir organizasyonel değişiklik (Bilgi Güvenliği Başkanı’nın (CISO) atanması) şeklinde riski BT’ye geri ertelemelerini sağlayan bir boşluk buldular. gölgeler. Çıkış, sağ sahne. Şaşırtıcı olmayan bir şekilde, 1994’te Citicorp tarafından şimdiye kadarki ilk CISO’nun (Steve Katz) atanmasına ilham veren şey, Rus bilgisayar korsanları tarafından gerçekleştirilen bir dizi siber saldırıydı. finansal hizmetler sektörü ve daha sonra diğerleri bu rolü benimsemiştir.
Peki, bu üst düzey yöneticiler sorumluluk aldı mı ve CISO rolü riski azalttı mı? Büyük ölçüde sahip olmadıklarını iddia ediyorum, ancak nedenini anlamak çok önemlidir. Saldırıların tehditleri, riskleri ve potansiyel sonuçları hakkında tam bir liderlik bilinci olmadan, BT ekipleri risk varlıklarını tam olarak anlamak ve azaltmak için gerekli desteği ve bütçeyi elde edemez. Ve nihayetinde, tartışacağımız gibi, CISO’lar ve BT bugün hala büyük ölçüde sorumluluk ve suçlamanın ön saflarında yer alıyor. Yine de, ne yazık ki, tepeden destek ve dış taraflardan kaynaklar olmadan güvenlik sonucunu etkileyemezler. Amacımız CISO’ları veya BT’yi kötülemek değil; bunun yerine, CIO rolü ve BT departmanının mevcut yapısı, desteği ve odağı göz önüne alındığında, bunların yetersiz sonuçlar elde etmeye ve işler ters gittiğinde tüm suçu üstlenmeye hazır olduklarını iddia edin.
CISO Modeli Siber Riski Ele Almakta Neden Hala Başarısız?
Şirketler CISO’ları atamak için uğraştığında çok fazla yaklaşık 10-15 yıl önce, bazıları ihtiyaçlarına uygun en deneyimli güvenlik ve uyumluluk liderleri olan yeni kan getirdi. Diğerleri, özellikle orta ölçekli işletme kademelerinde, mevcut kıdemli BT personelini unvana yükselterek yeniden organize oldular. Her iki durumda da, güvenliğin gerçek nihai hedefini daha da uzaklaştıran birkaç şey başardı (ve bu dinamik bugün de devam ediyor).
Birincisi, CEO/yönetim kurulu ile her gün çok fazla risk, çok az personel ve işi güvence altına almak için yetersiz bütçe tahsisi ile mücadele eden BT safları arasında bir tampon ve erteleme katmanı sağladı. Bunun için kurulları ve CEO’ları suçlamıyorum; güvenlik zor. Çoğu yönetici bunu anlamıyor; asla tam olarak çözemeyeceğiniz binlerce hareketli parçadan oluşan karmaşık bir sorun sunan oldukça teknik bir maliyet merkezi olarak kabul edilir. Kıdemli liderlerin birbiriyle çelişen birçok önceliği vardır ve bunların hepsi bütçe için feryat eder ve çözümler gerektirir. Bazıları teknik olarak çok bilgili olsa da çoğu değildir ve yükü omuzlayacak bir kişi bulmak bariz (yetersiz olsa da) bir çözümdür.
Ne yazık ki, yöneticiler bu sorumluluğu hiçbir zaman tam olarak devredemez çünkü veriler, kuruluşun işleyiş yeteneği için çok merkezidir. Üst düzey liderlik, yönetim kurulları ve hatta özel sermaye şirketleri kritik bütçe tahsis kararları aldığından, güvenlik açıklarını, olası çözümleri ve harekete geçmemenin gerçek dünyadaki sonuçlarını (anlayabilecekleri bir dilde) anlamaları sağlanmalıdır. Daha sonra, bütçe tahsislerine dayalı olarak hangi risklerin alınacağına ilişkin kararları sahiplenmeleri gerekir. CISO’lar güçlü bir unvana sahip olsalar da, günlük çalışmalarımızda yönetim kuruluna erişimlerinin, üst düzey liderliği etkilemek için gerçekten ihtiyaç duyduklarından daha az olduğunu görüyoruz. Bir sese ihtiyaçları var ve üst düzey liderliğin neyin tehlikede olduğunu gerçekten anlamasını sağlamak için doğru bilgiye ihtiyaçları var.
İkincisi, deneyimlerimize göre çoğu (ancak hepsi değil) CISO’lar, güvenlik programlarını NIST, CIS, HIPAA, FedRAMP ve benzerleri gibi zorunlu ve önerilen uyumluluk çerçeveleriyle uyumlu hale getirmeye oldukça odaklanmıştır. Bu çerçeveler, temeldeki güvenlik kontrollerinin ve teknolojinin bir ihlali önleyecek şekilde yapılandırılmasını ve düzenlenmesini sağlamaya yeterince odaklanmaz. Aynı zamanda statiktirler: çok hızlı değişen tehdit aktörü taktikleri veya hızla değişen kurumsal tehdit yüzeyi ile gerçek zamanlı olarak yinelenmezler. Diğer bir deyişle, CISO’lar ve BT ekipleri genellikle neyi bilmediklerini, yani tehditlerin çevrelerinde gerçekten nerede olduğunu, neyin ve nasıl düzeltilmesi gerektiğini bilmezler ve bu onları doğru bilgi sunma konusunda daha da zayıf bir konuma getirir. cüzdan iplerini tutanlara. Onları da suçlamıyorum; BT’nin çok geniş bir kontrol alanı var ve güvenlik odaklı personel bile uzun bir süre kendi tek kurumsal ortamlarındayken mevcut tehdit aktörü tekniklerine hızla ayak uydurabiliyor.
Son olarak, bu model feci bir ihlal durumunda CEO’yu ve yönetim kurullarını korumak için bir suçluluk katmanı sağlamış olsa da, ne olmuş yani? Kuruluşun mali durumu, itibarı ve pazar konumu bir yıkım yığını olduğunda (talihsiz, suçlanan CISO dışında) suçlama kimin umurunda? Suçlama anlamsız bir oyundur. Kuruluşun uygun güvenlik uygulamalarında ihmalkar olduğu tespit edilirse, çerçeveler ve yasal gerekliliklerle ne kadar uyumlu olursa olsun, toplu dava davalarının yine de caydırılmaması muhtemeldir. CISO’lar ve ilişkili ekipleri, bu yıkımı önlemeye odaklanmalı, böylece işletmeler, işler ve endüstri, gerçek riskin nerede olduğuna -yazılı politikalarında, düzenlemelerinde ve çerçevelerinde değil, altta yatan teknoloji yığınında ve onun yapılandırma ve orkestrasyon.
Bu, tüm kilit sistemlerin, uygulamaların ve kontrollerin harici, titiz ve düzenli değerlendirmelerinden yararlanılarak yapılabilir. Tehdit istihbaratı, bir kuruluşun teknoloji düzenlemesine uygulanmalıdır ve bu yalnızca, Sıfır Güven ilkesine göre bir risk kaydını çalıştıran bir CISO tarafından gerçekleştirilebilir. Sıfır Güven, tek veya bir dizi süreç, kişi veya ürün değildir; üçünün orkestrasyonudur. Bu faaliyetler, dahili/harici sızma testleri ve dahili ve harici güvenlik açığı taramaları (aylık en az) ile birlikte, daha sonra üst düzey yöneticilere anladıkları terimlerle (dolar ve olası zararlar). Yalnızca CISO veya BT’deki herhangi bir grup veya birey değil, bir ekip olarak faaliyet gösteren yönetici liderlik, kuruluş için keşfedilen riskleri kabul etmekten sorumlu olmalıdır.
BT Ekiplerinin Desteğe İhtiyacı Var: Yukarıdan Aşağıya ve Dışarıdan İçeriye
CEO’ların, yönetim kurullarının ve hatta özel sermaye şirketlerinin yeniden sahneye çıkma ve eğitim alma zamanı. Neyin tehlikede olduğunu gerçekten anlamaları çok önemli – asıl mesele kimin suçlanacağı değil. Bunlar dahil olmalı ve CISO’ların ve teknik ekiplerin organizasyonu güvence altına almak için ihtiyaç duyduğu liderliği ve kaynakları sağlamalıdır.
CEO’ların ve yönetim kurullarının birbiriyle yarışan birçok önceliği olduğu doğru. Ancak işletme feci bir ihlalle yok olduğunda, bundan daha büyük bir öncelik yoktur ve o zamana kadar, dikkatleri üzerine çekmek için genellikle çok geç kalınmıştır.
yazar hakkında
John A. Smith, Conversant Group’un ve BT altyapısı ve siber güvenlik hizmetleri işletmeleri ailesinin CEO’sudur. Üç teknoloji şirketinin kurucusudur ve 30 yılı aşkın kariyeri boyunca 400’den fazla kuruluş için güvenli altyapı tasarımı, inşası ve/veya yönetimini denetlemiştir. Halen birden fazla firmaya vCIO ve güvenilir danışman olarak hizmet vermektedir.
BT kariyerine 14 yaşında başlayan tutkulu bir uzman ve ulusal ve küresel siber güvenlik savunucusu John Anthony, düzinelerce yayını ve konuşmaları olan aranan bir düşünce lideridir. 2022’de Uluslararası Hukuk Teknolojisi Derneği’nin (ILTA’nın) ilk yıllık siber güvenlik kıyaslama anketinin tasarımını ve uygulamasını yönetti.
John Anthony, Chattanooga’daki Tennessee Üniversitesi’nde Bilgisayar Bilimi okudu ve Georgia, Lookout Mountain’daki Covenant College’dan Organizasyonel Yönetim derecesine sahip. John’a şirketimizin web sitesi https://conversantgroup.com/ adresinden çevrimiçi olarak ulaşılabilir.