Eğitim ve Güvenlik Liderliği
Siber Güvenlik ve Paydaş Teorisinin Yükselişi Üzerine CISO Marco Túlio Moraes
CyberEdBoard •
13 Ocak 2023
Yönetici Elon Musk, Twitter’ın CEO’su olduğundan beri, o sosyal medya platformunun geleceğini etkileyen en büyük konu aynı zamanda dijital iş dünyasının en önemli varlıklarından biri: güven.
Ayrıca bakınız: Kimlik Avının Anatomisi: Gelişmiş Kimlik Avı Saldırılarını Önlemek İçin En İyi Kimlik Doğrulama Uygulamaları
27 Ekim – 1 Kasım 2022 tarihleri arasında yaklaşık 900.000 Twitter kullanıcısı hesaplarını devre dışı bıraktı. Bu, haftalık devre dışı bırakmaların normal ortalamasının iki katından fazladır. Bu gösterge, siber yöneticilerin göçü, veri ihlalleri, güvenli olmayan ürünlerin piyasaya sürülmesi ve “dolandırıcıların cenneti” unvanı dahil olmak üzere Twitter kullanıcılarının karşı karşıya kaldığı kaosa yakınsıyor.
Sosyal medya işi tüm bu durumlarla başa çıkmak için daha iyi bir iş çıkarsa da, bunlar yalnızca o işe özgü riskler değildir. Her şirket, hem hissedarların hem de hissedarların beklentilerine dayalı olarak risk iştahını ve tolerans seviyelerini anlamalıdır. Finansal, kültürel ve teknolojik olabilecek risk profilini ve potansiyel kısıtlayıcı faktörleri göz önünde bulundurarak çözümler düşünmelidir.
Twitter’da olup bitenler için, aynı zamanda stratejik olan üç sibernetik risk alarm veriyor.
Jonathan Taplin, “Hızlı Hareket Et ve Bir Şeyleri Boz” kitabını yazdı. “Hızlı hareket edin ve siberi kırın”, siber güvenlik olmadan dijital ürünler piyasaya sürdüğünüzde olan budur.
Milton Friedman “Kapitalizm ve Özgürlük”te şöyle yazmıştı: “İş dünyasının tek ve tek bir sosyal sorumluluğu vardır – kaynaklarını kullanmak ve kârını artırmak için tasarlanmış faaliyetlerde bulunmak, yeter ki… aldatma veya dolandırıcılık.” Bu kâr modeli, siber güvenlik dahil birçok alana zarar vermekte, müşterilerin ve toplumun güvenini sarsmaktadır.
“Net Pozitif”te Paul Polman ve Andrew Winston, R. Edward Freeman tarafından geliştirilen ve kârın yanı sıra ekosistem, toplum, etkilenen bireyler, üçüncü taraflar ve azınlıklar hakkında endişelere izin veren paydaş teorisini savunuyorlar. Statükoyu daha kapsayıcı bir bakış açısıyla – sözde paydaş ekonomisi – değiştirmeyi amaçlayan güçlü bir hareket yolda. Bu hareket, dünyayı olumlu yönde etkilemeyi amaçlar ve yalnızca kâra odaklanan izole edilmiş modelden çok daha asildir.
Doğasında var olan riskleri analiz etmeden veya göz ardı etmeden dijital ürünleri piyasaya sürmek, kısa vadeli bir finansal kumar olabilir. Şirket bir siber olayla karşılaşmayacak kadar şanslıysa ve kullanıcıları ürüne güveniyorsa başarılı olur.
Twitter, sonuçları “tahmin eden” dahili ekibi tarafından uyarılan riskleri göz ardı ederek ücretli doğrulama sistemini başlatmaya karar verdi: Dolandırıcılar ve sahtekarlar, kullanıcıları ve şirketleri taklit ederdi. Twitter mavi onay işaretiyle olan da buydu.
Twitter tarafından onaylanmış bir kişi veya kuruluş olarak poz veren bir dolandırıcıdan gelen bir dolandırıcılık girişiminin gücünü hayal edebiliyor musunuz? Siber suçlar için mükemmel bir üründür. Elbette Twitter geri almak ve yeni ürünü duraklatmak zorunda kaldı. Şimdi şirket, kullanıcıyı doğrulamak için bir doğrulama süreci ile yeniden başlattı. Ancak platforma olan güvenin verdiği zarar devam ediyor.
Siber güvenlikteki rollerden biri, olayları tespit etmek ve bunlara uygun şekilde yanıt vermek için güvenlik olaylarını izlemek ve öncelik sırasına koymaktır. Bu, olayın işletmeler üzerindeki etkisini önlemeyi veya azaltmayı amaçlar.
Şirketler her gün binlerce güvenlik olayı ve olası olayla uğraşır. Bu tür operasyonları sürdürmek için teknoloji ve süreçlere ek olarak başka bir temel bileşen daha vardır – insanlar.
Günümüzün en büyük zorluğu siber güvenlik konusunda yetenek bulmaktır. En son (ISC) verilerine göre dünya çapında 4,7 milyon kişilik bir iş gücünde 3,4 milyondan fazla doldurulmamış iş var.2 raporlamak.
Yeteneği çekme ve elde tutma yeteneği, siber risk yönetimi için kritik öneme sahiptir.
Şirket zaten çalkantılı bir dönemden geçerken ve siber güvenlik yöneticisi ve diğer kilit kişiler şirketten ayrılmışken Twitter’ın kritik siber güvenlik operasyonlarını sürdürmek zorunda olduğunuzu hayal edin. Bu durum, operasyonel başarısızlıklara ve iş sürekliliği risklerine yol açabilir, siber riskleri yoğunlaştırabilir ve düzenleyicilerin endişelerini artırabilir.
Yeteneği çekme ve elde tutma yeteneği, siber risk yönetimi için kritik öneme sahiptir. Siber güvenliğe değer veren bir kültür oluşturmak ve sürdürmek, yeni dijital işletmelerin başarısı için çok önemlidir.
Ponemon’un 2022 İçeriden Öğrenenlerden Gelen Tehditlerin Maliyeti Küresel Raporu’na göre, içeriden öğrenenler, çalışanlar ve ihmalkar veya kötü niyetli üçüncü tarafların neden olduğu olayların ortalama yıllık maliyeti 15,4 milyon dolardı. Çalışma, 278 kuruluşu ve 6.800’den fazla güvenlik olayını analiz etti.
Teknoloji krizi, bu içeriden öğrenilenlerin riskini artırdı. Twitter’dakiler gibi büyük çaplı işten çıkarmalar ve zayıf güvenlik kontrolleri, hoşnutsuz insanların kötü niyetiyle birleştiğinde kişisel verileri ve ticari operasyonları riske atıyor. Twitter’ın yaptığı gibi insanlara saygısızlık ederek bu işlemi gerçekleştirmek riski büyütüyor.
Kuruluşunuzdaki en önemli siber riskler nelerdir? Kuruluşlarımızın dış olaylarla ve eğilimlerle nasıl yüzleştiğini anlamak ve gözden geçirmek önemlidir, ancak asıl adım, ana riskleri ve bunların nasıl yönetileceğini anlamaktır.
Birincil siber riskleri belirledikten sonra, bunlara karar vermek için kriterleri ve süreçleri gözden geçirerek başlayın. Düşük seviyeli ve yüksek seviyeli riskler nasıl kabul edilir, kaçınılır, aktarılır veya hafifletilir? Dijital ürünlerin piyasaya sürülmesi gibi ana iş süreçlerinin siber güvenlik girişimleriyle nasıl bağlantılı olduğunu ve tersinin nasıl olduğunu anlayın.
Minimum siber risk yönetimi yeteneklerine sahip olduğunuzda, yapınızın ve organizasyon kültürünüzün bu yetenekleri sağlayıp sağlamadığını belirleyin.
- Siber güvenlik ekibi ne kadar çeşitli?
- Liderlik profilleri nelerdir?
- Gündem, iş birimlerinin günlük faaliyetlerine mi dahil ediliyor yoksa sadece güvenlik alanıyla mı ilgili?
- Farklı risk senaryolarıyla başa çıkmak için hangi kontroller yürürlükte?
Ne yazık ki, siber riskler 280 karakterle sınırlandırılamadığından siber güvenlik sorunu bir süre daha devam edecek.
CyberEdBoard, ISMG’nin güvenlik, risk, mahremiyet ve BT alanlarında en üst düzey yöneticilerden ve düşünce liderlerinden oluşan, üyelere özel önde gelen topluluğudur. CyberEdBoard, dünya çapında 65 farklı ülkede bulunan binlerce CISO ve üst düzey güvenlik lideri tarafından paylaşılan karmaşık zorlukların üstesinden gelmek için yöneticilere güçlü, akran odaklı işbirliğine dayalı bir ekosistem, özel toplantılar ve bir kaynak kitaplığı sağlar.
Topluluğa Katılın – CyberEdBoard.io.
üyelik başvurusu
Marco Túlio Moraes, teknoloji ve siber güvenlik alanında 20 yılı aşkın deneyime ve finans piyasasında ve startup’lar ve fintech’ler gibi yerel dijital şirketlerde deneyime sahiptir. Brezilya’daki ilk siber güvenlik programlarından birini geliştirdiği Red Ventures, Experian, MUFG ve AES gibi Fortune 500 şirketlerinde stratejik programlara liderlik etti. 2019, 2020 ve 2021 yıllarında farklı uluslararası kuruluşlar tarafından üst düzey güvenlik yöneticilerinden biri olarak tanındı ve IDG tarafından tanınan en iyi 50 güvenlik şefinden biri oldu.