NBN Co, ağ operatörünün hükümetin siber güvenlik stratejisine uymasına yardımcı olacak ve aynı zamanda güvenlik fonksiyonunun bir iş kolaylaştırıcısı olarak dahili konumunu koruyacak yeni bir beş yıllık güvenlik stratejisi üzerinde çalışıyor.
Resim kredisi: NBN Co.
Konuşmak iTnews Podcast’i, Baş güvenlik sorumlusu Darren Kane ayrıca, güvenlik riskini yöneticilere ve yönetim kuruluna dolar cinsinden iletmeyi amaçlayan risk ölçümleme çalışmalarına da dikkat çekti.
Kane, NBN Co’nun yeni beş yıllık stratejide belgelenen güvenlik stratejisi ve yaklaşımına ilişkin üst düzey bir görüş sundu.
“Beş yıllık bir güvenlik stratejimiz var ve yeni bir stratejiye başladık” dedi.
“NBN’deki misyon, tüm Avustralyalıların dijital yeteneklerini yükseltmektir, dolayısıyla beş yıllık güvenlik stratejimiz açıkça bu misyonla oldukça yakından uyumludur.
“Ayrıca stratejinin yaşayan bir belge olması gerektiğine de inanıyorum. Stratejinin çevik, esnek olması ve stratejiyi oluştururken fark etmemiş olabileceğimiz farklı fırsatları, tehditleri ve riskleri karşılaması için bir kapasiteye sahip.”
NBN Co, hem fiziksel hem de siber güvenliğin birleşik bir güvenlik fonksiyonunu yürütüyor ve strateji, şirket içinde paylaşılan sorumluluk modelini, temel risk ve yönetişim yapılarını ayrıntılı olarak açıklıyor.
Amaçlardan biri, hükümetin Koruyucu Güvenlik Politikası Çerçevesi (PSPF), ASD’nin Temel 8’i ve NIST siber güvenlik çerçevesiyle uyumluluğu göstermektir.
Stratejide ayrıca NBN Co’nun Kritik Altyapı Güvenliği (SoCI) Yasası kapsamındaki gereksinimlerini nasıl karşıladığı ve hükümetin 2023-30 siber güvenlik stratejisi de dikkate alınıyor.
Kane, “Çok farkındayız ve aslında tam uyumlu olmaya ve buna göre yönlendirilmeye çalışıyoruz” dedi.
Yeni stratejinin üçüncü taraf risk yönetimi ve insanlarla ilgili zorlukları da ele aldığını ve genel amaçlardan birinin güvenliği bir iş kolaylaştırıcısı olarak konumlandırmaya devam etmek olduğunu sözlerine ekledi.
Kane, “Güvenliği gerçekten bir fırsat olarak ele alırsanız ve güvenlik riskini felaket boyutuna taşımaya odaklanmazsanız, bundan neredeyse rekabet avantajı elde edebilirsiniz” dedi.
Birleşik güvenlik
NBN Co, fiziksel, insan/İK ve BT güvenliğinin tek bir fonksiyonda ve tek bir yönetici altında toplandığı birleşik güvenlik modelini benimseyen Avustralya’daki ilk büyük kuruluşlardan biriydi.
Kane, bu yapının, güvenliğin her bir parçasının ürettiği “tüm verilerin” nihai kontrolünün tek bir kişiye ait olduğu anlamına geldiğini belirtti.
“Bu size güvenlik riski ve bunun nasıl en iyi şekilde kontrol edileceği konusunda daha eksiksiz bir resim sunuyor” dedi.
“Eğer tüm bu verilerin mülkiyeti sizde değilse, mülkiyeti gerçekten aramalısınız, aksi takdirde tam bir resim elde edemezsiniz.
“Şimdi, bütçe ve kaynak için gerçekten mücadele edene kadar bu çok önemli değil. Ve bir PIR olana kadar da çok önemli değil [post-incident report]aslında neyin yanlış gittiğini ve neden bir ihlal yaşadığınızı belirlemeye çalıştığınızda.
“Eğer tek bir sorumlu sahibiniz varsa, bu o kişinin sorumluluğudur. Eğer birden fazla sorumlu sahibiniz varsa, aslında neden işe yaramadığının bir sürecini işlemeniz gerekir.”
Kane’in belirttiği tercih, “şirket, yönetim kurulu ve kuruluşun sahipleri olan Avustralya topluluğu tarafından benden beklenen düzeyde güvenlik riskini yönetme yetkisine ve kontrolüne sahip olmak”tır.
Risk nicelemesi
Kane ayrıca, diğer üst düzey yöneticilerin riski iletmek için kullandıkları dille tutarlı olacak şekilde, güvenlik riskini finansal veya dolar cinsinden ölçme konusundaki ilgisini de dile getirdi.
Kane, iş dünyasında yöneticilerin ve yönetim kurullarının güvenlik konusunda artık çok fazla meşgul olduğunu belirtirken, daha net iletişim kurabilmenin bir sorumluluk olduğunu söyledi.
“Onlarla iletişim kurma şeklimin basit ve karmaşık olmamasını sağlama konusunda da üzerimde bir sorumluluk olduğunu düşünüyorum” dedi.
“Onların riskin ne olduğunu ve riski yönetmelerine yardımcı olmak için onlardan ne gibi destek talep edebileceğimi gerçekten anlamalarına yardımcı oluyor.
“Sanırım sektör bunu pek iyi yapmıyor. Bence kısaltmalar ve tuhaf isimler kullanıyoruz… ‘kötü oyuncu’, ‘saldırı yüzeyi’ gibi ve şu anda sevdiğim şey – 20 yılımı insanları bana güvenmeye ikna etmeye çalışarak geçirdim ve sonra aslında C-suite’te sıfır güven kavramını açıklamaya çalışıyorum.
“Sadece yarı yarıya fazla akıllı olarak kendi işimizi kendimiz için zorlaştırdığımızı düşünüyorum.”
Kane, güvenlik iletişiminin vurgusunun “günlük dil” veya “finans gibi ticaret dili” üzerinde olması gerektiğini söyledi.
“Bu yüzden güvenlik riskini belirlemede risk nicelemesinin büyük bir savunucusuyum. Bunu henüz mükemmelleştiremedim ama bu yolda iyi ilerliyorum,” dedi.
“Üst düzey yöneticilerin artık risklerin ve olası olumsuzlukların ne olduğunu çok iyi anladığına inanıyorum.
“Aslında bunun dolar bazında nasıl görüneceğini ve bunun sağlanabilecek risk niceliğini anlamak istiyorlar.
“Ticaret dilini gerçekten kullanarak, CEO, CFO, COO ve baş müşteri yöneticisinin tam olarak ne söylediğimi ve nasıl açıkladığımı anlayacağını düşünüyorum.
“Etkili kontrolün ne olduğunu, nasıl çalıştığını söylemek, tuhaf kısaltmalar kullanmak veya yalnızca sektördekilerin anlayabileceği başka özel güvenlik dili kullanmak zorunda kalmadım.
“Her şey dolar ve sent cinsinden.”