Bütçe sezonu. Bir kez daha, güvenlik sorgulanıyor, inceliyor veya depricat ediliyor.
Eğer bir CISO veya güvenlik lideri iseniz, muhtemelen programınızın neden önemli olduğunu, belirli bir aracın veya personel sayısının neden önemli olduğunu ve bir sonraki ihlalin nasıl bir kör nokta uzakta olduğunu açıkladığınızı buldunuz. Ancak bu argümanlar, kurulun anlayabileceği ve takdir edebileceği bir şekilde çerçevelenmedikçe genellikle yetersiz kalır.
Bir Gartner analizine göre, kurulların% 88’i siber güvenliği bir BT sorunu yerine iş riski olarak görüyor, ancak birçok güvenlik lideri hala siber güvenlik profilini kuruluş içindeki profilini yükseltmek için mücadele ediyor. Güvenlik sorunlarının kurul arasında yankılanması için dilini konuşmanız gerekir: iş sürekliliği, uyumluluk ve maliyet etkisi.
Aşağıda, teknik ve karmaşık olanı net iş direktiflerine dönüştüren konuşmayı çerçevelemenize yardımcı olacak bazı stratejiler bulunmaktadır.
Yüksek riskleri tanıyın
Siber tehditler, fidye yazılımı ve tedarik zinciri saldırılarından gelişmiş kalıcı tehditlere kadar gelişmeye devam ediyor. Hem büyük işletmeler hem de orta ölçekli kuruluşlar hedeftir. Bir ihlalin iş etkisi önemlidir. Operasyonları bozar, itibarına zarar verir ve önemli cezalara neden olur. Bundan kaçınmak için kuruluşlar sürekli tehdit maruziyet yönetimi gibi proaktif bir yaklaşım benimsemelidir. Sık, otomatik test yoluyla devam eden doğrulama, yeni saldırı vektörlerinin yükselmeden önce tanımlanmasına yardımcı olur.
Güvenlik stratejisini iş hedefleriyle hizalayın
Kurul, güvenlik bütçelerini korku veya belirsizliğe göre onaylamaz. Stratejinizin geliri nasıl koruduğunu, çalışma süresini koruduğunu ve uyumluluğu desteklediğini görmek istiyorlar. Bu, teknik hedeflerin iş girişimleriyle uyumlu sonuçlara dönüştürülmesi anlamına gelir. Ölçülebilir KPI’ları tespit etme veya düzeltme zamanı tanımlayın ve yol haritanızı yeni sistem sunumları veya birleştirmeler ve devralmalar gibi yaklaşan projelerin yanı sıra konumlandırın.
Risk odaklı bir çerçeve oluşturun
Daha fazla bütçe istediğinizde, önceliklendirme göstermeniz gerekir. Bu, temel varlıklarınızı, müşteri verilerinizi, tescilli sistemleri ve altyapınızı tanımlayarak ve kategorize ederek başlar. Mümkün olduğunda, bir ihlalin işletmeye ne kadara mal olabileceğini ölçün. Bu, kabul edilebilir risk eşiklerini tanımlamaya yardımcı olur ve yatırımları yönlendirir.
ABD merkezli bir sigorta sağlayıcısı olan müşterilerimizden biri, çok fazla müşteri PII’ye sahip olan poliçe sahibi veritabanının ihlalinin, işletmeye düzenleyici para cezalarında 5 milyon dolardan fazla mal olabileceğini tahmin etti. Bu projeksiyon, bu varlığa yol açabilecek ve çevresindeki güvenlik kontrollerini doğrulayabilecek güvenlik açıklarına öncelik vermelerine yardımcı oldu. Güvenlik çabalarını yüksek değerli varlıklara odaklayarak, güvenliklerini en önemli olduğu yerde güçlendirdiler ve Kurul’a yatırımın neden haklı olduğunu tam olarak gösterebilirler.
Davanızı güçlendirmek için endüstri standartlarını kullanın
ISO 27001, NIST, HIPAA ve PCI DSS gibi düzenlemeler ve çerçeveler, davanızı yaparken yararlı müttefiklerdir. İyi güvenlik hijyeni için bir temel sağlarlar ve liderliğe kararlarını demirlemeye tanıdık bir şey verirler. Ancak uyum güvenliği garanti etmez. Boşlukları vurgulamak ve doğrulamanın gerçek dünyadaki koruma katmanı nasıl eklediğini göstermek için denetim geri bildirimlerini kullanın.
COFCO International’dan Ciso Jay Martin, yakın zamanda Pentera barındırılmış bir panelde “En iyi uygulamalar etrafında bütçe talepleri oluşturduk, ancak işe yarayan, nerede maruz kaldığımızı ve ne kadar hızlı düzeltebileceğimizi göstermekti.”
Yönetim kurulu odasında duran bir iş vakası hazırlayın
Güvenlik yatırım getirisi sadece maliyet tasarrufu ile ilgili değildir. Bu, kayıplardan, ihlallerden, kesinti, yasal cezalar ve marka hasarından kaçınmakla ilgilidir. Otomatik güvenlik doğrulaması, geleneksel araçların kaçırdığı pozlamaları ortaya çıkararak erken kazançlar gösterir. Bunlar, yanlış yapılandırmalar, aşırı izinler ve ortamınızda sömürülebilir olduğu kanıtlanmış sızdırılmış kimlik bilgilerini içerir. Bu, gerçekte gerçekleşmeden önce bir saldırı olasılığını kanıtlar. Bu tür kanıtlar, riskin tam olarak nerede olduğunu ve ne kadar hızlı düzeltilebileceğini göstermektedir. Liderliğe programı genişletmek için açık bir neden sunar ve güvenliği sadece bir maliyet merkezi değil, bir iş sağlayıcısı olarak konumlandırır.
Her kitle için doğru mesajla iletişim kurun
Kurullar, geliri koruyor, düzenleyici cezalardan kaçınıyor veya bir ihlalin finansal serpilmesini azaltıyor olsun, güvenlik kararlarının işi nasıl etkilediğini anlamak istiyor. Güvenlik ekiplerinin operasyonel ayrıntılara ihtiyacı vardır. Bu boşluğu doldurmak rolünüzün bir parçasıdır. Mesajınızı her grup için uyarlayın ve mümkün olduğunca gerçek örnekler kullanın. Benzer sektörlerdeki kuruluşların yanlış adımlardan nasıl etkilendiğine veya proaktif yatırım sayesinde başarılı olduklarına dair hikayeleri paylaşın. Planınızın departmanlar arasında nasıl uyum sağladığını ve paylaşılan hesap verebilirlik kültürü oluşturduğunu gösterin.
Gerçek testlerle ortaya çıkan tehditlerin önünde kalın
Siber saldırılar hızla gelişir. Geçen çeyrekte var olmayan tehditler bugün en büyük riskiniz olabilir. Bu nedenle güvenlik doğrulamasının devam eden bir uygulama olması gerekir. Saldırganlar üç aylık inceleme döngünüzü beklemiyor ve savunmalarınız da olmamalıdır. Sık otomatik penetrasyon testleri, altyapı, bulut ortamları ve ortak sistemlerdeki kör noktaları ortaya çıkarmaya yardımcı olur.
Sürekli test ayrıca, kurulunuzun mevcut tehditler için, özellikle de başlıklara hakim olan yüksek profilli tehditler için tam olarak ne kadar hazır olduğunuzu göstermenizi sağlar. Kuruluşunuzun zaman içinde bu tehditlere karşı nasıl durduğunu izlemek, ilerlemeyi göstermeniz için net bir yol sağlar. Bu şeffaflık seviyesi güven yaratır ve konuşmayı korku ve belirsizlikten hazırlığa ve ölçülebilir iyileştirmeye kaydırmaya yardımcı olur.
Bütçe atıklarından kaçının
Çok fazla güvenlik Her çözümün belirli bir ihtiyaçla eşleştiğinden emin olun. Sadece lisanslar için değil, aynı zamanda eğitim ve operasyonel destek için de bütçe. Düzenli araç denetimleri, çabaları kolaylaştırmanıza, fazlalığı azaltmanıza ve harcamaları en fazla değeri sağladığı yere odaklamanıza yardımcı olabilir.
Ölçeklenebilir, savunulabilir bir bütçe planını sonuçlandırın
En güçlü bütçe planları, kategoriye göre harcamaları yıkıyor: önleme, tespit, yanıt ve doğrulama ve her alanın daha büyük resme nasıl katkıda bulunduğunu göster.
Her kararın değer sağlamaya devam etmesi için planınızın işle nasıl ölçeklendiğini gösterin. Yeni bölgelere genişlemeyi desteklemek için, küresel bir imalat işletmesi varlıkları sertleştirmek ve güvenlik kontrollerini yapılandırmak için en iyi uygulamaları oluşturmak üzere otomatik güvenlik doğrulamasını kullandı. Başlangıçtan itibaren sürekli validasyon içerdikleri için, manuel test maliyetinden ve ekstra kaynak tahsis etmenin operasyonel zorlamasından kaçındılar. En önemlisi, saldırganların yararlanabilmesi için gerçek maruziyetleri ortaya çıkararak ve iyileştirerek genişlemeleri boyunca güçlü bir güvenlik duruşu sürdürdüler.
Paketet: Güvenliğin iş değerini kanıtlayın
Güvenlik artık bir maliyet merkezi değil, bir büyüme sağlayıcı. Kontrollerinizi sürekli olarak doğruladığınızda, konuşmayı varsayımlardan kanıtlara kaydırırsınız. Bu kanıt, tahtaların görmek istediği şeydir.
Avantajınıza göre standartları kullanın. Sadece beklentileri karşıladığınızı değil, riski aktif olarak azalttığını gösterin. Ve her şeyden önce, akıllı, devam eden siber güvenlik yatırımının bugün işi koruduğu ve yarın için esneklik yarattığı davayı yapmaya devam edin.
Bir kerelik denetimlerin ve yıllık incelemelerin ötesine geçmek için, Kurula risk nasıl iletileceğine dair keçi kılavuzumuza göz atın. Sadece kuruluşunuzu savunmak için değil, aynı zamanda güvenlik stratejinizin de çalıştığını kanıtlamak için sürekli doğrulamayı nasıl kullanacağınızı gösterir.