Editörün notu: Aşağıdakiler, Infinite Blue’nun başkanı ve CEO’su Frank Shultz’un konuk makalesidir.
Menkul Kıymetler ve Borsa Komisyonu (SEC), şirket yönetim kurullarının siber güvenlik olaylarını yatırımcılara ve düzenleyicilere daha hızlı ifşa etmesini gerektiren yeni bir kural uygulamayı planlıyor.
Bu harika bir haber. Şimdiye kadar ifşaat konusunda genel olarak kötü bir iş çıkarmış olan halka açık şirketler arasında şeffaflığı ve hesap verebilirliği artıracaktır.
Ancak sadece bir olayın yaşandığını kabul etmek yeterli değildir. Kuruluşlar kendilerini koruma konusunda gerçekten ciddileşmek istiyorlarsa, olayları meydana geldiklerinde ele almak için sağlam bir sisteme sahip olmaları gerekir.
Ve hiç şüphe olmasın: Olmaya devam edecekler.
Bir ihlal meydana geldiğinde, liderler hasarı azaltmak ve daha fazla zararı önlemek için hangi önlemlerin alınacağını hemen bilmelidir. Bu, önceden bir afet planına sahip olmak anlamına gelir.
Bu plan, belirli bir senaryoda izlenecek kesin talimatlar içeren statik olamaz. Bir kriz çıktığında kimse bunları kullanmaz, çünkü bunlar belirli kullanım durumlarına fazlasıyla bağlıdır.
Bunun yerine kuruluşların katı kurallar yerine geniş ilkeleri izleyen esnek planlara ihtiyacı vardır.
Bu ilkelerden biri, çeşitli dahili sistemler arasındaki karşılıklı bağımlılıkları ve üçüncü taraf sağlayıcılara olan bağımlılıkları anlamaktır.
Yöneticilerin, verilerinin ve sistemlerinin harici olarak barındırılıp barındırılmadığını, hizmet düzeyi anlaşmalarının ve çalışma süresi garantilerinin ne olduğunu ve gerekirse daha iyi ve daha dayanıklı bir sağlayıcıya geçme seçeneklerinin olup olmadığını bilmeleri gerekir.
Liderler, kriz başladığında nasıl tepki vereceklerini de tam olarak bilmelidir. İhlallere erişimi kesmek için “sonlandırma anahtarını” çekme yetkisine kim sahiptir? Bir şeyden şüphelendiklerinde hangi çalışanları arayacaklar? Kimin döngüde olması gerekiyor? Saldırıyı harici olarak ifşa etme yükümlülükleri nelerdir ve hangi zaman veya etki eşiklerinde?
En kötü durum senaryosu
Yöneticiler kıyamet günü senaryolarını kafalarında canlandırmalı ve böyle bir durumda ne yapacaklarını bilip bilmeyeceklerini kendilerine dürüstçe sormalıdır.
Bir kötü amaçlı yazılım saldırısı nedeniyle bir saat içinde 10.000 dizüstü bilgisayar bombalanırsa, tüm bu cihazları hızlı bir şekilde kurtarmayı ve yeniden görüntülemeyi bilirler mi? Yoksa işleri bir haftalığına mı çöker?
Hazırlıklı olmak aynı zamanda bir olay öncesinde doğru teknoloji ve siber güvenlik danışmanlarının çalışır durumda olması anlamına gelir. Şirketler, kilit süreçlerini ve hizmetlerini destekleyen kritik sistemleri tanımlamalı ve izinsiz giriş tespit sistemleri, güvenlik duvarları ve aktif ve pasif taramalar gibi tuzak tellerini devreye sokmalıdır.
Üçüncü taraf izleme sistemleri, şirketlerin bir saldırı gerçekleşmeden önce potansiyel güvenlik açıklarını belirlemesine yardımcı olabilir. Kuruluş bir siber güvenlik danışmanıyla anlaştıysa, liderler onların kim olduklarını bilmeli ve onlarla hemen iletişim kurabilmelidir.
İşletmeler, sızma testi ve sosyal mühendislik testi gibi düzenli üçüncü taraf denetimleri gerçekleştirmeli ve çalışanlarına olası tehditleri nasıl tanıyacakları ve bunlara nasıl yanıt verecekleri konusunda eğitim vermelidir. Buna içeriden tehdit eğitimi, güvenlik eğitimi ve kimlik avı simülasyonları dahildir.
Hızlı harekete geçmenin yanı sıra liderler, bir siber saldırının işlerini nasıl etkileyeceğini de belirleyebilmelidir. Bunu hızlı ve doğru bir şekilde yapmayı umuyorlarsa, önceden bir iş etki analizi (BIA) yapmalıdırlar.
Bu formalite icabı bir uygulama olarak değil, kuruluş için önemli bir öncelik olarak ele alınmalıdır. Liderlik, bunu BIA’nın planlanmasıyla ilgili olan herkese ilettiğinden emin olmalıdır.
Ne demeli
En önemlisi, CEO’ların bir siber olay meydana geldiğinde iç ve dış iletişimi yönetmek için bir stratejisi olmalıdır. Sorular kaçınılmaz olarak sorulacak ve onları cevaplamaya hazır olmaları gerekiyor.
Kullanıcılar, çalışanlar, hissedarlar, müşteriler ve toplumla olan etkileşimlerinde kullandıkları üslup ve üslup titizlikle ele alınmalıdır. Tek bir yanlış not bile, ilgili tarafları, organizasyonun içinden asla çıkamayacağı bir çılgınlığa sürükleyebilir.
Son olarak, liderlerin siber olaydan çıkardıkları dersleri ileriye dönük genel siber güvenlik stratejilerine entegre edecek bir süreçleri olmalıdır.
Pek çok şirket, en kötünün geride kaldığını varsayarak saldırılardan uzaklaşıyor ve daha da yıkıcı sonuçlara yol açabilecek başka bir saldırının ufukta olabileceğini fark etmiyor. Veya daha büyük etkiye ve olasılığa sahip olabilecek diğer tehditlerle ilgili at gözlüğü takarak son olaya odaklanmak için çok fazla zaman harcayabilirler.
Bir siber saldırıya hazırlıklı olmak, yalnızca kullanıcı verilerini veya işletmeyi korumakla ilgili değildir, aynı zamanda şirketinizin itibarını korumakla da ilgilidir. Yöneticiler, bir ihlalin yanlış yönetilmesinin sadece operasyonel bir baş ağrısı değil, aynı zamanda bir halkla ilişkiler kabusu olacağını anlamalıdır.