Geçen hafta BT Güvenlik Gurusu ekibi Cydea’nın Londra’daki Risk Yönetimi Platformu lansmanına katıldı. Etkinlikten sonra Cydea CEO’su ve Kurucusu Robin Oldham, risk yönetimi ve işletmelerin bunu ciddiye almasının neden kritik olduğu hakkındaki bazı soruları yanıtlamak için Gurularla bir araya geldi.
2019 yılında kurulan Cydea, riskin gerçekten anlaşılması söz konusu olduğunda korkuyu, belirsizliği ve şüpheyi ortadan kaldırmak için yola çıktı. Riski tamamen ortadan kaldırmayı değil, yönetmeyi hedeflerler. Sorma: ne kadar muhtemel?
Öncelikle yeni Cydea Risk Yönetimi platformu nedir? Ekibe göre platform, işletmelere yönelik tehditleri finansal açıdan ölçerek, iş güvenliğiyle ilgili farklı senaryoların sonuçlarını görselleştirmelerine olanak tanıyacak şekilde ayarlandı. Şirket, risklere ve siber tehditlere parasal değer vererek yeni platformunun Yönetim Kurulu düzeyinde iletişimi geliştirmek, karar almayı hızlandırmak, yatırımları optimize etmek ve tüm paydaşlar arasında işbirliğini teşvik etmek için tasarlandığını söylüyor. Buna iş liderleri, CISO’lar, BT ekipleri ve güvenlik profesyonelleri dahildir; bunlar iş için siber güvenlik risklerini önceliklendirip azaltır ve mevzuat uyumluluğunun karşılanmasına yardımcı olur.
Peki bu kurullar için neden önemli? Peki siber söz konusu olduğunda bütçenin dikkate alınması neden bu kadar zor?
Robin’e göre: “Siber güvenliğin yönetim kurulları için yüksek bir öncelik olduğunu biliyoruz: %75 öyle olduğunu söylüyor. (Bakınız: DSIT). Ancak pek çok güvenlik ekibi yönetim kurulunun anlayabileceği şekilde sunum yapmıyor ve bu nedenle ilgi çekmekte zorlanıyor. Bu şaşırtıcı değil: “olası” farklı kişiler için %30 ila %80 arasında bir anlam ifade edebilir ve renkleri toplamayı hiç denediğinizden emin değilim? Sonunda çamurlu bir karmaşa ortaya çıkıyor! Ayrıca çoğu kişi için ‘bütçe talebi’ bir sürecin doruk noktası olmaktan ziyade üst düzey görüşmeler için ilk kez yapılan bir görüşmedir.”
“Platformumuz, güvenlik ekiplerinin ilk günden itibaren iş arkadaşlarıyla daha iyi etkileşim kurmasına yardımcı oluyor. Önemli ticari faaliyetler nelerdir? Kuruluşun hedeflerine nasıl katkıda bulunuyorlar? Bunları nasıl modelleyebiliriz? Kıdemli meslektaşlarınızı en baştan dahil ettiğinizde, onlar zaten isteğinizin sonuçlarının farkındadır ve bu sonuçlara güvenirler. Ve finansal ölçüm de işin en önemli kısmı: yatırım getirisi hemen belli oluyor!”
Cydea’nın Risk Yönetimi Platformu, şu anda hızla gelişen popüler bir hizmet olarak model üzerine kurulmuştur.. Hizmet olarak modelin risk yönetimine nasıl katkı sağladığını düşünüyorsunuz? Bu neden Cydea için bir sonraki adımdı?
“Risk yönetimi hiçbir zaman yapılmaz. Siber tehdit ortamı sürekli olarak gelişmektedir. Cydea için bu, güncelliğini hemen yitiren ve rafta toz toplayan tek seferlik raporlardan, müşterilerin kalıcı faydalar elde etmesine yardımcı olmaya geçiş anlamına geliyor. Abonelik modeli ayrıca, geliştikçe yeni kontrol ve uyumluluk çerçeveleri için destek eklememize de olanak tanıyarak müşterilerin her zaman güncel bilgilere sahip olmasını sağlıyor.”
“Cydea’yı kurduğumdan beri şunu söyledim: Eğer biz ve müşterilerimiz bir şeye gerçekten inanırsak o zaman onu kanunlaştırırız. Birçok danışmanlık için bu, geçici rapor ve sunum şablonları biçimindeki ‘hızlandırıcılar’ anlamına gelir, ancak bizim için bu şu anlama gelir: Gerçekten onu kodluyor. Ayrıca, verilerin hangi formatta ve kalitede olacağını bildiğimizden, sonraki danışmanlık görüşmeleri de daha uygun maliyetli olacaktır.”
Platform, birden fazla iş lideri ve BT ekibiyle görüştükten sonra oluşturuldu. Bu müşterilerle birlikte çalışan Cydea, işletmelere ve onların ihtiyaçlarına uygun ve teknoloji yığınlarına sorunsuz bir şekilde entegre edilebilecek bir ürün geliştirdi.
Kuruluşlar risk yönetimini nasıl geliştirebilir?
“Birçok kuruluşun risk yönetimi süreçlerinde yeterince tanımlanmamış, niteliksel terimler kullandığını görüyoruz. Bizim ve NATO’nun araştırmaları “olasılığın” %30 ila %80 arasında herhangi bir şey olarak yorumlanabileceğini gösterdi. Bir şeyin daha fazla dikkat gerektirip gerektirmediğine karar vermek söz konusu olduğunda bu büyük bir farktır.
“Yaygın ‘5×5’ risk matrisi aynı zamanda sonuçları sunmanın gerçekten düşük çözünürlüklü bir yoludur. Risk analizinin yapılmasına önemli miktarda zaman ve kaynak harcanıyor, ancak bu analizin 25 farklı pozisyondan birine indirgenmesi gerekiyor.”
“Ortamlarındaki her bir cihazın durumunu anlamaya çalışmak yerine, ‘yukarıdan aşağıya’ başlamanın, gelir, personel sayısı vb. gibi ortak iş ölçümlerine dayalı olarak risk duruşunu hızlı bir şekilde değerlendirmenin ve iş faaliyetlerini modellemenin daha iyi olduğuna inanıyoruz. ”
Platform, birden fazla iş lideri ve BT ekibiyle görüştükten sonra oluşturuldu. Bu kuruluşlarla birlikte çalışan Cydea, işletmelere ve onların ihtiyaçlarına uygun ve teknoloji yığınlarına sorunsuz bir şekilde entegre edilebilecek bir ürün geliştirdi.
Bu, ürünü nasıl bilgilendirdi? Şu anda kuruluşların en büyük sıkıntı noktaları neler?
“Her zaman müşterilerle ve onlar için neyin önemli olduğuyla başlıyoruz. Cydea Risk Platformunu oluşturmak da farklı değildi. Müşteriler, tasarım ortakları ve ilk benimseyenlerin tümü, yaptıklarımızı doğrudan şekillendiren kullanıcı araştırmamıza katkıda bulundular. Lansmanla birlikte bu kadar olumlu geri bildirimler almamıza bunun büyük bir katkısı olduğunu düşünüyorum.”
“Kuruluşun doğru alanlara zaman ve kaynak yatırımı yapıp yapmadığını bilme çabası. Her şeyi yapamazsınız; bu nedenle risk değerlendirmesi, ister zaman ister finansal olsun, bu yatırımın nasıl önceliklendirileceğinin önemli bir parçasıdır. Cydea Risk Platformu, kuruluşların siber risk hakkında daha iyi konuşmalar yapmasına yardımcı olur. İnsanların siber risklerini, neyin kabul edilebilir olduğunu ve bu konuda ne yapacaklarını hızlı ve net bir şekilde modellemelerine olanak tanıyor.”
“Aynı zamanda güvenlik ekiplerinin kaydettikleri ilerlemeyi göstermelerine de yardımcı oluyor: belirli bir senaryo hakkında bilgi sahibi olduklarında, bunu nasıl değerlendirdiklerinde, iyileştirme planlarının durumu ve diğer rutin hijyen operasyonlarının tamamında. Kaluza bunu haftalık, aylık ve yıllık güncellemelerinin bir parçası olarak stratejik seviyeye kadar kullanıyor.”
Müşteriler ne diyor?
Gecede Kaluza’dan bir temsilci konuştu. Kullandıkları araçların ve kullandıkları güvenlik planlarının sonuçlarını somut bir şekilde gösterme yeteneğinin gerçek bir güç olduğunu belirttiler. Bunu gerçek zamanlı olarak yapabilmek mümkün mü? İş uygulamalarıyla bütünleşecek şekilde mi? Daha iyi.