Menkul Kıymetler ve Borsa Komisyonu, 5 Eylül’de önemli siber güvenlik olaylarının ifşa edilmesine yönelik yeni gereklilikler getirerek kuruluşlara sağlam raporlama mekanizmaları benimsemeleri konusunda baskı uyguladı.
Üst düzey yöneticilerin etkisi açıktır: Şirket liderliği, bir olayın iş operasyonları açısından önemli olup olmadığını hızlı bir şekilde belirleyebilmelidir. Bu noktada dört iş günü süresi işlemeye başlıyor; bu, halka açık şirketlerin olayı SEC’e açıklamasının gerekli olacağı bir pencere.
Bu değişiklik, CIO’ları harekete geçirecek ve ilgili sistemler ve platformlar genellikle onların yetki alanına girdiğinden siber güvenlik uzmanlığını ön plana çıkaracak. Yöneticilerin, farklı paydaşları ve işlevleri hızlı bir şekilde birbirine bağlayan kurumsal kolaylaştırıcılar olarak hareket etmeleri gerekecektir.
Güvenlik rolleri SEC kurallarında da vurgulanan CISO’lar sıklıkla CIO’nun ofisine rapor veriyor ve bu da onları uyumluluk sürecinin kritik bir parçası haline getiriyor.
Forrester Başkan Yardımcısı ve baş analist Jeff Pollard, raporlamaya yönelik zaman çerçevesinin, olay ayrıntıları ortaya çıktıkça bilgi toplama ve iletme konusunda BT ve CIO’yu zorlayacağını söyledi.
Pollard, “Bu, teknoloji organizasyonunu, özellikle de siber güvenlik organizasyonunu, yanıt bulmaya çalışırken yanıt vermeye zorlayacak” dedi. “Burası inanılmaz derecede rahatsız edici bir yer çünkü soruşturmalar zaman alıyor.”
Daha sıkı siber güvenlik gereksinimlerini karşılamak için CIO’lar mevcut araç setlerine ve teknoloji stratejilerine başvurabilirler. iCIMS CIO’su Keyur Ajmera’ya göre gerekli üçüncü taraf desteğine sahip olmak da kritik önem taşıyor.
“Herkese uyan tek bir kalıp yok [strategy,] çünkü herhangi bir güvenlik ihlali veya olayının kendine has nüansı olacaktır” diyen Ajmera şöyle devam etti: “Önemli olan, kullanabileceğiniz çok sayıda farklı araç ve yeteneğe sahip olmanızdır.”
CIO beceri seti
SEC kurallarında yapılan güncelleme, kuruluşların artan siber güvenlik önlemleriyle CIO’ları işe almaları yönünde yıllardır süren çabalarının ardından geldi.
Yönetici işe alım şirketi Heller Search Associates’in CEO’su Martha Heller’e göre, CIO’ların siber güvenlik bilgilerini yönetim kuruluna hızlı bir şekilde sunmaları gerektiği beklentisinin ortasında bu trend artıyor.
Heller, “Yönetim kurulları güvenliğe geçmişte olduğundan daha fazla önem veriyor” dedi. “Bu nedenle CEO’lar CIO’larına dönüp şunu soruyor: ‘Güvenlik konusunda ne kadar iyisiniz?’ Eğer cevap ‘harika değil’ ise o kişiden çıkıp yeni birini getirmenin zamanı gelmiş olabilir.”
Info-Tech Araştırma Grubu teknik danışmanı Erik Avakian’a göre, kurallar yürürlüğe girdikçe CIO’ların iyi iletişimciler ve işbirlikçiler olarak rolleri vurgulanacak.
CIO’lar siber güvenlik risklerinin iyi anlaşılmasını sağlamalı, aynı zamanda güvenlik ile İK, hukuk ve iletişim departmanları da dahil olmak üzere işin geri kalanı arasındaki boşluğu kapatabilmelidir.
Daha önce Pennsylvania Eyaleti’nin CISO’su olarak görev yapan Avakian, “Bu yeni gereklilik, CIO’ların tüm bu alanlarda bilgili olmasını gerektirecek” dedi.
Cloud Security Alliance’ın baş strateji sorumlusu Troy Leach’e göre SEC kuralları, çeşitli becerilere duyulan ihtiyacın yanı sıra BT ortamına ilişkin güncel, hazır bilgilerin önemini de vurguluyor.
“En önemli stratejilerden biri, durumu net bir şekilde anlamaktır. [service level agreement] Leach bir e-postada, “her bir üçüncü taraf bulut hizmeti sağlayıcısı için” ve ayrıca verilerin tehlikeye girmesi durumunda satıcının sağlayabileceği destek düzeylerini belirtti.
Sürekli gelişen bir siber risk ortamında kuruluşların, CIO’lar ve güvenlik personelinin yanı sıra diğer yöneticileri de içeren güncel acil durum planları hazırlaması gerekir.
Leach, “Organizasyonlar sonuç olarak masa üstü tatbikatları ve acil durum planlarının belgelenmesini daha ciddiye almalı” dedi. “Tatbikatlar hukuk, halkla ilişkiler ve teknik konularda pek bilgili olmayan diğer departmanlardan geniş bir temsilci grubunu içermelidir.”