2023, önümüzdeki yıllarda siber tehdit ortamını etkileyecek olan küresel bir çatışma ve huzursuzluk yılı olarak işaretlendi.
Ancak 2024 yılının en önemli siber güvenlik gelişmelerinden biri saldırganlar tarafından yönlendirilmiyor. Düzenleyiciler, kolluk kuvvetleri ve yatırımcılar tarafından yönlendiriliyor. En dikkate değer örnek, ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olay açıklamasına ilişkin yeni kurallarıdır. 2023 yılı sonundan önce yürürlüğe girecek olan bu yasa, halka açık şirketleri güvenlik stratejilerini yeniden değerlendirmeye zorlayacak.
Yeni açıklama kuralları, yatırımcılara borsada işlem gören bir şirketin siber tehditlerden kaynaklanan riskleri ve bu riski azaltmak için uygulanan kontrollerin düzeyini daha iyi anlamalarını sağlayacak şekilde tasarlandı. SEC, siber güvenlik risk yönetiminin önemini kabul etti ve disiplini resmileştirmek için bu kuralları kullanıyor. Siber güvenlik risk yönetimi eninde sonunda piyasa riski, sermaye riski ve operasyonel riskle aynı seviyeye yükselecektir.
Kuruluşların bu yeni ifşa mücadelesine hazırlanmalarına yardımcı olacak birkaç 2024 kararı şunlardır:
Yeni arkadaşlar edin: CISO’lar ve diğer teknoloji liderlerinin üst düzey yönetim ekibiyle ilişkilerini güçlendirmesi gerekecek. Buna hukuk departmanı ve şirket sekreteri de dahildir.
Neden? Yeni SEC kurallarına göre şirketler artık siber güvenlik programlarının ayrıntılarını resmi kurumsal dosyalarının bir parçası olarak raporlamak zorunda. Bu, önemli siber güvenlik olaylarının yanı sıra şirketin siber güvenlik risk yönetimi, stratejisi ve yönetişim uygulamalarına ilişkin açıklamanın yıllık bazda açıklanmasını da içerir. Maddi siber güvenlik olayları, SEC Form 8-K kullanılarak meydana geldikten sonraki dört gün içinde rapor edilmelidir. Siber güvenlik programının ayrıntıları şirketin yıllık raporu olan SEC Form 10-K’ya dahil edilmelidir.
Olay tespitine ve müdahaleye odaklanmayı artırın: Ağ, sistem ve uygulama varlıklarına yönelik şüpheli siber etkinlikleri tespit etmek ve engellemek için güvenlik izlemesi sürekli olarak geliştirilmelidir. İyi belgelenmiş ve test edilmiş bir olay müdahale planı, sorunun teşhis edilmesi ve düzeltilmesi açısından kritik öneme sahiptir. Bir olaydan sonra “alınan dersler” oturumu düzenlemek süreci iyileştirecektir. Siber saldırıların erken tespit edilmesi hasarı sınırlayacak ve hatta bir saldırının “önemli” hale gelmesini engelleyebilir. Aktif izleme olmadan şirketler tespit edilmesi, ele alınması ve raporlanması gereken önemli sorunları gözden kaçırabilir.
İyi bir siber temizlik taahhüt edin: Etkili bir siber güvenlik programının temellerini asla unutmayın. Kuruluşlar yamaları ve yazılım sürümlerini güncel tutmalıdır. Ayrıca tüm sunucular ve ağ cihazları için güçlendirilmiş yapılandırmaları sürdürmeli ve uygun olan yerlerde uç nokta koruması (kötü amaçlı kod koruması) uygulamalıdırlar. Hepsinden önemlisi, kullanıcıların verilere ve kaynaklara erişimini bir işin yapılması için gereken minimum düzeyde sınırlayan en az ayrıcalık ilkesini uygulamalıdırlar. Erişimin hala gerekli olduğundan emin olmak için erişim periyodik olarak gözden geçirilmelidir.
Şirkete vekalet etmek: Bir şirketteki herkes yeni SEC kurallarına uymanın önemini anlamalıdır. Siber olayların düzgün bir şekilde rapor edilmemesi, yüz milyonlarca dolarlık ağır para cezalarına ve hatta cezai yaptırımlara yol açabilir.
Güvenlik uygulamalarına uymamak bile ihmal olarak değerlendirilebilir. Kuruluşlar, çalışanları bu yeni gereksinimler konusunda bilgilendirmek için güvenlik farkındalığı eğitimlerinden yararlanmalıdır. Güvenlik sorunlarını tanımanın ve raporlamanın önemini vurgulamaları gerekir. Ayrıca, olası sonuçlar hakkında endişe duyanlardan bilgi toplamak için isimsiz bir güvenlik raporlama tesisi kurmayı da düşünmelidirler.
Başkalarının hatalarından ders alın: Şirketler, son zamanlarda haberlerde yer alan “büyük isim” güvenlik ihlallerini araştırarak çok şey öğrenebilir. Clorox, MGM, Caesars ve SolarWinds, siber olaylarıyla ilgili SEC’e resmi açıklamalarda bulunmak zorunda kaldı. Bu bilgiler, şirketlerin başarılı saldırı senaryolarını belirlemesine ve bunları nasıl önleyeceklerini öğrenmesine yardımcı olacaktır.
Siber güvenlik risk yönetiminin önemi arttıkça 2024, CISO’lar için bir fırsat yılı olacak. Bu zorluğun üstesinden gelmek için bütçelerin artması gerekecek. Siber güvenlik risk yönetimi, bir kenara itilebilecek bir seçenek yerine, iş yapmanın bir maliyeti olarak görülmelidir.