Yaklaşık yirmi yıldır siber güvenlik sektörünün içinde olan biri olarak, federal kuruluşların kuruluşları güvende tutmak için olması gereken değişikliklere daha fazla odaklandığını görmek bana canlandırıcı geliyor. Savunma Bakanlığı (DoD), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Beyaz Saray’ın güncellenmiş siber yönergeler ve politikalar yayınlamasıyla birlikte, siber savunmalar, hazırlıklı olma durumu etrafında yeni keşfedilen – ve fazlasıyla hak edilmiş – bir aciliyet ve önem duygusu yerleştirildi. ve yetenekli yetenek.
Benzer şekilde, ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) uzun zamandır beklenen yeni siber güvenlik gereksinimleri, yaklaşan bir olay açıklama kuralına ve şirket kurullarında siber güvenlik uzmanlığının kanıtına işaret ediyor. Nihai dili beklerken, bu gereksinimlerin şeffaflığı ve iletişimi üst düzeye çıkarmak için doğru yönde atılmış bir adım olduğuna ve nihayetinde siber güvenliğin tüm sektörlerde iş için nasıl bir zorunluluk olduğunu vurguladığına inanıyorum.
Ancak önemli bir uyarı ile.
SEC ve diğer devlet kurumlarının zamanında raporlama ve ifşa etme konusundaki ek baskısı, değişim için gerekli bir güç olsa da, birçok kuruluş bu düzeyde gözetim ve raporlamayı kaldıracak donanıma sahip değildir. Birçok güvenlik lideri şu anda kurullar ve yönetici liderlikle paylaşmak için kanıt toplama araçlarından yoksundur ve bu da ihlal hazırlığı ve olay müdahale sonuçlarının %60’tan daha azının işaretlenmesine neden olur. Dahası, güvenlik liderlerinin yarısından fazlası (%55), siber güvenlik ekiplerinin siber tehditlere uygun şekilde yanıt vermeye hazır olduğunu göstermek için gereken verilere sahip olmadığı konusunda hemfikir.
Daha İyi Yaklaşımlar Arayışı
Hükümet yönergelerine uymak için kuruluşlar, uygulamalı alıştırmalar yoluyla ekipler arasında siber yetenekler oluşturmanın ve kanıtlamanın daha etkili yollarına yatırım yapmalıdır. Kuruluşlar, siber güvenlik yaklaşımlarında aşağıdaki eylemleri içeren bir paradigma değişikliği yapmalıdır:
1. Esnekliği ve yetenekleri kanıtlamak için belirli ölçümler sağlayın. Neredeyse tüm diğer iş fonksiyonlarının temelini oluşturan kanıt noktalarına ve eyleme geçirilebilir ölçümlere rağmen, kuruluşların siber güvenlik duruşlarının kusurlarını ve güçlü yanlarını belirleme söz konusu olduğunda ölçüm neredeyse yoktur. Bir kuruluşun siber direncini ilerletmek için, siber güvenlik ekiplerinin yeteneklerini ve dayanıklılıklarını değerlendirmek ve kanıtlamak için daha iyi yöntemlere ihtiyacı vardır; özellikle de çoğu siber güvenlik liderinin, kuruluşlarının yönetim kurulunun, siber dayanıklılığı kanıtlamaları için siber güvenlik ekiplerine daha fazla baskı uyguladığı konusunda hemfikir olduğunu düşündüğünüzde.
Etkinliği ölçmek için metrikler olmadan, liderler eğitime yapılan maliyetli eğitim yatırımlarının değerli olup olmadığını nasıl bilebilirler? Dolayısıyla, ekipler doğru risk yönetimi araçlarına sahipken ve ihlale hazırlık değerlendirmeleri yürütürken, dayanıklılığı yeterince değerlendirmiyor veya eğitmiyorlar.
2. Teknolojik “spot çözümler”den uzaklaşın. Tehdit ortamı gelişmeye devam ederken, çoğu güvenlik lideri, siber güvenlik güçlerini kilit paydaşlara kanıtlamak için sürekli büyüyen teknoloji yığınlarına eklemek için daha fazla teknoloji aracına yöneliyor. “Spot çözümler” uygulamak, bir kuruluşta boşluklar bırakarak onu saldırganlara karşı savunmasız hale getirebilir. Bugünlerde neredeyse her türlü güvenlik sorunuyla mücadele eden araçlar mevcuttur, ancak tak ve çalıştır yaklaşımı en etkili sistem değildir.
Baş bilgi güvenliği görevlileri (CISO’lar), karmaşıklığı azaltmak için araçlarını birleştirmeyi düşünmelidir. Öyle bile olsa, kolaylaştırılmış bir çözüm tek savunma hattı olamaz. Gartner’ın 2023 tahminlerinden biri, CISO’ların karşılaşacağı zorlukların teknoloji, siber güvenlik ve kontrollerin ötesine geçeceği ve bunun yerine insan unsuruna odaklanılacağını öngörüyor. Güvenlik teknolojisi çözümleri, siber tehditler ortaya çıkarsa – ve ne zaman – gerçekleşirse yanıt vermede etkili olabilmek için, savaşta test edilmiş ve yetenekli bir iş gücüyle birleştirilmelidir.
3. Etkili siber güvenlik yaklaşımınızda çalışanlarınızı ilk sıraya koyun. İnsan merkezli, proaktif bir siber güvenlik yaklaşımını benimsemek, kuruluşları siber tehditlerle mücadele etmek ve yönetim kurullarına ve şirket liderliğine dayanıklılık göstermek için daha iyi bir konuma getirir. Kuruluşlar sertifikalar, masa başı tatbikatlar ve sınıf çalışması gibi geleneksel siber güvenlik eğitimi yöntemlerine yatırım yapıyor olsa da, bu taktikler, özellikle fidye yazılımı ve üretken yapay zeka teknolojilerindeki son artışlarla birlikte, mevcut siber saldırılarla mücadelede büyük ölçüde yetersiz kalıyor. Bunu düşünen yalnız ben değilim; eğitim yatırımlarındaki artışa rağmen, siber liderlerin %80’i ekiplerinin gelecekteki saldırılara yanıt verecek kapasiteye sahip olduğuna inanmıyor.
Siber liderler, devam eden personel bulma zorluklarını ve yetenek açığını gidermek için işe alım uygulamalarını yeniden değerlendirmelidir. İK ve işe alım müdürleri, sertifikalara gereğinden fazla güveniyor ve bu sertifikaları gereğinden fazla vurguluyor, nitelikli başvuru sahiplerini reddediyor veya erken kariyer ve çeşitli güvenlik yetenekleri için girişte maliyetli bir engel oluşturuyor.
Bu yeni beklentileri karşılamak için CISO’lar, kuruluşlarını sürekli değişen tehdit ortamına karşı savunma için daha iyi hizalamak üzere stratejik ölçütler ve kanıt noktaları ile daha iyi donatılmalıdır. Siber hazırlık ve dayanıklılığa yönelik mevcut yaklaşımımız üzerinde biraz çalışma yapılması gerekiyor – ancak siber güvenlik ve liderlerinin nihayet masanın başında yerini aldığını görmek umut verici. İletişim ve kanıt ihtiyacını vurgulamak için ortak bir çaba sarf eden birden fazla federal kurumun katıksız konsepti, doğru yönde ivme vaat ediyor.