Günümüzün hızla gelişen teknolojik ortamında, Kurullar ve yöneticiler için teknoloji ve dijital yeteneklerdeki en son gelişmeler ve potansiyel riskler hakkında bilgi sahibi olmak her zamankinden daha önemli.
Bu Help Net Security röportajında, Google Cloud CISO Ofisi Mali Hizmetler Direktörü Alicja Cade, doğru soruları sormanın siber performansı ve hazırlığı iyileştirmeye, sorumlu yapay zeka uygulamalarını ilerletmeye ve siber güvenlik ihtiyacını dengelemeye nasıl yardımcı olabileceğine dair bilgiler sunuyor. diğer iş öncelikleri ile. Cade, kuruluşlarının modern dünyanın karmaşık dijital ortamında yol alacak donanıma sahip olmasını sağlamak isteyen liderler için değerli tavsiyeler paylaşıyor.
Kuruluşlar bugünlerde gelişen bir siber tehdit ortamıyla karşı karşıya. Kurulların, CEO’ların ve diğer yöneticilerin teknoloji ve dijital yetenek hakkında sorması gereken ve bu soruların siber performansı ve hazır olma durumunu iyileştirmeye nasıl yardımcı olabileceğine ilişkin araştırma sorularına örnekler verebilir misiniz?
Tehdit ortamı dinamik ve karmaşık kalmaya devam ediyor ve bu eğilimlerin 2023 ve sonrasında da devam etmesini bekliyoruz. Çoğu durumda, siber güvenlik liderleri siber güvenlik tehditleri hakkında daha iyi istihbarata ihtiyaç duyulduğunu anlıyor, ancak çoğu, kuruluşlarına kimin ve neden saldırdığını tam olarak anlamadan kararlar alıyor.
Yönetim kurulları, bu istihbarat boşluklarını kapatmak ve bu bilgilerin risk yönetimi kararlarında lider bir rol oynamasını sağlamak için harekete geçebilir. Kurullar, bu bağlantıyı teşvik etmeye yardımcı olmak için CISO’ya en az üç ayda bir üç temel soru sormalıdır:
- Siber güvenlikte ne kadar iyiyiz? Kurullar, siber güvenlik ekibindeki insanlar ve uzmanlık ve onların deneyimleri hakkında daha fazla bilgi edinmelidir. Bu önemlidir, çünkü Kurullar bu soruyu yanıtlamak için yalnızca uyumluluk panolarına ve siber güvenlik kontrollerine güvenemez. Yönetim kurullarının, ekiplerinin olaylara yanıt verme konusundaki pratik kapasitesini daha iyi anlamak için çalışmaları gerekir. Gösterge panoları elbette harika bir bilgi kaynağı olabilir, ancak kuruluşların ölçmesi gerekenleri değil de ölçebileceklerini mi gösteriyorlar?
- Ne kadar dayanıklıyız? Yönetim kurulları, CISO’ya, teknoloji liderliğine: CIO, CTO ve iş liderlerine, kuruluşunuzun bir fidye yazılımı saldırısı gibi bir olayda işletmeyi çalışır durumda tutmaya ne kadar hazır olduğunu sormalıdır. Tasarımların bir dizi senaryo altında gereken yük devretme düzeylerini sağladığını test ediyor ve doğruluyor muyuz? Temel ticari hizmetlerimizi bozulmuş bir durumda çalıştırabilir miyiz?
- Riskimiz nedir? Kurullar, siber güvenlik risk değerlendirmesinin en azından beş temel alanı ele aldığından emin olmalıdır: 1) kuruluşunuzun maruz kaldığı mevcut tehdide ilişkin bir değerlendirme; 2) siber güvenlik liderliğinin bu tehditleri azaltmak için ne yaptığına dair bir açıklama; 3) kuruluşun kontrollerin etkili olup olmadığını nasıl test ettiğine dair örnekler; 4) bu tehditlerin olay olarak gerçekleşmesi durumunda sonuçların değerlendirilmesi: yanıt vermeye ve durumu düzeltmeye hazır mıyız; ve 5) hafifletmeyeceğiniz ancak başka türlü kabul edeceğiniz risklerin bir değerlendirmesi.
Siber riski ele almak birçok şirket için zorlu bir iştir, bu nedenle Yönetim Kurulu üyelerinin ilgili gözetimi gerçekleştirmesi ve risk yönetimi önceliklerine rehberlik etmesi giderek daha önemli hale geliyor. Bu hususlarla ilgili daha fazla bilgiyi Google Cloud’un ilk Güvenlik Perspectives on the Board raporunda bulabilirsiniz.
Kuruluşlar bugün hangi siber güvenlik sorunlarıyla karşı karşıya kalıyor ve Kurullar sorumlu yapay zeka uygulamalarını ilerletmede nasıl daha proaktif bir rol üstlenebilir?
Günümüzde kuruluşlar için en büyük zorluklardan biri, yapay zekanın gücünden nasıl yararlanılacağını bulmaktır. Yapay zekanın, kuruluşların çoğu iş fonksiyonunda karar verme sürecini iyileştirmesine, ölçeklendirmesine ve hızlandırmasına olanak sağlama potansiyelini daha yeni görmeye başlıyoruz.
Kurullar, kuruluşlarını bu yolculukta en iyi şekilde nasıl destekleyeceklerini düşünürken, onları yapay zekanın faydalı ve dönüştürücü potansiyelini fark etmeye teşvik ediyoruz. Google’da, sorumlu yapay zeka uygulamalarını ilk başlatan ve geliştirenlerden biri olduk ve bu ilkeler, işlerini güvenli bir şekilde kurmak ve büyütmek için ürünlerimize güvenen dünya çapındaki müşterilerimize sürekli bir taahhüt olarak hizmet ediyor.
Yapay zeka teknolojilerinin faydalarını en üst düzeye çıkarmak ve riskleri en aza indirmek için Kurulların güvenlik, ölçeklendirme ve gelişmeye yönelik üç yönlü bir yaklaşım benimsemek üzere CISO ile birlikte çalışmasını öneririz: güvenli yapay zeka sistemlerini devreye alın, daha iyi siber güvenlik sonuçları elde etmek için yapay zekanın gücünden yararlanın. ölçeklendirin ve tehditleri önceden tahmin etmek için bu alandaki gelişmelerden haberdar olun.
Kurulların siber güvenlik ihtiyacını inovasyon ve büyüme gibi diğer iş öncelikleriyle nasıl dengelemesini önerirsiniz?
Yönetim kurulları siber güvenliği silolara ayrılmış bir öncelik olarak görmeye devam ediyor. Geleneksel olarak, siber güvenliğe yatırım yapma konusunda artan bir eğilim görüyorduk, ancak bunun arkasındaki temel teknolojiyi modernize etme yönünde bir eğilim görmüyorduk.
Ölçeği daha iyi dengelemek için Kurullar, tüm ürünlerde daha iyi güvenlik oluşturmak için C-Suite – özellikle Bilgi Güvenliği Başkanı, Bilişim Başkanı, Teknoloji Direktörü ve Baş Uyum Sorumlusu ve ayrıca iş liderleri – arasında daha derin işbirliğini teşvik etmelidir. hizmetler ve güvenlik bir eklentidir.
Kurulların siber güvenlik hakkında hangi yaygın yanılgıları olabilir ve bunlar nasıl ele alınabilir?
En büyük yanılgılardan biri, bir şirketin güvenliğinin yalnızca CISO ve ekibinin sorumluluğunda olmasıdır. Siber güvenlik bir takım sporudur.
Kuruldaki bir kuruluşun güvenliğiyle ilgili etkileşimler yalnızca bir CISO’dan gelmemeli ve Kurullar, tüm iş kollarının (CIO, CTO, CRO ve diğer liderler) stratejilerinin bir parçası olarak siber risk hakkında konuşmasını beklemelidir. Bir lansmanı veya yeni bir stratejiyi tartışırken, Kurulların tüm iş ve teknoloji yöneticilerine güvenlik de dahil olmak üzere dikkate alınması gereken daha geniş riskler hakkında soru sorması önemlidir.
Kurullar, siber güvenlikle ilgili olası düzenleyici yükümlülüklere yeterince hazırlıklı olduklarından nasıl emin olabilir?
Küresel olarak hükümetler, siber olayları ilgili hükümet yetkililerine bildirme gereklilikleri de dahil olmak üzere, zorunlu siber güvenlik temel standartlarını yükseltmek için düzenleyici önlemleri giderek daha fazla uyguluyor. Federal ve eyalet düzeylerinde düzenleyici risk arttıkça, Kurulların siber güvenlik anlayışı her zamankinden daha kritik hale geliyor. Kurullar, kuruluşların bu eğilimlere nasıl tepki vereceği konusunda önemli bir rol oynayacaktır ve gelecekteki bu duruma şimdiden hazırlanmaları gerekir.
Kurulları, etkili siber risk gözetimi için aşağıdaki üç ilkeyi benimsemeye teşvik ediyoruz:
- Siber ve daha geniş teknoloji riskinin operasyonel riske, stratejik tartışmalara ve kurumsal kararlara dahil edildiğinden emin olmak için temel konular hakkında eğitim alın.
- Daha iyi ilişkiler kurmak ve kritik boşlukları ve kaynak ihtiyaçlarını anlamak için CISO, diğer C-Suite liderleri ve kilit iş paydaşlarıyla birlikte çalışın ve bu riskin yalnızca siber güvenlik ekibi için değil tüm yöneticiler için bir öncelik olarak ele alınmasını sağlayın.
- Devam eden raporlama faaliyetleri hakkında bilgi sahibi olun, sorular sorun ve siber risk ölçümlerini anlamak için CISO ve diğer liderlerle birlikte çalışın.