Bu yardımcı net güvenlik görüşmesinde, Ecolab’daki CISO Kevin Serafin, güvenlik stratejisini uzun vadeli iş hedefleri ile hizalamayı, kuruluş genelinde güçlü ortaklıklar oluşturmayı ve çeviklikle üçüncü taraf riskine yaklaşmayı tartışıyor.
Kuruluşunuzun genel kurumsal risk çerçevesinde siber riski nasıl tanımlıyorsunuz?
Ecolab’da siber riske tek başına yaklaşmıyoruz. Bunun yerine, genel kurumsal risk yönetimi çerçevemizin ayrılmaz bir bileşeni olarak konumlandırılmıştır. Siber riski teknik altyapı, teknoloji kullanımı veya bilgi yönetimi ile ilgili kayıp veya zarar potansiyeli olarak tanımlıyoruz ve genellikle riski birkaç farklı şekilde değerlendiriyoruz.
Birincisi, sistem kesintileri, veri bozulması veya iş sürekliliğini etkileyebilecek kritik altyapıya etki dahil ürün veya hizmet sunma yeteneğimizi bozabilecek riskleri içeren operasyonel risklere bakıyoruz. İkincisi, sahtekarlık, düzenleyici para cezaları, iyileştirme maliyetleri veya hizmet kesintilerinden elde edilen gelir etkileri gibi siber olaylardan potansiyel parasal kayıpları içeren finansal risklere bakıyoruz. Çerçevemizdeki son çatal itibar riskidir.
Bunların ölçülmesi daha zor olabilecek, ancak sonuçta müşteri güvenini aşındıran, markamızı devalüe eden ve hatta daha uzun vadeli pazar dezavantajları yaratabilecek bir olay gibi büyük bir etkiye sahip olabileceği riskleri görüyoruz.
Siber güvenlik stratejisinin kuruluşunuzun temel misyonu ve uzun vadeli iş hedefleriyle uyumlu olmasını nasıl sağlıyorsunuz?
Dünyanın dört bir yanında, yaptığımız her şey 100 yıldan fazla tarihimize dayanıyor, müşterilerin doğal kaynakları korurken operasyonel verimlilikler yoluyla büyümeyi artırmasına yardımcı oluyor. Bu bizim kuzey yıldızımız ve kim olduğumuza çekirdeğimiz. Siber güvenlik stratejimizin hem kendi kuruluşumuzda hem de müşterilerimiz için kilit iş hedeflerini yerine getirmemize yardımcı olur. Başarılı bir siber güvenlik programı sunmanın temelini oluşturur.
Ecolab’ın CISO’su olarak, Baş İşletme Görevlisi (COO), Finans Direktörü (CFO), genel danışman ve kilit iş liderleri de dahil olmak üzere düzenli olarak çapraz fonksiyonel bir yönetici grubu toplayan bir yönlendirme komitesine başkanlık ediyorum. Birlikte, siber girişimlerimizin şirketin stratejik iş hedeflerini en etkili şekilde nasıl destekleyebileceğini tartışıyoruz.
Güvenlik ekibini kapı bekçileri yerine danışmanlık ortakları olarak konumlandırdığımızdan emin olduk. Yeni fikirleri bastırmayan çözümlerin bulunmasına yardımcı olmak için masadayız. Yeni iş girişimleri önerildiğinde, başlangıçtan, riski uygun şekilde yönetirken iş ihtiyaçlarını karşılayan çözümler üzerinde işbirliği yaparak katılıyoruz.
Bu ortaklık zihniyeti konuşmaları “Bunu güvenli bir şekilde yapabilir miyiz?” “Bunu nasıl güvenli bir şekilde yapabiliriz?”. Fark ince ama önemlidir – güvenliği bir bariyerden ziyade bir inovasyon sağlayıcısı olarak konumlandırır.
Güvenlik standartlarının uygulanması ve üçüncü taraflarla iş çevikliğinin sağlanması arasında nasıl doğru dengeyi karşılıyorsunuz?
Bu dengeyi doğru hale getirmek için, ikili “onaylanmış/reddedilen” bir zihniyetten, hem güvenlik gereksinimlerini hem de iş değerini dikkate alan daha nüanslı riske dayalı bir çerçeveye dönüştük. Değerlendirmeyi riske maruz kalmaya göre ölçen katmanlı bir değerlendirme programı uyguladık. Hassas verileri veya iş sürecini ele alan kritik tedarikçiler kapsamlı değerlendirmeler yaparken, düşük riskli sağlayıcılar daha akıcı bir inceleme ile karşılaşabilir. Bu, iş açısından kritik ilişkiler için gereksiz sürtünmeyi önler ve kuruluş için riski azaltmaya odaklanmamıza izin verir. Tedarikçilerin en başından beri anladığı açık beklentiler yaratmak için tedarikçilerimizdeki güvenlik gereksinimlerimizi de standartlaştırdık.
Stratejik ortaklıklar için, zaman içinde değerlendirmeler yerine sürekli bir izleme yaklaşımı benimsedik. Bu gerçek zamanlı görünürlük, bir tedarikçinin risk profilindeki değişiklikleri hızlı bir şekilde yeniden değerlendirmemizi ve buna göre tepki vermemizi sağlar. Bunu yapmak için, tedarikçi siber güvenlik duruşumuzun dinamik görünümünü sağlamak için çeşitli siber risk istihbarat hizmetleriyle kendi iç izlememizi harmanlıyoruz.
Siber güvenliği kurumsal stratejiye yerleştirme konusundaki en büyük paketiniz neydi?
Siber güvenlik uzmanları olarak, işlevin daha zorlu eski algılarının bir kısmını değiştirmeye yardımcı olabiliriz. Siber güvenliğin bir maliyet merkezinden nasıl daha fazla olduğunu göstermeyi gerektirir – bunun yerine, somut iş değerine sahip bir itici güçtür.
Bilgilendirilmiş iş etkinleştirme riskine uyum sağlamak için uyum odaklı güvenliğin ötesine geçme. Bu, sadece teknik güvenlik açıkları değil, iş riski açısından konuşarak gerçekleştirilebilir. Güvenlik, bir barikat yerine dijital dönüşümün hızlandırıcısı olarak konumlandırıldığında, optimize edilmiş etkinlik için gereken stratejik önemi ve kaynak desteğini kazanır. Bu bir gecede gerçekleşmez, kasıtlı değişim yönetimi ve güvenlik yatırımlarının iş hedeflerini doğrudan nasıl desteklediğini, geliri koruduğunu, müşteri güvenini koruduğunu ve rekabetçi farklılaşmayı nasıl oluşturduğunun tutarlı bir şekilde gösterilmesini gerektirir.
İş düzeyinde siber riskin geleceği söz konusu olduğunda en çok hangi eğilimleri izliyorsunuz?
Küresel düzenleyici manzara hızla değişmeye devam ediyor. Bu, çok daha fazla tutarlılığı izleyerek uyarladığımız bir şey ve akılda kalacağınızdan emin. Bu son derece akıcı dış ortam, sürekli izlemeye ve çok daha kapsamlı bir uyum yönetim programına geçiş gerektirir. Yeni yasalar devreye girdikçe ve tedarikçilerimizin alakalı olduğu yerlerde uyumlu olmalarını sağladıkça hızlı bir şekilde uyum sağlamaya hazır olmalıyız.
Ajan yapay zekanın benimsenmesi, iş süreçlerinin nasıl yürütüleceği konusunda önemli bir değişimdir. Siber güvenlik programına entegre olan bir AI yönetişim çerçevesinin sağlanması, ortaya çıkan riskleri yönetmek için zorunlu hale geliyor. Otonom sistemler hassas verileri, kritik altyapıyı ve iş operasyonlarını etkileyen kuruluşlar için kararlar vermeye başladığında, geleneksel güvenlik kontrolleri görüşümüz gelişmelidir.