Hiç kimsenin bir işte ciddiyetle sorduğunu duydunuz mu, “Yasal kimin sahibi?” veya “Finansal stratejiyi kim belirler?” Muhtemelen hayır – açık olmalı, değil mi? Yine de, siber güvenlik söz konusu olduğunda, sahiplik sorunu hala sonsuz tartışmalara yol açıyor gibi görünüyor.
CISO gibi kilit güvenlik rollerinin hala ütülenmiş olduğu 1990’larda bu anlaşılabilir olabilir. Ama bu günlerde ciddi bir kırmızı bayrak olmalı.
Güvenlik uzun zamandan beri niş bir teknik endişe olarak sona erdi – bu temel bir iş işlevi. Bu nedenle, ona yeni bir fikir ya da sonradan düşünen kuruluşları görmek, arasına bir yere ve net bir lider veya yöne uyumsuz bir şekilde takılıyor.
Giderek daha agresif ve organize tehdit aktörleri karşısında, tartışma zamanı sona erdi. Siber güvenlik, liderlik etme gücüne sahip açıkça tanımlanmış bir lidere ihtiyaç duyar. Daha az bir şey başarısızlığa mahkumdur.
Kim sorumlu olmalı?
Bir odaya bir düzine farklı iş lideri koyun ve güvenliğini kimin yönlendirdiğini sorun ve aynı zamanda çok fazla cevap alabilirsiniz. CISO en bariz cevap gibi görünüyor, ancak CIO, başkanı veya bir temadaki diğer birçok varyasyon olabilir.
Gerçek isim önemli değil. Önemli olan, iş dünyasının en nitelikli kişi olmasıdır. Çoğu durumda bu CISO olacak, ancak birçok şirket – özellikle daha küçük kuruluşlar – bir tane yok.
Bu durumda, güvenlik sahipliği yukarı doğru yuvarlanmalıdır. Birisi – COO, CFO ve hatta CEO – açıkça hesap verebilir olmalıdır. “Özel bir güvenlik liderimiz yok” mazereti uçmaz. Birçok işletme, bir CFO dışında finansal bir başkanla finansal bir strateji oluşturabilir, böylece şüphesiz CISO olmadan bir güvenlik stratejisi oluşturabilirler.
Ancak asıl mesele sadece doğru kişiyi bulmak değil; Etkili bir şekilde yürütme yetkisi, kaynak ve iş çapında desteğe sahip olmalarını sağlamaktır. Desteksiz en çok Ciso bile sadece bir figürdür ve komiteye ait güvenlik felaket için bir tariftir.
Siber liderlere yasal veya finansal strateji ile aynı düzeyde otorite ve hesap verebilirlik verilmedikçe, kendilerini maruz bırakmaya devam edeceklerdir. İç kararsızlık, savunmasız bir hedef için sinsi sinsi suçlular için bir armağandır.
Güvenlik neden bir siloda çalışamıyor?
Hepimiz uzun yıllar siber güvenliğin bir BT sorunu yerine bir iş sorunu olduğunu savunarak geçirdik. Ancak, çok sık, güvenlik hala bir boşlukta çalışmaya bırakılan izole bir işlev olarak ele alınır. Bu kritik bir hata. Güvenlik liderlerinin masada oturmadıysa, daha geniş iş stratejisini anlamlı bir şekilde şekillendiremezler.
Şirketi güvence altına almak bir ekip çabasıdır. Tıpkı CFO’nun tek başına finansal başarıya “sahip olmadığı” gibi, CISO (veya güvenliğe öncülük eden kişi) sadece savaşla savaşmak için bırakılmamalıdır.
Açıkça tanımlanmış bir güvenlik lideri olması gerekse de, C-Suite, güvenliğin kuruluşun her yönüne yerleştirilmesini sağlamak için ortak sahiplik almalıdır.
Güvenlik stratejisi yukarıdan aşağıya, aşağıdan yukarıya değil. Liderlik bunu yönlendirmezse, hiçbir teknik kontrol işi kurtaramaz. Güvenlik politikaları – ister MFA’nın uygulanması veya veri yönetişimi kurallarını ayarlamak – zorunlu olduğu için çerçevelenmemelidir. Bunlar iş kararlarıdır ve bu şekilde ele alınmalıdır.
Yönetişim, güçlü bir güvenlik stratejisinin belkemiğidir
Takım çabası olarak siber kurmanın büyük bir kısmı bunu uygun yönetişimle destekliyor. Bununla birlikte, siber güvenlik genellikle yapılandırılmış, hesap verebilir bir fonksiyondan ziyade belirsiz bir aspirasyon olarak yaklaşılır. Yönetişimi olmayan bir strateji, bir istek listesinden biraz daha fazlasıdır.
Açık yönetişim olmadan, güvenlik çabaları kolayca reaktif, ayrık ve yönetim kurulu odasındaki en yüksek sesle bağıran herkes tarafından reddedilmeye eğilimli hale gelir.
Yönetişim, siber güvenliğin bir onay kutusu alıştırması yerine uygulanabilir bir iş önceliği olmasını sağlar. Bu, açık politikalar belirlemek, risk toleransını tanımlamak ve en önemlisi, güvenlik kararlarının iç politikaya değil, gerçek iş ihtiyaçlarına dayanarak alınmasını sağlamak anlamına gelir.
Ayrıca, yönetişim sadece yukarıdan aşağıya görevlerle ilgili değildir. Bu iki yönlü bir sokak: Kurul yön belirler, ancak güvenlik ekiplerinden ve operasyonel personelden geri bildirim bunu geliştirir. Sadece işin gerçekliğinden girdi olmadan kağıt üzerinde var olan bir yönetişim çerçevesi, hiçbirine sahip olmak kadar tehlikelidir.
Siber güvenliği daha geniş iş hedefleriyle uyumlu tutmak, büyük paydaşların düzenli iletişimde olması gerekir. Ne sıklıkla şirketin büyüklüğüne ve yapısına bağlıdır, bu nedenle her işletmenin bir denge kurması gerekecektir. Büyük yatırımlar ve değişiklikler, her şeyin açıklandığından emin olmak için bir değişiklik danışma kurulu (CAB) sürecinden geçmelidir.
Dış Kaynak kullanımı: Çözüm mü yoksa kısayol mu?
Birçok işletme için güvenliğin dahili olarak ele alınmadığını ancak dış kaynaklı bir işlev olduğunu belirtmek gerekir. Bu genellikle özel bir siber kafayı işe almak ve elde etmek için kaynaklardan yoksun olan küçük firmaların eyaletidir, ancak daha büyük işletmeler için de durum olabilir.
Kariyerimin farklı noktalarında çitin her iki tarafındaydım, hem kendim danışman olarak çalışıyor hem de harici bir tedarikçiyi yönettim.
Önemli bir ders, bir işletmenin bir grup danışmana duvara attığında ve “Bize siber güvenlik stratejisi oluştur” dediğinde işe yaramamasıdır. Uygun girdi ve yön olmadan, sonuç muhtemelen şirketinize uymaz.
Yıllar önce bir şirketteydim ve iş sürekliliği planlamasını büyük bir tedarikçiye verdik. Titiz, güzel hazırlanmış 200 sayfalık bir plan ürettiler… işimiz için hiç işe yaramadı. Yeniden yazdık ve sonunda ihtiyaçlarımıza yakın şekillendirilmiş 15 sayfaya indirdik.
Öte yandan, danışman olarak çalışarak, şirketin işin çoğunu yaptığı bazı mükemmel çerçeveler oluşturmaya yardımcı oldum – sadece bir çerçeve sunuyorum ve doğru soruları düşünmeleri için doğru soruları soruyorum.
Ayrıca, eğer nişan almak istemiyorsanız, hiç dış kaynak yapmamanızı şiddetle tavsiye ederim. Güvenlik tek seferlik bir teslimat değildir. Gereken sürekli gözetim ve hesap verebilirlik tam olarak dış kaynaklı olamaz.
Biraz daha az konuşma, biraz daha fazla eylem
Hiçbir işletme açık yasal veya finansal liderlik olmadan başarılı olmayı beklemez, o zaman güvenlik neden farklıdır? Siber güvenlik mülkiyeti hakkındaki sonsuz tartışmanın sona ermesi gerekiyor.
Kimin sorumlu olduğunu belirleyin, onlara liderlik etme yetkisi verin ve güvenli bir kuruluş için ihtiyaç duyduklarını yapmak için tam iş desteğine sahip olduklarından emin olun.
Tartışmayı bırakın, karar vermeye başlayın ve siber güvenlik hak ettiği liderliği verin.