Panaseer’e göre güvenlik liderleri, kendilerini daha fazla kişisel riske maruz bırakarak siber güvenlikle ilgili güvence sağlama yönünde giderek artan bir baskı altında hissediyor; ancak Panaseer’e göre pek çoğu, siber güvenlik açıklarını doğru bir şekilde raporlayacak ve kapatacak veri ve kaynaklardan yoksun.
Rapor, ABD ve İngiltere genelinde 400 güvenlik karar vericisinin (SDM) katıldığı bir anketin bulgularını analiz ediyor.
Güvenlik liderleri koruma için tazminat sigortasına yöneliyor
Kuruluşların %61’i geçtiğimiz yıl politikalarının, yönetişimlerinin ve kontrollerinin başarısız olması veya etkili bir şekilde çalışmaması nedeniyle bir güvenlik ihlali yaşadı. Bu, ABD’deki işletmelere yılda toplam 30 milyar dolara mal oluyor. Sonuç olarak SDM’lerin %90’ı, özellikle güvenlik kontrol performansı konusunda daha fazla güvence sağlamalarının beklendiğini söylüyor.
SDM’lerin %85’i kurul tarafından daha fazla inceleniyor. %57’si sürekli olarak güvence vermelerinin istendiğini ancak onlara sağlamaları gereken güvenilir verilere sahip olmadıklarını söylüyor; yalnızca %55’i üst yönetime ve yönetim kuruluna sunulan verilerin tamamen doğru olduğundan tamamen emin.
Güvenlik liderlerinin %72’si, kendilerini güvenlik arızalarının sonuçlarından korumak için geçtiğimiz yıl kişisel sorumluluk sigortası yaptırdı ve %20’si de bu sigortayı araştırıyor. Ancak sigortası olanların yalnızca %34’ü sigortaya sürekli sahip; mevcut şirketlerinden ayrılmaları halinde onları savunmasız bırakacaktır.
“SUNBURST SolarWinds ihlali gibi oldukça duyurulan saldırıların ardından, SEC gibi düzenleyiciler, Damocles’in kurumsal kılıcı altında olan CISO’lara yönelik cezai suçlamalar ve katı kurallar uyguluyor. Ayakları kurullar ve düzenleyiciler tarafından ateşe tutuluyor, ancak işletmeyi hesap verebilir tutmaya yardımcı olacak doğru içgörüleri sağlayacak verilerden yoksunlar. Sonuçta bu CISO riski değil iş riskidir” diyor Panaseer CEO’su Jonathan Gill.
“Bazı CISO’lar çatlakların üzerini kişisel tazminat sigortasıyla kapatmak zorunda kaldı. Ancak bu, nedenleri ele almadan semptomları tedavi eder. CISO’lar doğru güvenceler sağlamakta güçsüz bırakılırken bu suçlama oyunu kültürü devam ederse, pek çok kişi ya kendi isteğiyle ya da mahkemelerin emriyle sektörden ayrılacak,” diye ekledi Gill.
Kişisel sorumluluk, güvenlik liderlerinin karışık tepkilerine neden oluyor
Güvenlik liderlerinin %75’i, iki yıl öncesine kıyasla artık güvenlik arızalarından daha fazla kişisel sorumluluğa sahip olduklarını düşünüyor. SDM’lerin çoğu (%72) bunun en azından bir ölçüde adil olduğunu düşünüyor; %44’ü bunun iyi bir şey olacağını çünkü bunun sektörde daha yüksek standartlara yol açacağını söylüyor ve %47’si bunun kendilerini daha da ihtiyatlı hale getirdiğini söylüyor. kötü bir şey değil.
Yüzde 31’lik bir kesim ise artık riskler daha yüksek olduğu için daha fazla ücret isteyebileceklerini söyleyerek değişikliklerden yararlanmaya hazırlanıyor.
Ancak önemli bir azınlık, artan sorumluluğun kendi omuzlarına düşmesine karşı çıkıyor. SDM’lerin %28’i, CISO’ların ve güvenlik liderlerinin güvenlik başarısızlıklarından kişisel olarak sorumlu tutulmasının adil olmadığını düşünüyor ve %23’ü, güvenlik başarısızlıkları konusunda kişisel riske sahip olmalarının kendilerini ‘kızdırdığını’ söylüyor. %15’lik bir kesim daha sektörden ayrılmayı düşündüklerini söylerken, %41’i karar verme konusunda daha endişeli olduklarını söylüyor.
“Güvenlik liderlerinin daha fazla sorumluluğa sahip olma konusunda karışık duygulara sahip olması anlaşılır bir durum. Bazıları için, sektördeki standartları yükselterek zihni keskinleştirecek. Diğerleri için bu, zaten zorlu olan bir rol üzerinde daha fazla baskı oluşturacaktır,” diyor Gill. “Sahiplik, hesap verebilirlik ve sorumluluk siber güvenliğin olumlu yönleridir, ancak bu ilkeler çok ileri giderse kolektiften ziyade bireyler üzerinde aşırı strese neden olur. Sektörün tek bir kişinin sırtına hedef koymaktan kaçınması gerekiyor. CISO’lar, yaptıkları tüm iyi işleri göz ardı ederek güvenlik olayları için günah keçisi yapılmamalı.”
Güvenlik ekipleri ekstra raporlama baskısı altında
Raporda özetlenen ve güvenlik liderlerinin endişesini artıran en önemli sorunlardan biri, güvenlik ekiplerinin maruz kaldığı ekstra raporlama baskısıdır; %72’si, ekiplerinin raporlamaya daha az zaman ayırması durumunda daha fazla ihlali önleyebileceklerini belirtmektedir. Ancak birçoğu, yönetim kuruluna ve üst düzey yönetime güvence sağlamak için gereken veri ve içgörülerden yoksundur.
Güvenlik ekiplerinden, şirketin genel veri ihlali riskinden (%65); uyum duruşu ve buna nasıl ulaşılacağı/sürdürüleceği (%48); iş kaybı etkisine kadar (%37). Ayrıca, güvenlik liderlerinin %89’unun güvenlik yatırımlarının rolü ve etkinliği hakkında daha fazla veri sağlaması bekleniyor; %76’sı ise siber yatırım getirisini haklı çıkaracak ölçümler sağlama konusunda daha büyük baskı altında olduklarını söylüyor.
Ancak %67’si siber güvenlik ekiplerinin kurullara ve düzenleyicilere bu güvenceleri sağlamak için gereken özel analitik araçlarla donatılmadığını söylüyor. Sonuç olarak, SDM’lerin %70’i görünürlük boşluklarının, çok fazla bilinmeyen bilinmeyen olması nedeniyle riskin net bir resmini görmelerini engellediğini söylüyor. Bu araç eksikliği ekipler üzerinde baskı yaratıyor; %85’i, güvenlik dışında daha fazla sayıda ekiple güvenlik kontrollerini uygulamak için hesap verebilirliği etkilemeleri ve teşvik etmeleri gerektiğini söylüyor.
Gill, “Diğer iş birimleri, veriye dayalı içgörü sağlamak için SAP ve Salesforce gibi özel araçlarla güçlendirilirken, CISO’lar genellikle farklı araçlarla ve tek, güvenilir bir görünümle yetinmek zorunda kalıyor” diyor. “Güvenlik liderlerine, bir kuruluş içindeki her varlığın şeffaf bir görünümünü sunan bir kayıt sistemi sunarak olasılıkları eşitlememiz gerekiyor. Gerçeğin bu altın kaynağıyla donanmış olan CISO’lar, güvence sağlama, riski iyi niyetle raporlama, güvenlikteki açıkları keşfetme ve bir güvenlik olayı meydana gelmeden önce bunları kapatma, hem kendilerini hem de şirketlerini koruma yetkisine sahiptir.”