Bir zincir ancak en zayıf halkası kadar güçlüdür. Siber güvenlik ve dayanıklılık söz konusu olduğunda tüm kuruluşun sürece dahil olması gerekir. İyi güvenlik hijyeninin şirket kültürünün temel bir parçası olması gerekir ve kuruluşun üst düzey liderliği, güvenlik uygulamalarına uymanın iş hedeflerine ulaşmanın bir parçası olduğunu açıkça belirtmelidir.
Kuruluş genelinde güvenlik ve operasyonel esnekliğin aşılanması, tüm departmanların ihtiyaçlarının ve iş akışlarının, farklı ekiplerin teknolojiyi nasıl kullandığının, hassas varlıkların nerede depolandığının ve bunlara kimlerin erişebildiğinin anlaşılmasını gerektirir. Güvenlik ve iş hedeflerini uyumlu hale getirmek için şirket liderleri ileriyi planlamalı, departmanlar arasında proaktif iletişimi teşvik etmeli ve işbirliğine dayalı bir kültürü teşvik etmeli ve ödüllendirmelidir.
Herkesin Oynayacak Bir Rolü Var
Siber güvenlik riskinin genel iş riski merceğinden değerlendirilmesi gerektiğine inanıyoruz. Bir güvenlik ihlali, operasyonlarının birçok yönüne yansıyan uzun süreli etkileriyle bir kuruluş için yıkıcı olabilir. Bir veri ihlali, bir şirketin itibarına önemli ölçüde zarar verebilir, müşteri güvenini zedeleyebilir ve yetenekleri çekmeyi ve elde tutmayı zorlaştırabilir. Bunu akılda tutarak, siber güvenlik hijyeni teknolojik araçlarla olduğu kadar iş stratejisiyle de ilgilidir.
Tehlikede olan bu kadar çok şey varken, siber güvenlik ve dayanıklılık sorumluluğu, bilgi güvenliği şefi (CISO) ofisinin çok ötesine uzanıyor. Başarılı kuruluşlar, güvenliğin çok yönlü doğasını anlar ve başarılı CISO’ların, kuruluşun güvenlik stratejisini tanımlamak ve uygulamak için meslektaşlarıyla yakın işbirliği içinde olduğunun bilincindedir. Bu makalede, aşağıda daha ayrıntılı olarak açıklandığı gibi, bu paydaşlar arasındaki etkili işbirliğine daha yakından bakacağız.
CEO iş stratejisini belirler ve bu stratejinin uygulanmasından sorumlu olan baş işletme yetkilisi (COO) ile yakın işbirliği yaparak işi etkileyebilecek operasyonel risklerden sorumludur. CISO’nun iş stratejisi, risk iştahı ve stratejik kurumsal hedeflerle uyumlu bir güvenlik programı geliştirmesi, iletmesi ve uygulaması ve aynı zamanda kuruluşun riskini azaltması önemlidir. Bu, CEO, COO ve CISO’nun yönetici liderliği sağlayabileceği ve politikalar geliştirilirken ve teknik ve operasyonel kontroller uygulanırken güvenlik odaklı bir zihniyetin dikkate alınmasını sağlamak için tek bir ağızdan konuşabileceği bir alandır.
Benzer şekilde, CISO ve baş teknoloji sorumlusu (CTO), kuruluşun teknoloji planlarıyla yakından uyumlu bir siber güvenlik stratejisi oluşturmak, mevcut ve planlanan teknoloji girişimlerinin doğasında bulunan riskleri ortaklaşa değerlendirmek ve uyumluluk sağlamak için gereken kontrol duruşunu tanımlamak için işbirliği yapmalıdır. ilgili politikalar, kurallar ve düzenlemeler.
Pek çok kuruluşta, CISO ve baş bilgi sorumlusunun (CIO) rollerinin sıklıkla bir dereceye kadar örtüştüğünü, CIO’nun genellikle bilgi sistemlerinin özelliklerine ve işlevlerine odaklandığını, CISO’nun ise daha çok güvenliğe odaklandığını gözlemledik. ve uyumluluk. Bu liderler birlikte çalışarak, kuruluşun ihtiyaçlarına uygun olan ve güvenlik, gizlilik ve uyumluluğu sağlarken iş hedeflerine ulaşılmasına yardımcı olan son derece işlevsel bir sistem geliştirebilirler.
CISO, yukarıda belirtilen paydaşlarla yakın çalışmanın yanı sıra, kuruluşun karşılaştığı genel operasyonel risk kapsamına uyum sağlamak için işbirliği fırsatlarının bulunduğu kuruluşun risk şefi (CRO) ile de bağlar kurmaktan fayda sağlayacaktır. ve insanları, süreçleri ve teknolojiyi genel risk iştahına uygun bir şekilde dengeleyen bir strateji aracılığıyla bu riski azaltmaya yönelik fırsatları belirleyin.
Benzer şekilde, CISO’nun, kuruluşun siber güvenlik duruşunun geliştirilmesinin, birden fazla düzenleyici yargı bölgesini ve coğrafyayı kapsayabilecek ilgili düzenleyici gereklilikler tarafından bilgilendirilmesini ve bunlarla uyumlu olmasını sağlamak için uyum baş sorumlusu (CCO) ile ortaklık kurması akıllıca olacaktır.
Yukarıda belirtilen çeşitli paydaşların ilgili etki alanlarının ve gereksinimlerinin kapsamlı bir şekilde anlaşılması, kurumsal politika ve prosedürlere bilgi sağlayabilir ve kuruluş genelinde düzenli olarak yinelenen eğitim ve iletişimle desteklenen bir siber güvenlik farkındalığı kültürünün oluşturulmasına temel oluşturabilir.
Organizasyon İlkeleri
Bu yaklaşımı uygulamaya koyan kuruluşlar genellikle siber güvenlik çerçevelerine (ör. NIST ya da Bulut Güvenliği İttifakıgüvenlik risklerinin bütünsel ve programatik olarak değerlendirilmesinde etkili olabilir. Örneğin NIST çerçevesi, temel öğelerini aşağıda belirtilen işlevlerden birine ait olarak ortaya koyar:
-
Tanımlamak: Farklı iş birimlerinde işin gerçekte nasıl yapıldığı ve potansiyel güvenlik açıklarının nerede bulunabileceği de dahil olmak üzere organizasyonu değerlendirin.
-
Korumak: Hassas veriler ve kritik hizmetler için koruma önlemleri alın.
-
Tespit etmek: Siber güvenlik olaylarının nasıl tespit edileceğini tanımlayın.
-
Yanıtlamak: Bir siber güvenlik olayına müdahale planlarını belgeleyin ve etkilenen paydaşların müdahale kapsamına alındığından emin olun.
-
İyileşmek: Şirketin hem kısa vadede hem de zaman içinde bir siber güvenlik olayından nasıl kurtulacağını planlayın.
Ancak bu çerçeveler sadece araçlarve bir güvenlik stratejisi olarak hizmet etmekle karıştırılmamalıdır. Dayanıklı ve güvenli bir şirket oluşturmak ve sürdürmek, baştan sona bir güvenlik farkındalığı kültürü geliştirmek anlamına gelir. Liderler ve departmanlar arasındaki etkili işbirliği, bir kuruluşun siber stratejisinin başarılı bir şekilde uygulanması ve kuruluştaki siber güvenliğin durumuna ilişkin bütünsel bir resim sağlama yeteneğinin yanı sıra bireysel ekip üyelerinin, siber güvenliğin desteklenmesi ve yürütülmesindeki rollerini anlamaları için çok önemlidir. Genel strateji.
Devam eden mesleki gelişim ve işlevler arası güvenlik ekipleri oluşturmak, olayları tanımlamayı ve meydana gelmesini önlemeyi amaçlayan bu güvenlik kültürünü geliştirmenin önemli unsurlarıdır. Ancak, talihsiz bir durumda yaşanan olaylardan nasıl ders çıkarılabileceğini düşünmek de aynı derecede önemlidir. Yapmak meydana gelmek. İşte böyle uygulamalar suçsuz ölüm sonrası Gelin. Ekip çalışması duygusu ve “hepimiz bu işte birlikteyiz” yaklaşımı, kuruluşunuzun tamamında kök salan bir siber güvenlik kültürü oluşturmak için hayati öneme sahiptir.
Devamını oku Google Cloud’dan İş Ortağı Perspektifleri