CISO Eğitimleri, Liderlik ve Yönetici İletişimi, Eğitim ve Güvenlik Liderliği
Andres Andreu, Bir Kuruluşun Nasıl Güvenli ve Başarılı Hale Getirileceğini Tartışıyor
CyberEdBoard •
15 Temmuz 2024
Birçok siber güvenlik lideri, siber güvenliğin kişisel markalarını yükseltmenin bir yolu olarak bir iş kolaylaştırıcısı olduğu fikrini öne sürüyor, ancak bu fikir bilgi ve gerçek dünya örnekleriyle destekleniyor. Zorluk, C-suite’i siber güvenliğin neden bir iş kolaylaştırıcısı olduğu konusunda eğitmektir.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
Siber güvenlik ekipleri genellikle iş liderlerine güvenliklerinin ne kadar zayıf olduğunu göstermeye veya koruma bariyerleri ve koruyucu kontroller uygulamaya odaklanır. Siber güvenliği bir iş kolaylaştırıcısı haline getirmek için, siber güvenlik ekiplerinin, işletmenin işlevselliği ve üretkenliğinin gelişebilmesi için her şeyi güvenli bir şekilde açmaya odaklanmaları gerekir. Bunu, aşırı veya gereksiz koruma bariyerlerini ve kontrolleri azaltarak veya ortadan kaldırarak yapabilirsiniz. Kontrolleri sürekli olarak inceleyin ve bunları iş operasyonlarına göre ölçün. Yeniliği ve yeni girişimleri engelleyen ve somut değer katmayanları hedefleyin. Bunlar teknik borç şeklinde olabilir.
İş dünyasında siber güvenlik artık sadece koruyucu mekanizmalarla ilgili değildir. Teknoloji ilerledikçe ve işletmelere değer kattıkça, siber güvenlik önceliklendirilmelidir. Kurumsal hedef artık sadece iş olamaz; güvenli iş olması gerekir. Güvenli iş, varlıkları, müşterileri ve geliri korumak anlamına gelir. Güvenli iş dünyasında, siber güvenlik işletmeyi etkinleştirir ve büyümesini sağlar.
Siber Güvenliğin İşletmelere Olanak Sağlayabileceği Alanlar
Risk azaltma
Herhangi bir siber olay – bir saldırı, olay, vb. – hem operasyonel hem de finansal olarak önemli bir olumsuz etkiye sahip olabilir. Sağlam siber güvenlik önlemleri, siberle ilgili riski azaltmanın ve maliyetli yasal ücretlerden ve gelir kaybından kaçınmanın yaygın bir yoludur.
Örnek: Bir kuruluş, uygulamalar, API’ler vb. için yerel veritabanı sütun düzeyinde şifreleme ve uçtan uca şifreleme uygular; bu, müşteri verilerini hem hareketsizken hem de aktarım sırasında korur ve ilgili veri kümeleri üzerinde saklama sorumluluğu olan kuruluşu hedef alan kötü niyetli bir aktörün işini zorlaştırır. Bu hareket, veri sızıntısı ve/veya ifşa riskini azaltarak kuruluşa olan güveni artırır. Diğer kuruluşların yapmayacağı mesafelere giderek şirket, güvenlik ve veri korumasına gerçekten önem verdiğini gösterir.
Varlık Koruması
Siber güvenlik kontrolleri ve koruyucu mekanizmalar bir organizasyonun varlıklarını koruyabilir – verileri, insanları, teknoloji ekipmanları vb. Varlıkları etkin bir şekilde koruyarak ve veri ihlallerini önleyerek, bir organizasyon olası olumsuz iş etkisinden, finansal veya başka türlü, kaçınabilir. Ve organizasyon bu olası hasar konusunda endişelenmek zorunda olmadığı için güvenli ve odaklanmış bir şekilde çalışabilir.
Örnek: Bir şirket, kalıcı olarak depolanan müşteri verilerinin koruyucusudur ve zamanla satın almalarla büyümüştür. Bu, birçok farklı mühendislik ekibi üyesinin bu müşteriye yönelik çözümü oluşturan birçok öğeye dokunduğu anlamına gelir. Siber güvenlik odaklı bir veri keşif egzersizi, bir veritabanındaki bazı belirli sütunların PII depoladığını ortaya çıkarır. Bu veriler açık bir şekilde saklanır. Siber güvenlik ekibi, yerel sütun düzeyinde şifrelemeyi uygulamak ve ardından tüm uygulamaları ve API’leri uygun şekilde değiştirmek için mühendislik ekipleriyle birlikte çalışır; bu da hassas verileri kötü niyetli kişilerden korur ve müşteriler ve ortaklarla güven oluşturur. Bu güven, işletmenin büyümesini sağlar.
Yönetmeliklere Uyum ve Uyumluluk
Uyumluluk ve yönetişim, güvenlik ve koruma ile aynı şey değildir, ancak düzenlemelere uyumlu olmanın bir iş değeri vardır. Siber güvenlik, ilgili düzenlemelere uyumu sağlayarak bir işletmeye değer katabilir, bu da bir şirketin para cezaları, cezalar ve yasal sorunlarla karşılaşma riskini azaltır. Uyumluluk ayrıca bir organizasyonun güvenlik olgunluğu düzeyinin harici olarak doğrulanmasını sağlar, bu da iş değeri sağlar – özellikle de harici kuruluş sektörde derin uzmanlığa sahip ve itibarlı olarak biliniyorsa.
Örnek: Bir şirket satın alınmak üzere değerlendirildiğinde, bazı nesnel veya harici kaynaklardan güvenlik olgunluğuna dair kanıt sağlaması beklenir. Bu tür kanıtlara sahip olmayan kuruluşlar olgunlaşmamış veya güvenliği ciddiye almayan olarak algılanacaktır ve bu da satın alınma olasılığını olumsuz etkileyebilir.
Farklılaşma
Olumsuz bir güvenlik olayı yaşamak, bir organizasyonun güvenlik duruşunda bir boşluk veya eksiklik olduğunu gösterir. Tüm organizasyonların güvenlik açıkları vardır, ancak bazıları hiçbir zaman olumsuz bir güvenlik olayı bildirmez – muhtemelen kendilerini rakiplerinden farklılaştırmak için daha fazla kaynak yatırdıkları için. Güçlü koruyucu önlemler uygulamak, müşterilere bir organizasyonun güvenliği ciddiye aldığını gösterir ve bu da onu daha çekici bir iş ortağı yapar.
Örnek: Bir kuruluş, müşteriye dönük ortamlarına karşı dürüst, nesnel ve sürekli değerlendirmeler ve nüfuz testleri yapar ve sonuçları tüm dünyanın görmesi için süssüz bir şekilde yayınlar. Bu şeffaflık, iyi niyet ve güveni gösterir ve kuruluşu, o kadar açık sözlü ve şeffaf olmayan diğerlerinden ayırır.
Müşteri ve İş Ortağı Güveni
Müşteriler ve ortaklar siber risklerin daha fazla farkına varıyor ve iş yapmayı düşündüklerinde siber güvenliğe öncelik veriyorlar. Etkili siber güvenlik önlemleri uygulayarak bir şirket potansiyel müşterilerinin ve ortaklarının kendisine olan güvenini artırabilir. Zamanla bu, artan sadakat ve güvene yol açacaktır.
Örnek: Siber güvenlik odaklı bir veri keşif egzersizi, kişisel veya hassas veriler içeren şifrelenmemiş dosyalar biçimindeki uzun yıllara ait teknik borcu açığa çıkarır. Kötü niyetli bir aktörün bu dosyalara erişmesi durumunda bu bariz bir risktir. Siber güvenlik ekibi, bunu temizlemek için ilgili mühendislik ve BT ekipleriyle etkileşime girer ve maliyet tasarrufu, güvenlik ve veri korumasına olan bağlılığını göstermek için keşfini ve sonraki eylemini ilgili taraflarla paylaşır. Bu, müşteriler ve ortaklarla güven oluşturur ve büyümeyi mümkün kılar.
Yenilik
Şirketler olarak, inovasyon bir farklılaştırıcıdır ve güvenli inovasyon siber güvenlik katılımını gerektirir. Yapay zeka gibi gelişen teknolojilerin benimsenmesinde iş stratejileriyle uyumlu siber güvenlik önlemleri uygulayarak bir şirket çevikliğini ve rekabet gücünü artırabilir.
Örnek: Bir IoT üretim şirketi, telemetri verilerini depolama ve nihai analiz için bulut tabanlı bir ekosisteme otomatik olarak gönderecek sensörler üretiyor. Siber güvenlik ekibi, verilerin mümkün olan en güvenli şekilde iletilmesini sağlamak için yazılım geliştiricileriyle birlikte çalışıyor – hem iletim akışlarını hem de yükleri kapsayan ortogonal şifrelemenin bir kombinasyonu. Bu göz önüne alındığında, kendi kendine yeten yürütülebilir dosyalar birden fazla platform için yerel olarak derlenebilir. Bu korumalı iletim modu taşınabilir hale gelir. Donanım tasarım ekibi daha sonra vites değiştirebilir ve gerektiğinde gömülü platformları değiştirebilir. Veri taşıma mekanizması hakkında endişelenmesine gerek kalmaz. Bu, Ar-Ge’yi, üretim verimliliğini ve çevikliği artırır; maliyeti düşürür; ve işletmenin ölçeklenmesini sağlar.
CyberEdBoard, ISMG’nin güvenlik, risk, gizlilik ve BT alanlarındaki en kıdemli yöneticilerden ve düşünce liderlerinden oluşan, yalnızca üyelere özel topluluğudur. CyberEdBoard, yöneticilere güçlü, akran odaklı bir iş birliği ekosistemi, özel toplantılar ve dünya çapında 65 farklı ülkede bulunan binlerce CISO ve kıdemli güvenlik liderinin paylaştığı karmaşık zorlukları ele almak için bir kaynak kütüphanesi sunar.
Topluluğa Katılın – CyberEdBoard.io.
Üyelik başvurusunda bulunun
Andres Andreu, tutarlı ve öngörülebilir teslimatı garantilemek için yazılım geliştirme süreçlerini gözden geçirmek ve optimize etmekten sorumludur. Uzmanlık alanı bilgi güvenliği yönetimi ve siber ve web uygulama güvenliğini kapsar. Andreu yaklaşık 30 yıllık deneyime sahiptir ve ABD Uyuşturucuyla Mücadele Dairesi’nde görev yapmıştır.