Baş Bilgi Güvenliği Görevlileri (CISO’lar), kuruluşlarının siber güvenliğinin durumunu ve bunun iş üzerindeki etkisini nasıl değerlendirmeli ve raporlamalıdır? Yönetim kurulu için yankı uyandıracak ve bilgilendirici olacak şekilde hangi metriklerin referans alınacağını nasıl belirlemeliler?
CISO’lar genellikle metrikleri yönetim kuruluna etkili ve etkili bir şekilde nasıl iletecekleri, etki konusunda kapsamlı ve net olma arzusunu dengeleyerek mesajı sınırlı bir süre içinde iletecekleri ikilemiyle uğraşmak zorunda kalıyorlar.
Odak Alanlarını Belirleme
Bir şeyin ölçülebilmesinden önce, onun neye göre ve neden ölçüldüğünü ölçmek önemlidir. Yönetim kurulunun gözetim rolünde, iş hedeflerine ulaşma yolunda kabul etmeye hazır oldukları siber güvenlik riskinin düzeyini iş dünyası ile ortaklaşa belirlemesi gerekiyor. Buna ek olarak, CISO’nun rolü diğer liderlerle ortaklık organizasyonda, yönetim kurulunu bilgilendirin Bir dizi ilgili göstergeyi izleyerek ve raporlayarak kuruluşun siber güvenlik risk profilinin tanımlanan bu iştah dahilinde olup olmadığına karar verilir.
Daha da önemlisi, çoğunlukla temel performans göstergelerinden (KPI’ler) ve temel risk göstergelerinden (KRI’ler) oluşan siber güvenlik ölçümleri “herkese uyan tek kalıp” değildir ve kuruluşla en alakalı olanları tanımlamak, kuruluşun iş karması, mevcut ve gelişen tehdit ortamı ve kuruluşun kontrol ortamının etkinliği.
Hangi metriklere odaklanılacağını belirlemek için, aşağıdaki beş alanda yönetim kuruluna risk yönetimi konusunda fikir verenleri dahil etmeyi düşünün. Yönetim Kurulunun Güvenliğine İlişkin Perspektifler
-
Kuruluşunuza yönelik mevcut tehditler nelerdir?
-
Bu tehditlerden bir veya daha fazlasının kuruluşunuzu etkilemesinin önemi nedir?
-
Siber güvenlik liderleri bu tehditleri azaltmak için ne yapıyor?
-
Bu azaltıcı önlemlerin işe yarayıp yaramadığını belirlemek için CISO testleri nasıl yapılıyor?
-
Azaltılmayan ancak kuruluşun kabul etmeye istekli olduğu riskler nelerdir?
Yukarıdaki risk yönetimi sorularına verilen yanıtları bilgilendirmeye yönelik bir dizi önemli ölçüt belirledikten sonra, bunların trend analizi için zaman içinde izlenmesi ve yönetim kuruluna düzenli güncellemeler sağlanması çok önemlidir. Etkili CISO’lar Kuruluşun siber güvenlik duruşu, operasyonel esnekliği ve emsalleriyle karşılaştırması ile ilgili yönetim kurulunun birçok sorusunun cevabının incelikli olacağını ve genellikle belirli bir ölçüme işaret edilerek yanıt alınamayacağını bilin. Aksine, iyi bir yanıt genellikle bir miktar bağlamsallaştırma ve birkaç önemli veri noktası örneğiyle başlar.
Siber güvenlikle ilgili KPI’lar ve KRI’ler, bunları genel iş riskine bağlayacak şekilde sunulmalıdır. Yönetim kurulunda yankı uyandıracak etkili mesajlar için CISO’lar, bu ölçümlerin kritik iş hizmetleri ve varlıklarla nasıl ilişkili olduğunu açıkça belirtmeli ve aynı zamanda bu ölçümlerin ortaya çıkan siber güvenlik riskleri ve değişen düzenleme ortamı bağlamında ne kadar alakalı olduğunu da belirtmelidir.
Ölçümler aynı şekilde yönetim kurulunun, işletmenin risk iştahı dahilinde faaliyet gösterip göstermediği ve kuruluşun siber olgunluğunun emsalleriyle karşılaştırıldığında nasıl olduğu konusundaki anlayışını da bilgilendirmelidir. Temel göstergeleri izlemek için tutarlı şablonların kullanılması, trend analizine ve kontrol etkinliğinin izlenmesine olanak sağlar. Bilginin, riskleri, ilgili kontrolleri ve kuruluşun sürekli izleme çabalarında belirtildiği gibi bu kontrollerin etkinliğini ortaya koyan tek bir bölme görünümünde nasıl yapılandırılacağını düşünün. Bunu yapmak yalnızca normalleştirilmiş bir referans çerçevesi sağlamakla kalmaz, aynı zamanda belirlenen hedeflere doğru ilerlemenin izlenmesine de yardımcı olur.
Metrikler Bulmacanın Sadece Bir Parçasıdır
Kurul, ilgili trendlere ilişkin tematik bir genel bakışla ve yalnızca kuruluşun “büyük resim” görünümüne, tehdit ortamına, düzenleyici ortama ve diğer önemli göstergelere ilişkin içgörü sağlayan niteliksel ve niceliksel siber güvenlik ölçümleriyle ilgileniyor.
Yönetim kurulunun farkındalığına yönelik maddi risklerin yanı sıra istenen eylem veya onayların açıkça ifade edilmesi, verimli bir tartışmanın desteklenmesinde uzun bir yol kat edecektir. Ayrıca, sorunu çözmenin yollarını düşünün bazı önemli sorular genel yönetişim, işletim modeli, kuruluşun risk profili ve iştahı üzerindeki etkisi ve yönetim kurullarının akıllarında kalan mevzuata uygunluk duruşu ile ilgili. Bu alanlarda proaktif olarak içgörü sağlamak, şeffaflığı mümkün kılar ve güven oluşturur; bunların her ikisi de yönetim kurulunun bilgilendirilmesi, katılımı ve katılımı konusunda desteklenmesinde kritik bileşenlerdir.
Devamını oku Google Cloud’dan İş Ortağı Perspektifleri