Gergana Winzer, kurumsal danışmanlık ortağı – siber hizmetler, KPMG
KPMG’nin araştırmasına göre, içsel güven oluşturmak, verilerin etik kullanımını sağlamak ve bir siber olay müdahale stratejisi geliştirmek, kurulların ve yöneticilerin siber güvenlik sorunlarıyla uğraşırken odaklanması gereken kilit alanlar.
KPMG’nin Avustralya Siber Güvenlik Öngörüleri 2022 raporu, Avustralya işletmelerinin çeşitli bölümlerinden yönetim kurullarının ve yöneticilerinin siber güvenlik sorunlarıyla nasıl başa çıktıklarını ve siber tehditlere yanıt vermede etkili olmak için ne yapmaları gerektiğini inceliyor.
İçsel güven:
KPMG’de ortak kurumsal danışmanlık – siber hizmetler uzmanı Gergana Winzer’e göre, ilk olarak Stephen MR Covey’in ‘Güven Hızı’ kitabından ortaya çıkan doğal güven kavramı, performans ve yeniliği yönlendirmek için bir şeffaflık ve işbirliği kültürü geliştirmeye atıfta bulunuyor.
Winzer, iTnews’e şunları söyledi: “Doğal güven yaratma yeteneğinin, uzun vadeli performans göstermek isteyen kuruluşlar için bir zorunluluk haline geldiğine inanıyorum, bu nedenle bu olağanüstü sonuçları elde etmek için bu yönde bir çaba gerekiyor.”
KPMG raporu, yanıt verenlerin üçte birinden fazlasının artan güvenin bir sonucu olarak daha iyi müşteri ve çalışan bağlılığı, paydaşlarla daha güçlü ticari ilişkiler ve artan karlılık gördüğünü ortaya koyuyor.
Winzer, CISO’ların bir güvenlik olayına yanıt olarak koruma, tespit ve müdahale mekanizmaları başarısız olduğunda büyük ölçüde sorumluluk üstlenirken, doğal güven oluşturmada “büyük bir rol” oynadığına inanıyor.
“Bu noktada, CISO’nun gerekli olan kapsamlı görüşmeleri yapmak ve rehberlik sağlamak ve dahili olarak bu güveni inşa edebilmek için uygun komitelerde ve liderlik koltuğunda oturmak için gerçekten yetkilendirildiğinden emin olmamız gerekiyor” dedi.
Winzer’a göre raporun en şaşırtıcı sonuçlarından biri, yöneticilerin yüzde 44’ünün yönetim kurulunun CISO ile ‘yüksek güven’ ilişkisine sahip olduğundan şüphe duyması.
Verilerin etik kullanımı:
Yapay zeka (AI), büyük veri ve gelişmiş analitik gibi teknolojilere artan güven, kişisel olarak tanımlanabilir bilgileri ve kritik verileri siber tehditler, casusluk ve etik olmayan kullanım gibi risklere karşı savunmasız hale getirdi.
Avustralya hükümeti, teknolojinin üretkenliği artırma ve sektörler genelinde daha kapsayıcı hizmetler sunma potansiyelini kabul ederken, yapay zekanın sorumlu kullanımını sağlamak için Yapay Zeka Etik Çerçevesini geliştirmiştir.
KPMG raporuna göre, yanıt verenlerin yüzde 80’i yapay zeka ve makine öğreniminin benimsenmesinin benzersiz siber güvenlik sorunları yarattığına inanıyor ve yanıt verenlerin üçte ikisinden fazlası izleme, şeffaflığı artırma, gizlilik endişelerini yönetme ve benimseme sırasında dikkatli yönetişim ve gözetim uygulama ihtiyacı hissetti. AI/ML çözümleri.
Winzer’e göre, “Yapay zeka hayatımıza daha da fazla girmeye başladığında bu, yüzleşmemiz gereken geniş bir sorun. yollarından biri [ensure the ethical use of AI] organizasyondaki kişilerin önyargılarının farkında olmalarını ve bilmeden bunları iş fonksiyonlarını destekleyen algoritmaya aktarmamalarını sağlamaktır.
“Yanlışlığın bir parçası olarak, yapay zeka kullanımıyla ilgili hala ortaya çıkarılmakta olan başka etik yönler var ve bence bu ikilemleri çözebilmek için çok fazla düşünmeye ve zamana ihtiyacımız olacak.”
Siber olaylara müdahale stratejisi:
Bir siber güvenlik olay müdahale planı (IRP), bir siber acil durumun ardından bir kuruluşun izlemesi gereken temel adımları özetler. Rapor, başarılı bir IRP’nin, CISO ve yönetim kurulu dahil olmak üzere kilit paydaşların katılımını ve bunların bir saldırı sonrasındaki rol ve sorumluluklarını özetlediğini ortaya koyuyor.
Winzer’e göre, etkili bir siber güvenlik müdahale stratejisi bir dizi aşama içerir: hazırlık, tespit ve soruşturma, kontrol altına alma ve iyileştirme, kurtarma ve raporlama ve öğrenme ve iyileştirme.
“Etkili iç ve dış iletişimle desteklenenlerin tümü” dedi.
Kuruluşların teknik uzmanlık kazanmak ve bir siber olay tespit edilir edilmez açığı kapatmak için siber müdahale stratejilerini incelemeleri çok önemlidir. İyi tasarlanmış ve test edilmiş bir IRP’ye sahip olmak, bir siber saldırının etkisini en aza indirebilir ve ticari operasyonların hızlı bir şekilde kurtarılmasına yardımcı olabilir.