Yazan Shirley Salzman, SeeMetrics CEO’su ve Kurucu Ortağı
Tüm gözler güncellenmiş NIST CSF 2.0 yayınına çevrildiğinden, spoiler’lardan bazıları zaten yayınlandı; artık güvenlik liderlerinin yalnızca tanımlaması, koruması, tespit etmesi, yanıt vermesi ve kurtarması gerekmiyor; onların da yönetmesi gerekiyor.
CISO’nun C-Seviye meslektaşlarının çoğu halihazırda özel bir yönetim platformuyla yönetirken, CISO’nun ekibi hâlâ parçalanmış veri yığınlarıyla, e-tablolarla ve belki de daha fazla e-tablo oluşturan danışmanlık firmalarıyla mücadele ediyor.
On yıl içinde her şey değişti: 2014’teki ve şimdi de 2024’teki yönetişim yaklaşımını düşünün. Geçmişte CISO’nun şunları yapması gerekiyordu: kutuyu kontrol et fonksiyonların kontrolleri. Günümüzde etkin yönetim anlayış anlamına gelir ne kadar iyi Kontroller rutin olarak uygulanmakta ve sürdürülmektedir. Bu, siber güvenliğin ileriye doğru büyük bir adım attığı ve güvenlik liderlerinin işlerini yapmak için tamamen yeni bir yönteme sahip olacağı anlamına geliyor.
Bu pratiğe nasıl yansıyor?
Şimdiye kadar, lezzetli bir pasta için tüm malzemeleri satın almak ama pastayı yapmanın sorumluluğunu üstlenmemek gibiydi. Malzemeler dolapta kalmıştı, bazıları kullanılmış, bazıları kullanılmamış, bazıları gereksiz, bazılarının son kullanma tarihi geçmişti; neye ihtiyaç duyulduğu, sonuçta nasıl kullanıldıkları ve pastanın sonuçta iyi olup olmadığı konusunda hiçbir gözetim yoktu.
Güvenlik açısından bu, CISO ofisinin uç nokta koruma araçları veya kod koruması gibi gerekli tüm kontrolleri sağladığı, ancak güvenlik liderliğinin bunların uygulanıp uygulanmadığını ve uygulanmışsa ne kadar iyi olduklarını anlama becerisine sahip olmadığı anlamına gelir. çalışma. Bunun nedeni, günümüzün güvenlik ekiplerinin çoğu zaman politikalarının nasıl uygulandığına dair hiçbir görünürlüğe sahip olmamasıdır. Aktivasyonlarını (konuşlandırıldılar mı?), tarama döngülerini (hangi hızda çalışıyorlar?) ve kritik olayların çözülüp çözülmediğini (politikamıza göre ne kadar iyi performans gösteriyorlar?) ölçmenin hiçbir yolu yok.
Bir CISO’nun veya güvenlik liderinin operasyonlarının nasıl performans gösterdiğini yönetme, yönetme ve ölçme yeteneği giderek büyüyor ve akıllarda yer ediyor. Son olarak endüstri, CISO’ların işlerinin yönetim kısmını yapmak için ihtiyaç duydukları araçlara sahip olmadığının farkına varıyor.
Operasyonlarının karmaşıklığından başlayarak, bunun pek çok nedeni var. SoC2/type ile uyumlu olması gereken her şirketin en az 15 farklı güvenlik aracını yönetmesi muhtemeldir. Büyük işletmeler söz konusu olduğunda yığın 100’den fazla araca ulaşabilir. Birleşme ve satın alma sürecinden geçmiş olabilecek orta ölçekli şirketlerin bile birkaç düzine ayrılmış araca sahip olması muhtemeldir.
İkincisi, CISO’nun hesap verebilirliği ve bununla birlikte yeni yükümlülükler ve beklentiler artıyor. Mayıs 2023’te Uber’in CISO’su Joe Sullivan, ABD’deki bir şirket ihlali nedeniyle mahkum edilen ilk CISO oldu ve yeni sorumluluk tanımı CISO topluluğunu rahatsız etti. Altı ay sonra Solarwinds CISO’su, diğer şeylerin yanı sıra yeterli güvenlik kontrollerini uygulamamakla suçlanarak dolandırıcılıktan suçlu bulundu.
Ve son olarak, yönetim amacıyla güvenlik verilerinin konsolidasyonuyla ilgili yeni teknolojiler, veriye dayalı içgörülere ve dolayısıyla veriye dayalı güvenlik liderliğine giden yolu sunuyor.
NIST CSF 2.0’ın yeni yönetim fonksiyonunun, birkaç önemli ve pratik değişiklik gerektiren yeni bir veri odaklı güvenlik yönetimi yaklaşımını daha da geliştireceğine inanıyorum:
- Operasyonel araçlarda şeffaflık – bir operasyon lideri veya analist bir olayı veya bir güvenlik açığını düzeltmek için içeriye bakarken, güvenlik liderleri kendilerine birkaç farklı soru sorar. Örneğin: en son satın aldığımız araçlar ne kadar iyi kaydoldu ya da hangi iş biriminin yeni kontrolleri daha iyi benimsemek için yardımıma ihtiyacı var?
- Çok disiplinli zihniyet – bugün bir CISO’nun ofisi, her biri özel KOBİ’ler tarafından yönetilen çok farklı dillere, yeteneklere ve ölçümlere sahip 10 ila 14 farklı güvenlik programını yönetmektedir. CISO’nun ofisinde, araçlardan bağımsız, anlaşılması kolay ve güvenlik politikaları karşılanmadığında gerekli eylem öğelerinin ne olduğuna dair net bir anlayış sunan basit ve açık bir dil, ölçümler ve politikalar benimsemek gerekir.
- Yatırım getirisine dikkat edin – günümüzün bütçe kesintileri ve durgunluğuyla birlikte, yönetim kurulları güvenlik alanına yapılan önemli yatırımlar hakkında giderek daha fazla soru soruyor. Meslekten olmayanların çoğu için düzinelerce güvenlik aracı arasındaki nüansları anlamanın kesinlikle bir yolu yoktur. Bu, CISO ofisinin, hantal yığınlarını kurula aktarmak ve güvenlik açıklarını, kurulun önceki çeyreğin bütçe artışından sonra neden hala daha fazla yatırım ihtiyacı olduğunu anlamasına yardımcı olacak şekilde yansıtmak için basit bir yol benimsemesi gerektiği zamandır.
- Politika uygulamasının etkinliği – Performansı artırmak için çok çalışmak bir şeydir, ancak CISO’nun belirlediği politikaların ne kadar trend olduğunun farkında bile olmamak tamamen başka bir şeydir. Bu konuda basit ve sürekli bir bakış açısı benimsemek, çok daha güçlü bir yönetişimin ilk adımıdır.
Özetlemek gerekirse, NIST çerçevesine “yönetim” kelimesinin resmi olarak eklenmesi, CISO ofislerinin liderlik tarzlarını yükseltmeleri için harika bir fırsattır.
yazar hakkında
Shirley Salzman, güvenlik liderlerinin yığın performansını ölçme, izleme ve iyileştirme biçimini değiştiren bir Siber Güvenlik Performans Yönetimi (CPM) platformu olan SeeMetrics’in CEO’su ve Kurucu Ortağı. Günümüzün manuel süreçlerinden farklı olarak SeeMetrics’in kokpit benzeri kontrol paneli, performansla ilgili önemli soruları anında yanıtlıyor. Shirley, ticari liderlik alanında (Percepto, Contguard ve Logic Industries) on yıldan fazla deneyime sahiptir. Yüksek teknoloji kariyerinden önce Shirley, ABD Alman Marshall Fonu ve Herzliya, İsrail’deki Disiplinlerarası Merkez’deki Politika ve Strateji Enstitüsü gibi küresel politika ve strateji firmalarında çalıştı. Shirley, Londra’daki King’s College’dan Uluslararası Güvenlik ve Nükleer Silahların Yayılmasının Önlenmesi alanında onur derecesiyle yüksek lisans derecesine sahiptir.
Shirley’e şu adresten çevrimiçi olarak ulaşılabilir: [email protected] ve şirketimizin web sitesinde https://seemetrics.co/