CISO Eğitimleri , Liderlik ve Yönetici İletişimi , Eğitim ve Güvenlik Liderliği
CISO Marco Túlio Moraes, Kuruluşlarda Siber Gündeme Nasıl Yön Verileceği Konusunda
CyberEdBoard •
22 Haziran 2023
“İş dünyası ve siber liderler, küresel jeopolitik istikrarsızlığın önümüzdeki iki yıl içinde yıkıcı bir siber olaya yol açmasının orta derecede veya çok muhtemel olduğuna inanıyor.”
– Küresel Siber Güvenlik Görünümü 2023, Dünya Ekonomik Forumu
2022’de Dünya Ekonomik Forumu, şirket yöneticilerinin %41’inin siber dayanıklılığın kuruluşlarında yerleşik bir öncelik olduğuna inandığını belirttiğinde, güvenlik ve iş dünyası arasındaki uçurumu ortaya çıkardı. Siber güvenlik yöneticilerinin yalnızca %13’ü bu ifadeye katılıyor.
Ayrıca bakınız: Kesin E-posta Siber Güvenlik Stratejisi Rehberi
Uygulamada, kuruluşlar siber riskleri yeterince azaltamadı. PwC tarafından 2023 Küresel Dijital Güven Öngörüleri Anketi’nde sunulan rapor, kuruluşların %40’ından daha azının uzaktan ve hibrit çalışma, bulut benimseme ve yeni ürün ve hizmetlerin piyasaya sürülmesi gibi ortaya çıkan siber risklerini gerektiği gibi azaltabildiğini gösteriyor. .
Olası nedenlerden biri, yeni bir iş girişimi planlarken siber departmanı dahil etme ihtiyacıdır. 2021 EY Küresel Bilgi Güvenliği Araştırmasına göre kuruluşların yalnızca %19’u bunu yapıyor.
Daha da kötüsü, bilinen güvenlik açıkları, yani yazılım sağlayıcının farkında olduğu güvenlik açıkları ortaya çıkmayı bırakmaz. 2022’de 25.000’den fazla yeni güvenlik açığına ulaştılar.
Düzeltilmemiş bir güvenlik açığı, siber güvenlik olayına yol açabilecek bir faktördür, çünkü suçlular bunu sistemleri ihlal etmenin bir yolu olarak keşfedebilir.” .
Öte yandan, Statista’ya göre siber suçlar meyvesini verdi. 2022’deki etkisinin 8 trilyon dolar olduğu tahmin ediliyor ve 2027’de 23 trilyon dolara ulaşması bekleniyor. Neredeyse dijital olan her şeyin değeri var ve siber suç pazarlarında alınıp satılıyor gibi görünüyor.
Mandiant tarafından haritalanan 2.800’den fazla siber tehdit grubu gibi göstergeler; CrowdStrike’ın Küresel Tehdit Raporu 2021’e göre, bir suç grubunun bir ortamı işgal edebilmesi için iki saatten az; ve AAG’ye göre 2021’de ortalama 570.000 dolarlık fidye ödemesi mevcut siber suç senaryosunu gösteriyor.
İş tarafında, bir veri ihlalini tespit etmek ve kontrol altına almak için ortalama 287 gün olan 3,4 milyon siber güvenlik uzmanı açığı ve 2022’de ortalama 4,35 milyon dolarlık siber saldırı maliyeti, şirketlerin karşı karşıya olduğu zorluğu gösteriyor.
2023 Veri İhlali İnceleme Raporuna göre, 2022’de 16.000’den fazla güvenlik olayı bildirildi ve bunların 5.199’u güvenlik ihlaline neden oldu.
Geçen yıl bir veri ihlali yaşayan kuruluşların %72’si bunu kamuya açıklamamayı tercih ettiğinden “bildirildi” kelimesi önemlidir.
Yeni riskler erken yönetilmediğinden, mevcut teknik borç dış ve iç faktörler tarafından arttığından ve kuruluşlar ortaya çıkan riskleri düzgün bir şekilde yönetemediğinden, bu zorlukla yüzleşmek için ne yapmalıyız?
Toplantı Odasının Siber Güvenlikteki Stratejik Rolü
“Siber liderler, genel olarak, siber güvenlik sorununu yönetim kurulu düzeyindeki yöneticilerin anlayabileceği ve harekete geçebileceği terimlerle sunma konusunda zayıf kalıyor.”
Küresel Siber Güvenlik Görünümü 2023, Dünya Ekonomik Forumu
İlk adım, bunun bir yönetim kurulu meselesi olduğunu anlamaktır ve bu, yöneticilerin siber sorunu anlamaya ve tartışmaya hazır olmasını ve bu karmaşık konuda C düzeyindeki yöneticilere stratejik olarak rehberlik etmesini gerektirir. Yönetim kurulu odasında siber yetkinlik gerektirir. Denklemin siber güvenlik bileşenini anlamıyorsa yönetim kurulu odası risk-ödül seçeneklerini nasıl dengeleyebilir?
Yönetime rehberlik etmek için yönetim kurulu üyeleri, kurumsal hedeflerin siber güvenlikle nasıl ilişkili olduğunu ve siber güvenliğin iş değerlerini nerede ve nasıl etkinleştirdiğini veya koruduğunu anlamalıdır. Finans, operasyonlar veya itibar risklerini tartışırken sahip oldukları yetkinlik düzeyiyle siber konuları da tartışmaları gerekir.
Bob Zukis’in “Amerika’nın Dijital Dönüşümüne Yön Veren Toplantı Odaları”nda yazdığı gibi, dijital ekonomide değer teknoloji aracılığıyla yaratılır veya yok edilir. Siber güvenlik, güvenilir ve esnek operasyonları sürdürür, paydaşlara güven sağlar, yasal düzenlemelere uyumu sağlar ve işletmelerin dijital tehditlere karşı korunarak dijital dünyada yaşamasına olanak tanır (bkz:: Siber Güvenlik, Yönetim Kurulu ve Strateji: İşletmeyi Korumanın Ötesine Geçmek).
Yönetim kurulu odasının siber güvenlikteki rolünün üç bileşeni vardır.
1. Siber Risk Değerlendirmesi
Siber güvenliğin risk profillerini ve önde gelen siber risklerin kurumsal hedefleri nasıl etkileyebileceğini de anlamayı gerektirdiğini göz önünde bulundurarak iş stratejisini yönlendirin.
Kuruluş, işle ilgili birincil siber risklerin haritasını çıkarmak için bir siber risk değerlendirmesinden yararlanabilir. İş modelleri, pazar türü, büyüklüğü, karmaşıklığı ve ivmesi nedeniyle her şirket farklı bir risk profiline sahiptir.
Bir siber risk değerlendirmesi, temel iş varlıklarına yönelik siber tehditler, doğal riskler, yürürlükteki mevcut kontroller, siber sorunlar ve tüm bunların farklı iş kollarını nasıl etkilediğini içeren bir siber risk profili sunabilir.
İdeal olarak, sayısal finansal terimlerle siber risk portföyü için toplam zarara maruz kalma durumunu sunar. Nerede durduğunuzu bilmek, sorunun boyutunu anlamanıza ve stratejiyi yönlendirmenize yardımcı olabilir. Örneğin, sağlık sektörü, yıllık olası %9 olasılık ve ortalama 40 milyon $’lık kayıp göz önüne alındığında, ortalama 5,5 milyon $’lık bir risk portföyüne sahiptir. Bu kuruluşunuzun kabul edebileceği bir şey mi?
2. Siber Risk İştahı
Sonunda büyük resmi görebildiğiniz zaman, organizasyonel öncelikleri tanımlamalı ve bütçe, insan, zaman ve diğer kurumsal riskler ve kaynak sınırlamaları gibi verili kısıtlamalar göz önünde bulundurularak risk iştahı ve toleransını tartışmalısınız. Risk iştahı ve toleransları, hangi siber risklerin kabul edilebileceğini ve hangilerinin hafifletilebileceğini, önlenebileceğini veya aktarılabileceğini belirler. Kuruluşun yönetebileceği risk düzeyini tanımlamaya yardımcı olur. Belki de pazar payını kaybetme olasılığı olan bir siber risk senaryosunda risk alan biri olabilirsiniz ve umarım insanlara güvenlik riskleri getirebilecek risk durumlarını kabul etme konusunda daha muhafazakar olabilirsiniz.
İster resmi bir beyan olsun ister olmasın bir siber risk iştahı tasarlamak, yeni bir ürünü geciktirme, bir iş inisiyatifi düzenleme, diğer ilgili riskleri öncelik sırasına koyma, bir siber risk stratejisini desteklemek için kaynakları yeniden yönlendirme veya diğer zorlu ticari kararları değerlendirmenize yardımcı olur. yapılması gerekiyor.
3. Stratejik Siber Güvenlik Programı
Konuyla ilgili net bir görüşe sahip olduğunuzda, yönetim, alınacak acil önlemleri göz önünde bulundurarak bir acil durum planı oluşturmalıdır. Riske maruz kalmayı azaltabilecek hızlı kazançlar olabilir. Bu plan, ne yazık ki yolculuk sırasında her an gerçekleşebilecek siber saldırılardan kaynaklanan krizlerin yönetilmesine yönelik bir süreci içerebilir.
Siber risk profili ve risk portföyü, iş stratejileri ve hedefleri, tanımlanan kaynak kısıtlamaları ve siber risk iştahı gibi ilgili tüm bileşenler hazır olduğunda, stratejik siber güvenlik programını tartışabilirsiniz. Gerekli yatırımı, programın uygulanması sırasında ve sonrasında alanların sorumluluklarını ve mevcut risklerin azaltılması, daha fazla operasyonel verimlilik veya iş ile ölçülse de uygulamadan sonra beklenen sonuçları içeren siber riskleri yönetmek için girişimleri tanımlayacaktır. canlılık.
Kuruluşun stratejik siber güvenlik programı uygulamasını ve ürünlerini siber risk yönetimi kurumsal yetenekleri olarak nasıl yöneteceğini ve denetleyeceğini düşünün.
“Yönetim kurulları, siber güvenlik liderlerinin koruma için hangi varlıklara ve süreçlere öncelik verilmesi gerektiğini anlamalarına yardımcı olmalı. Kurullar daha sonra bu öncelikler konusunda kendilerini sorumlu tutmalıdır.”
– Küresel Siber Güvenlik Görünümü 2023, Dünya Ekonomik Forumu
Siber güvenlik, teknolojileri uygulama yolculuğunun yanı sıra siber gündemi yönlendirmesi ve denetlemesi gereken yönetim kurulu odası da dahil olmak üzere kuruluştaki herkes için eğitim, kültürel değişim ve rol ve sorumlulukların yeniden sınıflandırılması yolculuğudur.
Siber tehdit senaryosu zorludur. Ancak yönetim kurulu rolünü üstlenirse şirketler siber kıştan kurtulabilir. Görelim.
CyberEdBoard, ISMG’nin güvenlik, risk, mahremiyet ve BT alanlarında en üst düzey yöneticilerden ve düşünce liderlerinden oluşan, üyelere özel önde gelen topluluğudur. CyberEdBoard, dünya çapında 65 farklı ülkede bulunan binlerce CISO ve üst düzey güvenlik lideri tarafından paylaşılan karmaşık zorlukların üstesinden gelmek için yöneticilere güçlü, akran odaklı işbirliğine dayalı bir ekosistem, özel toplantılar ve bir kaynak kitaplığı sağlar.
Topluluğa Katılın – CyberEdBoard.io.
üyelik başvurusu
Marco Túlio Moraes, teknoloji ve siber güvenlik alanında 20 yılı aşkın deneyime ve finans piyasasında ve startup’lar ve fintech’ler gibi yerel dijital şirketlerde deneyime sahiptir. Brezilya’daki ilk siber güvenlik programlarından birini geliştirdiği Red Ventures, Experian, MUFG ve AES gibi Fortune 500 şirketlerinde stratejik programlara liderlik etti. 2019, 2020 ve 2021 yıllarında farklı uluslararası kuruluşlar tarafından üst düzey güvenlik yöneticilerinden biri olarak tanındı ve IDG tarafından tanınan en iyi 50 güvenlik şefinden biri oldu.