Birkaç yıl önce, “Siber Özcülük” adlı bir konuşma yapardım. En sevdiğim kitaptan sonra modellendi, Özcülük: Daha Azının Disiplinli Peşinde, Greg McKeown (Para Birimi; 2014), hepimizin önemsiz birçok şey yerine hayati önem taşıyan birkaç şeye odaklanmamız gerektiğini aktarmaya çalışır. Bu kolay değil — e-postaları didik didik etmek, aslında iğneleri hareket ettirmiyor olsanız bile, daha fazlasını yapıyormuşsunuz gibi hissettiriyor. Çok sayıda küçük hızlı, düşük asılı “meyve” yapmak da harika hissettirebilir, ancak bunun gerçekten bir etkisi var mı? Bazen, elbette, ama çoğu zaman hepimiz hayati önem taşıyan birkaç şey yerine önemsiz çoğunluğa odaklanıyoruz – bu nedenle özcülüğe duyulan ihtiyaç.
Siber güvenlikle özcülük her zamankinden daha gerekli. 2016’da sunumumu bir araya getirdiğimde ekipler yetersiz, aşırı yüklenmiş ve savunmaları gereken zorlu, dinamik bir BT ortamıyla karşı karşıyaydı. Tanıdık geliyor mu? Hâlâ aynı durumdayız, ancak şimdi takımlardan sermaye harcamalarını ve operasyon harcamalarını daha fazla incelemeleri isteniyor ve görünüşe göre her yıl savunacakları daha da büyük bir yüzey alanı var. Yakın tarihli bir yemekte CISO’ların sözleriyle ifade etmek gerekirse – “daha azıyla daha azını yapın.”
Peki, yapabileceğiniz bazı şeyler nelerdir? Okumaya devam edin ve bunu yaptıktan sonra kendinize biraz zorunlu düşünme süresi verin.
Strateji ile Başlayın
Peter Drucker bir keresinde “verimlilik işleri doğru yapmaktır, etkililik ise doğru şeyleri yapmaktır” diye yazmıştı. Bu bana özcülük gibi geliyor. Ne olursa olsun, “doğru şeyleri” bulma ihtiyacı kritik derecede önemlidir. Bu, düşüncemizi “stratejiye” doğru kaydırmaya başlıyor, ancak bu kelime genellikle gereğinden fazla kullanılıyor. Belki de en sevdiğim kitaplardan biri, İyi Strateji, Kötü Strateji: Fark ve Neden Önemli? (Para birimi; 2011)Richard Rumelt tarafından biraz ışık tutabilir.
Yazarın yazdığı gibi, bir stratejinin özü gerçekten üç şeydir: bir hipotez, yol gösterici bir politika ve bir dizi somut adım. Çoğumuzun yanlış anladığı yer burasıdır – hipotezimizin ve yol gösterici politikalarımızın ne olduğunu dikkate almayız! Güvenlik programı hipoteziniz nedir?
Buradan hem mikro hem de makro kararlar için yararlanabileceğiniz yol gösterici politika nedir? Belki de mümkün olduğunca ademi merkeziyetçilik? Her şeyi otomatikleştirin mi? Mümkün olduğu kadar çok izlemek?
“Kültür, stratejiyi kahvaltı niyetine yer” derler ama harika bir kültür ve yanlış yerde oynayan veya yanlış yöne giden bir takım bir hanedan (ya da etkili bir güvenlik programı!) yaratmaz.
Kültür Oluşturun ve Güçlendirin
Yerinde bir stratejiniz olduğunda, birlikleri toplama zamanı. Karar vermeye yardımcı olan ve görevlere, insanlara ve enerjiye en iyi nasıl öncelik verileceğini hatırlatan bu yol gösterici politikayı destekleyin.
İşe alırken, ekibin gücünü pekiştiren her şey ekip ve süreçler, olaylar ve yürütmenin diğer yönleriyle ilgilidir. Ayrıca, takım arkadaşlarınızın özellikleri önce takım, sonra ego (veya … son) ile ilgili olmalıdır. Ve öylece bazı terimler veya posterler yayınlayıp kültürün icabına bakıldığını varsayamazsınız — bu, hangi davranışların teşvik edildiğinin (ve izin verildiğinin), işletmenizi başarılı kılmakta hangi özelliklerin etkili olduğunun ve liderliğin nerede yapmayı seçtiğinin süregelen bir yansımasıdır. zamanını harcamak
Odak Güvenlik Zaman ve Enerji
Elbette az önce söylediğimiz her şey bitmeyen bir süreç ama bunun peşinde koşarak savaşa girecek bir stratejiniz ve kültürünüz olduğunu varsayalım. Artık güvenlikle ilgili her şeyi düşünmenin zamanı geldi, çünkü yeterli zamanınız var ve tüm risk azaltma o zaman için talep. Arz ve talebi nasıl dengeleyeceksiniz? Çoğu zaman ileri teknolojiye, yeni tehditlere veya güvenliğin gerçekten bir arz-talep denklemi olduğuna dair aşırı düşünmenin diğer yollarına kapılıyoruz.
Soruşturmalara daha az zaman harcamak ister misiniz? Ortamınızı sağlamlaştırın ve popülasyonunuzun siber hijyeni üzerinde çalışın. Daha az sisteme yama yapmak ister misiniz? Daha az sistem dağıtın veya yapacak daha az işiniz olduğunda hizmet olarak platform (PaaS) veya hizmet olarak yazılım (SaaS) kullanın. Bu çeşitli gerginlikleri zamanınız üzerinde kırabilirseniz, iğneyi hareket ettirmenin yollarını bulabilirsiniz.
Çözüm
Unutmayın, hayattaki her şeyde, önemsiz çoğunluğa karşı hayati önem taşıyan birkaç şeye odaklanmamız gerekiyor. Güvenlik, bunun harika bir hatırlatıcısıdır çünkü her şirketteki güvenlik ekibi, işin tüm bölümlerinin yüzey alanı ve baskı eklemesiyle, genellikle en gergin ekipmiş gibi hissettirir. Her şeyi önemsiz çoğunluğa karşı hayati bir azınlık olarak düşünürsek ve ardından arz-talep denklemini en üst düzeye çıkarmak için çalışırsak, savaşma şansımız olur.
Yakında çıkacak olan 2. bölümde, hemen yapmanızı tavsiye ettiğim bazı belirli şeyleri biraz daha derinlemesine inceleyeceğiz.