Yazan: Lior Bar-Lev, Strateji ve BizOps Başkan Yardımcısı, CYE
Son zamanlarda, Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), “kötü şöhretli CSF”sinin (Siber Güvenlik Çerçevesi) 2.0 taslağını yayınladı. 4 Kasım’a kadar kamuoyunun görüş ve değerlendirmelerine açık olan yeni versiyonda büyük değişiklikler yer alıyor. Bunların arasında, mütevazı “Kritik Altyapı Siber Güvenliğini İyileştirme Çerçevesi” yerine, günlük dildeki adının yeni, büyük harfle yazılmış bir versiyonu olan “Siber Güvenlik Çerçevesi” ile tanıştırılmamız da var. Bu değişiklik yalnızca özgüvenin olgunlaşmasını değil, aynı zamanda kapsamındaki kavramsal bir değişimi de temsil ediyor: Artık çerçeve, sektör, büyüklük veya konum ne olursa olsun tüm kuruluşları kapsıyor. Bu kuruluşlar yalnızca yeni CSF versiyonunda tanınmakla kalmıyor, aynı zamanda CSF’nin uygulanmasına ilişkin yepyeni, genişletilmiş rehberlik de alıyor.
Ek güncellemeler arasında, çerçevenin kapsadığı konularda sadece niceliksel bir genişleme değil, aynı zamanda niteliksel bir kavramsal değişim de gösteren belki de en büyük değişiklik, “Yönetmek.” Bu, daha önce bilinen “Tanımla; Tanımla” beşgenine katılan altıncı işlevdir. Korumak; Tespit etmek; Yanıtlamak; ve İyileş.”
Ulusal Enstitü’nün belirttiği gibi, Yönetim fonksiyonunun eklenmesi, “siber güvenliğin kurumsal riskin önemli bir kaynağı olduğunu ve üst düzey liderlik açısından dikkate alınması gereken hususlar arasında yasal ve finansal risklerin yanında sıralandığını” vurgulamaktadır. NIST uzmanları, siber riski kurumsal riskin artan bir parçası olarak resmi olarak kabul ederek, siber güvenliğin en büyük sorunlarından birini çözmeyi amaçlayan CISO’lar ile yönetim arasında bitmek bilmeyen köprü kurma yolculuğuna bir kilometre taşı olarak katkıda bulundular.
Toplantı Odaları ve CISO’lar Arasındaki Bağlantı Kesilmesi
Peki sorun ne? Siber güvenlik tekniktir; bu nedenle işten kopma eğilimindedir.
Harvard Business Review’da yayınlanan yakın tarihli bir çalışmada, 600 yönetim kurulu üyesine siber güvenlik konusundaki tutumları ve faaliyetleri hakkında anket yapıldı ve şirketlerin yönetim kurulları ile CISO’ları arasındaki kopukluğa ilişkin endişe verici bilgiler ortaya çıktı. Lucia Milică ve Dr. Keri Pearlson’ın araştırmasına göre, yönetim kurulu üyelerinin yalnızca %67’si insan hatasının en büyük siber güvenlik açığı olduğuna inanıyor, ancak Dünya Ekonomik Forumu’nun bulguları siber güvenlik olaylarının %95’inin insan hatasından kaynaklandığını gösteriyor. Bu, bazı yönetim kurullarının karşılaştıkları kurumsal riskleri anlamadıklarının bir göstergesi olabilir.
Ayrıca, anket katılımcılarının yarısı en çok CISO siber güvenlik uzmanlığına değer veriyor, bunu teknik uzmanlık (%44) ve risk yönetimi (%38) izliyor. Bu, siber güvenlik konularının gündeme gelmiş olmasına rağmen kurulun bunları hala teknik konular olarak gördüğünü gösteriyor. Yönetim kurulu üyelerinin %65’i kuruluşlarının önemli bir siber saldırı riski altında olduğunu düşünürken, CISO’ların yalnızca %48’i bu görüşü paylaşıyor ve yine de yönetim kurulu üyelerinin %76’sı bu “sağırlar diyaloğu”nu daha iyi anlıyor. siber korumaya yeterli yatırım yaptıklarına inanıyorlar.
Siber güvenlik, yönetim kurulları tarafından yalnızca teknik bir konu olarak ele alındığında, toplantılarda yeterince ele alınamayan operasyonel bir konu haline dönüşüyor. Yönetim kurulu toplantılarındaki zaman kısıtlamaları nedeniyle etkili denetim için gereken derinliğe inmek zorlaşıyor. Yöneticiler, kapsamlı sorguları formüle etme veya yanıtları bütünüyle kavrama konusunda kendilerini yetersiz hissedebilecekleri için zor sorular sormaktan kaçınabilirler. Ancak siber güvenliğin kurumsal bir mesele olarak algılanması, konuyu teknik olmaktan çıkıp yönetimsel bir engel haline getiriyor. Siber güvenlik, kuruluş için stratejik bir gereklilik olarak benimsendikçe, yönetim kurulu düzeyindeki tartışmalarda önem kazanıyor.
Siber Risk Yönetimini Yönetim Kuruluna Taşıyoruz
Peki bu nasıl başarılabilir? Her iyi uzlaşmada olduğu gibi, cevap yolun ortasında bir yerdedir. Son zamanlarda ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), siber güvenlik risk yönetimi, stratejisi, yönetişimi ve halka açık şirketlerin olay açıklamasına ilişkin yeni kuralları resmi olarak kabul etti. Önerilen değişikliklerin inceleme süreci sırasında, belirli bir kural “önemli yorum topladı”; bu kural, tescil ettiren kişinin yönetim kurulu üyelerinin (varsa) siber güvenlik uzmanlığı hakkında açıklama yapılmasını zorunlu kılmayı önerdi. SEC, yorumları değerlendirdikten sonra, “etkili siber güvenlik süreçlerinin büyük ölçüde yönetim düzeyinde tasarlanıp yönetildiği ve risk yönetimi ve strateji konusunda geniş tabanlı becerilere sahip yöneticilerin genellikle yönetimin süreçlerini etkili bir şekilde denetlediği” konusunda ikna olduğu için değişikliği benimsememeye karar verdi. diğer karmaşık teknik konularda olduğu gibi, belirli bir konu uzmanlığı gerektirmeyen çabalar.
Bu bir uzlaşma gibi görünmese de, her halka açık Amerikan şirketinin her yönetim kurulunun bir siber güvenlik uzmanı içermesini sağlamak kuşkusuz zordur; onlardan yeterince yok. Ancak buradaki asıl mesele SEC’in kurullara siber güvenliği anlamak zorunda olmadıklarını söylemesi değil. Sorun, SEC’in yönetim ekiplerine ve özellikle CISO’lara risk yönetimini yönetim kuruluyla konuşmaları yönünde talimat vermesiyle ilgili.
“Nasıl” Sorusuna Cevap Vermek
Diğer taraftan, yeni NIST CSF v2.0, Yönetme işlevinin eklenmesiyle CISO’nun şu sorumluluğunu vurgulamaktadır: “[e]Kuruluşun siber güvenlik risk yönetimi stratejisini, beklentilerini ve politikasını oluşturup izleyin.” Bu ileri yaklaşımda, sanki NIST uzmanları CISO’lara şöyle diyor: “Karar verme süreciniz (bir parçası olduğunuzu umduğunuz) kuruluşun yönetimiyle uyumlu olmalıdır.” CISO’ların beceri seti ve sorumluluk kapsamı artık sadece NE yapılmalı sorusunu yanıtlayan 108 kontrolü ezberlemekle ilgili değil, aynı zamanda NASIL sorusunu yanıtlamakla da ilgilidir: “Kuruluş, diğer beş İşlevin sonuçlarını nasıl başarabilir ve önceliklendirebilir? misyonu ve paydaş beklentileri bağlamında?”
Yönetişim faaliyetleri, siber güvenliği bir kuruluşun daha geniş kurumsal risk yönetimi stratejisine dahil etmek için kritik öneme sahiptir. Organizasyonel bağlamın anlaşılmasını gerektirirler; siber güvenlik stratejisinin oluşturulması ve siber güvenlik tedarik zinciri risk yönetimi; roller, sorumluluklar ve yetkiler; politikalar, süreçler ve prosedürler; ve siber güvenlik stratejisinin gözetimi.
Bu ikisinin birleşimi – tescil ettiren kişinin siber güvenlik risklerine ilişkin risk yönetimini, stratejisini ve yönetişimini açıklama konusunda kurullara talimat veren düzenleyiciler ve CISO’lara daha geniş bir kurumsal risk yönetimi stratejisi bağlamında düşünme, planlama ve hareket etme talimatı veren standartlaştırılmış bir siber güvenlik çerçevesi – siber güvenliğe yön verme şeklimizde bir devrim olmayabilir. Ancak beklediğimiz şey kesinlikle hem CISO hem de Yönetim Kurulu rollerinin evrimidir.
Siber Risk Ölçümünün Rolü
Eğer “Cevap” gerçekten yolun ortasındaysa, o orta nedir? Siber güvenlik uzmanlığı ile iş odaklı risk yönetimi arasındaki füzyon, siber risk ölçümüdür. Bu, hem CISO’ların hem de yönetim kurulu üyelerinin aynı dili konuşabilmelerinin tek yoludur çünkü sonuçta aldıkları rakamlar, her iki uçtan gelen derin bilgilerin sonucudur:
Siber güvenlik açısından: Kuruluşunuza yönelik tehditlerin tam olarak ne olduğunu bilmelisiniz. “Tehditler”, otomatik taramalardan gelen, genel CVSS kritikliğine göre sıralandığı umulan sonsuz güvenlik açıkları listesi değildir. “Tehditler”, bağımsız kırmızı ekipler tarafından yürütülen siber güvenlik değerlendirmelerinden elde edilen ve her adımın olasılık ve olasılık değerlendirmeleri ile mevcut boşluklar ve gerçek potansiyel saldırı rotaları hakkında yüksek kaliteli verilerdir.
Organizasyonel risk perspektifinden: Kuruluşun iş açısından kritik varlıklarını doğru bir şekilde tanımlamanız ve ardından bu varlıklardan herhangi birinin ihlali durumunda ortaya çıkabilecek potansiyel mali etki konusunda derinlemesine bir anlayışa sahip olmanız gerekir.
Bu bilgiler daha sonra kuruluşa yönelik tüm olası saldırı yollarının olasılığı ile birleştirilir ve yönetim kurulunun ve CISO’nun kuruluşun siber güvenlik duruşuna ilişkin tam bir anlayışa sahip olması sağlanır. Ancak o zaman paydaşların bütçeleri onaylamasına ve projeleri başlatmasına olanak tanıyan gerçek stratejik görüşmeler başlayabilir. Ancak o zaman siber güvenlik ölçeklenebilir hale gelebilir.
Siber risk ölçümünün yönetim kuruluyla iletişim kurmanıza nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek ister misiniz? Bize Ulaşın.
yazar hakkında
Lior Bar- Lev, Strateji ve BizOps Başkan Yardımcısı
Lior, CYE’de şirketin hızlı büyümesi yoluyla iş fonksiyonlarını düzenleyen Strateji ve İş Operasyonları departmanına liderlik ediyor. Önceki pozisyonunda Lior, CYE’nin Müşteri Operasyonları departmanında kilit bir role sahipti; burada çeşitli müşteri portföylerine rehberlik ederek dayanıklılık geliştirmenin tüm yönlerinde gezinmelerine yardımcı oldu. CYE’ye katılmadan önce Lior’un IDF’de on bir yıllık bir kariyeri vardı. Binbaşı (res.) olarak son görevinde, IDF Siber Savunma Bölümünde Savunma Politikası ve Yönetişimi yönetti. Lior, siyaset bilimi alanında lisans derecesine, Orta Doğu tarihi alanında lisans derecesine, Güvenlik çalışmaları alanında yüksek lisans derecesine ve CISO diplomasına sahiptir.
Lior’a https://www.linkedin.com/in/liorbarlev/ adresinden ve şirketimizin web sitesi https://cyesec.com adresinden ulaşılabilir.