CISO’lar, ekonomik gerilemenin ortasında yönetim kuruluyla mücadele ediyor.
Tim Fleming, Stratejik Danışman, Silverfort
Siber risk artık yönetim kurulu masasına sıkıca çivilenmiş durumda. Operasyonların durma noktasına gelmesine neden olan yüksek profilli veri ihlalleri ve saldırılarının hiç bitmeyen bir alayı bunu gördü. Diğer iş siloları arasında öncelik mücadelesi, CISO için daha az sorun haline geldi.
Bununla birlikte, yönetim kurulu odasında siber riski hâlâ elinde bulunduran çok yıllık bir konu iletişimdir. Etkileşimler bazen farklı dillerde gerçekleşiyormuş gibi hissedilebilir veya farklı hedeflere odaklanmış olabilir; bu, başarılı bir güvenlik liderinin kaçınmaya çalışması gereken bir şeydir.
Ekonomik ufuktaki bulutlar bunu daha da önemli hale getiriyor. Yavaşlayan bir küresel ekonomi duyarlılık üzerinde baskı kurarken, güvenlik liderlerinin risk duruşunu oluşturan insanlar, süreçler ve teknoloji mercek altına alınıyor. Öncelikler hakkında daha zor sorular sorulur. Fişlerinizin nereye konduğunu gerekçelendirmelisiniz.
Bu arka plana karşı, yönetim kurulu ile etkili bir şekilde iletişim kurmak daha da önemli hale geliyor.
Birleştirici bir dil olarak kurumsal etki
Şimdi ortak bir dil her zamankinden daha fazla önem kazanıyor. Ekonomi daralırken,
kuruluşun gerçekten önemli olan şeylere – operasyonel çalışma süresi, müşteri güveni, itibar, yasal uyumluluk ve genellikle gelir üretmeye devam etme becerisi – odaklanması da öyle.
Bu, tartışmaların yapılması gereken mercektir. Bu siber riskle ilgili değil, operasyonel riskle ilgili. Ekonomik bir düşüş döngüsünde, sorunun temel nedeni mikro olsa da etkinin makro olabileceğine dikkat çekilmelidir. Bununla birlikte, operasyonlardan uzakta parçalanmış bir teknik ayrıntılar karmaşası içinde yatan şeytanla, bu genellikle çeviride kaybolur.
Örneğin Colonial Pipeline’ı ele alalım. Boru hattının kapatılması, OT sistemlerine doğrudan bir saldırıdan değil, faturalandırma altyapısının tehlikeye atılmasından ve kritik alanlara yanal hareket korkusundan kaynaklanıyordu. Bir yönetim kurulunu, görünüşte teğet gibi görünen bir riskin her gün 380 milyon litre petrolün akmasını engelleyeceğine önceden ikna etmeye çalıştığınızı hayal edin. Bunu yapmak, büyük resim hikaye anlatımında ustalık, sadece yeterli teknik nüans ve korku tellallığı yapmama ihtiyacı gerektirirdi.
Risk girişimleri için etkili bir maliyet argümanı oluşturmak
Büyük resmin etkilerini ifade edebilmenin aksine, zorlu ekonomik döngülerdeki güvenlik liderlerinin yatırıma nasıl öncelik verdiklerine dair daha ince ayrıntıları da ifade etmeleri ve savunmaları gerekir. Güvenlik işlevi potansiyel maliyet tasarrufları konusunda test edildiğinden, OPEX her zaman ilgi odağı haline gelecektir.
Bu zeminde, belirli savunma yeteneklerinden ‘paranın karşılığını’ iletmek önemlidir. Yönetim ekipleri, güvenlik girişimleri satır öğesinin maliyetini bir seferde ayırarak ve her biri tarafından ne kadar riskin ele alındığını vurgulayarak, harcamaların etkisini daha iyi anlayabilir. Risk çerçevelerinin yararlı bir araç olabileceği yer burasıdır. Görünüşte parçalanmış bir dizi güvenlik girişiminin güvenli operasyonlarla nasıl iç içe geçtiğini özetleyerek, yatırımın en iyi performansı gösterdiği yeri bildirir. Daha da önemlisi, maliyet tasarrufu aranması durumunda maruz kalmanın nerede gerçekleşeceğini vurgular.
Örneğin kimlik programlarını ele alalım. Kimliğe yönelik stratejik bir yaklaşım, çok çeşitli siber saldırılara karşı son derece etkili bir yatırımı temsil ettiğinden, yönetim kurulu düzeyindeki görüşmelerin artan bir parçasıdır. Bugüne kadar, geleneksel kontroller kimlik tehdidi yüzeyinin yalnızca küçük bölümlerini kapsıyor olsa da güvenlik ekipleri, bu boşlukların nerede olduğunu anlayarak ve kötü niyetli erişimi önleyerek elde edilebilecek toptan risk azaltma faydalarına uyanıyor. Bunu yapmak, yanal hareketi bastırarak çok çeşitli saldırılar gerçekleştiren tehdit aktörlerini durdurur. Bu tür girişimlerin yatırım getirisini vurgulamak, güvenlik liderlerinin yönetim kurulları nezdinde iyi durumda olmalarını sağlayacaktır.
Bu tür konuşmalarda eşit derecede önemli olan, iş gücünün mümkün olduğu kadar korunmasını savunmaktır. Zor zamanlarda, kıdemli ekiplerin hızlı maliyet tasarrufu yapmak için kafa kesmeleri cazip gelir. Kağıt üzerinde bu kısa vadeli bir kazanımı temsil etse de – kaçınılmaz yükseliş gerçekleştiğinde insanlara yapılan yatırım kaybının yerine konması zor olacaktır – ileride pahalı ve uzun bir süreç gerektirecektir. Çalışanlarınızı ek yük yerine uygun maliyetli bir savunma yatırımı olarak konumlandırmak çok önemlidir.
Kıdemli paydaşları yanınızda getirin
Siber risk stratejisini iletirken yapbozun son parçası paydaş yönetimidir. Kıdemli ekibin hangi üyelerinin bütçeler ve strateji üzerinde doğrudan veya başka şekilde etkisi olduğunu anlamak, CISO’lar için giderek daha önemli hale geliyor.
Teknik veya başka bir şekilde, güvenlik işlevinin üzerinde etkisi olan ve bunun tersi olan kişilerin bir haritasını oluşturmakla başlayın. Ardından, önerilen herhangi bir strateji veya girişimin ortak sahipliğini sağlamak için onları karar alma sürecine erkenden dahil edin. Genellikle zor soruların ve sürtüşmelerin nedeni olan hoşnutsuz paydaşlar, genellikle siber riskin kendi operasyon alanlarının neresinde yer aldığına dair anlayış eksikliğinin sonucudur. Bu, net ve şeffaf konuşmalarla önlenebilir. Doğru insanları eğitmek için zaman ayıran bir CISO, yönetim kurulu düzeyinde çok daha sorunsuz bir yolun tadını çıkaracaktır.
Sonuç olarak, yönetim kurulu ile iletişim tartışması, üst düzey güvenlik liderleri için yeni bir tartışma değil ve sektör son birkaç yılda büyük bir sıçrama yaptı. Ancak mevcut piyasa koşulları, kaynakları haklı çıkarma ihtiyacını yoğunlaştırdıkça baskıyı artırıyor. CISO’lar, hedef kitlenizle işbirliği yaparak, iletişimleri iş terimleriyle çerçeveleyerek ve maksimum etki için nereye yatırım yapılabileceğinin farkında olarak, en kötüsünün üstesinden gelmek için yerindedir.
yazar hakkında
Tim Fleming, Silverfort’ta Stratejik Danışmandır. Yakın zamanda Deloitte’tan emekli olan Tim Fleming, şimdi siber güvenlik ve BT stratejileri ve operasyonları dahil olmak üzere CIO danışmanlığı alanlarında danışman ve danışman olarak çalışıyor.
Birçok kuruluş ve endüstride BT sektöründe kapsamlı deneyime sahip olan Tim, şirketlere BT Stratejisi ve Yönetişimi, BT operasyonları ve siber güvenlik gibi alanlarda karşılaştıkları teknolojik zorluklarda yardımcı olacak zengin bir bilgi birikimi sunar. Tim’in deneyimi, medya, finans ve profesyonel hizmetler dahil olmak üzere sektörlerdeki kuruluşlar için paha biçilmez olacaktır.
Şu anda Tim’in rollerinden biri olarak, kimlik koruması ve yanal hareket korumasına benzersiz ve çığır açan bir yaklaşıma sahip bir siber güvenlik yazılımı sağlayıcısı olan Silverfort Inc ile yakın bir şekilde çalışıyor.
Tim’e çevrimiçi olarak (https://www.linkedin.com/in/tim-fleming-60651937/) ve şirketimizin web sitesi https://www.silverfort.com/ adresinden ulaşılabilir.