Yazan Jose Seara, Denexus Kurucusu ve CEO’su
SolarWinds ile SEC arasındaki hukuki meseledeki son gelişmelerin gösterdiği gibi, CISO’nun sorumluluk alanı genişliyor. SolarWinds’in CISO’su Timothy Brown’un belirli siber güvenlik risklerinin ciddiyetini açıklamadığı için suçlamalarla karşı karşıya kalacağının duyurulmasının ardından CISO topluluğu, siber riski yönetmenin potansiyel maliyetinin her zamankinden daha ciddi olduğunu fark etti.
SEC’in Brown’a karşı dolandırıcılık ve iç kontrol başarısızlıklarına ilişkin suçlamalarının gösterdiği hukuki ve mali sorumluluğun ötesinde, bu olay aynı zamanda siber güvenlik ihlallerinin ağır uyum cezaları ve kamuoyunun gözünde olumsuz bir imaj açısından önemli bir risk oluşturduğunu da güçlendiriyor. Her alanda artan sonuçlar nedeniyle, güvenlik liderlerinin yalnızca kurumsal uyumluluğu sağlamaktan daha fazlasını yapması zorunludur; kritik sistemlerin ve verilerin güvenliğini sağlamak için daha da ileri gitmeleri gerekir. Uyum genellikle davranışı yönlendirir, ancak nadiren son noktadır.
Ancak CISO’lar bu zorluğun üstesinden tamamen kendi başlarına gelemezler. Bir kuruluşu güvenlik ihlallerinden, davalardan, para cezalarından ve olası itibar zararlarından etkili bir şekilde korumak için CISO’lar, önceliklerin uyumlu olmasını sağlamak amacıyla üst düzey yöneticilerle (ve özellikle CFO’larla) işbirliği yapmalıdır. Üst düzey yöneticilerin aynı zamanda nihai yönetişim sorumluluğunu elinde bulunduran Yönetim Kurulu ile birlikte çalışması gerekiyor.
Üst Düzey Yöneticiler Arasında İletişim
İlgili rollerinin kendine özgü doğası nedeniyle, CISO’lar ve diğer üst düzey yöneticiler çoğu zaman kendilerini zamanlarını ve dikkatlerini işin ayrı, farklı bölümlerine odaklarken bulurlar. Ancak bu bireysel önceliklerin silolanmış doğası, kuruluşların potansiyel siber risklerin ciddiyeti konusunda tam bir farkındalık oluşturmasını ve sürdürmesini engelleyebilir. SolarWinds’te yaşanana benzer bir durumu etkili bir şekilde önlemek için CISO’lar ile CFO’lar gibi üst düzey yöneticiler arasında açık ve tutarlı iletişim şarttır.
CISO’lar ve üst düzey yöneticiler arasında sürekli iletişim olmadan herkesin aynı fikirde olmasını sağlamanın bir yolu yoktur. Buradaki zorluk, genellikle farklı jargonlarla konuşmaları ve çoğu zaman birbiriyle çelişen konularla ilgilenmeleridir. Ancak durum böyle olmamalıdır. Siber risklerin etkileri yalnızca güvenlikle ilgili kaygılarla sınırlı değildir; Artık bu risklerin nasıl hızla büyük hukuki ve mali sorunlara dönüşebildiğini gördük. Sonuç olarak, güvenlik kaygılarının bir kuruluşun üst düzey yöneticilerinin tüm üyelerine açıkça açıklanması, siber risklerin varlığı ve ciddiyeti ile bu risklerin nasıl olduğu konusunda tam olarak farkında olmalarının sağlanması için açık diyaloğun sürekli olarak teşvik edilmesi zorunludur. Riskler kartopu gibi büyüyerek her bir yöneticinin ilgili rolüne ilişkin operasyonları doğrudan etkileyen ve kuruluşun kârlılığını olumsuz yönde etkileyen durumlara dönüşebilir.
Aynı Dili Konuşmak
CISO’lar ile üst düzey yöneticiler arasındaki iletişimin önündeki en büyük engellerden biri, siber risklerin ve potansiyel sonuçların güvenlikle ilgili olmayan geçmişe sahip bireyler için anlamlı olacak şekilde iletilmesinin karmaşıklığıdır. Bu, potansiyel siber güvenlik olayları, ilgili yasal ve finansal sonuçlar ve yatırım getirisine dayalı siber güvenlik yatırımlarının önceliklendirilmesi ve risk hafifletme üzerindeki olumlu etki arasındaki ilişkileri analiz etmek ve değerlendirmek için sürekli olarak işbirliği yapması gereken CISO’lar ve CFO’lar için özellikle önemlidir.
Bu süreci kolaylaştırmak için kuruluşlar, tehditler ve güvenlik açıkları hakkındaki bilgileri hesaplamak, ölçmek ve daha sindirilebilir bir dil ve verilere dönüştürmek için verileri bir araya getiren siber risk ölçümü ve yönetimi araçlarından (CRQM) yararlanabilir. Bu, CISO’lar ve diğer üst düzey üyeler arasında kritik konuşmalar yapma yeteneğini basitleştirerek kurumsal uyum sağlar.
CISO’lar ve CFO’lar gibi diğer iş liderleri aynı dili konuşabildiğinde ve birbirleriyle ve öncelikleriyle ilişki kurabildiğinde, bu onların önceliklerini ve hedeflerini kurumu bir bütün olarak destekleyecek şekilde hizalama becerisini kolaylaştırır ve onlara risk azaltmayı uygulamak için gerekli kavrayışı sağlar. Her bir lider ve iş sektörüyle ilgili verilere, kanıtlara ve sonuçlara dayanan stratejiler. Her şey güvenlik açıkları ve güvenlik duvarlarıyla ilgili değildir ve her şey yalnızca tek başına belirli bir yatırımın getirisiyle ilgili değildir. Pahalı bir güvenlik duvarı yükseltmesine yönelik hedefli bir yatırım, sizi büyük bir dava sonrası olaydan koruyabilir ve risk azaltma açısından ölçülemez bir yatırım getirisi sağlayabilir.
Başkalarını Masaya Davet Etmek
CISO’lar, diğer liderleri güvenlik odaklı görüşmelere dahil ederek siloları ortadan kaldırabilir ve siber güvenliği tüm organizasyonu etkileyen ve kapsayan ortak bir iş önceliği haline getirebilir. Diğer iş alanlarındaki yöneticilerin siber risklerle ilgili diyaloğa katılmaları için alan açmak, herkesin potansiyel tehditlerden ve bu tehditlerin ele alınmaması durumunda kuruluşun tüm bölümlerini nasıl etkileyeceğinden haberdar olmasını sağlar. Yönetim düzeyinde bu aynı zamanda siber ekipler için de iyiye işarettir; yönetim kurulu belirli siber risklerin yaygınlığının ve sorunsuz bir şekilde korunmak için bunları hafifletme ihtiyacının daha fazla farkında olduğunda, potansiyel riskleri azaltmak için gereken ek kaynaklar için fon alma şansını artırır. Bir kuruluşun tüm şubeleri veya departmanları için operasyonlar gerçekleştirildiğinde, siber risk yönetimi çabalarını desteklemek için sermayeyi onaylama olasılıkları daha yüksektir.
Bu, üst düzey yöneticilerin ötesinde de hem üst hem de alt düzeyde geçerlidir; Diğer çalışan ekiplerini siber risk yönetimiyle ilgili konuşmalara, eğitimlere ve eğitim oturumlarına davet etmek, siber güvenlik operasyonlarının ve stratejisinin tüm organizasyonun başarısının anahtarı olduğu mesajını verir. Anlatımı daha geniş bir kapsamı kapsayacak şekilde genişletmek, daha fazla insanı siber riski azaltmak için gerekli uygulama ve çabalara önem vermeye ve bunlara dahil olmaya teşvik eder.
Önleme Önceliği Olarak Proaktivite
CISO’lar, CFO’lar ve diğer üst düzey yöneticilerle işbirliği içinde, siber risk yönetimine proaktif bir yaklaşım benimseyerek SEC/SolarWinds davası gibi yıkıcı olayları önleyebilir. Kuruluşlar, güvenlikle ilgili konular ve yatırımlar hakkında açık, sürekli ve kapsamlı görüşmeleri teşvik ederek, savunma yerine saldırı odaklı hareket etmelerini sağlayabilir ve olası risklerin birkaç adım önünde kalabilir. Güvenlik altyapısı sürekli izlendiğinde ve bir ihlali sorun haline gelmeden önce yakalayıp önlemek için uygun savunmalar mevcut olduğunda, kuruluşlar maruz kaldıkları riskin net bir resmini oluşturabilir ve nereye anlamlı siber güvenlik yatırımları yapacakları konusunda veriye dayalı kararlar alabilirler. .
yazar hakkında
Jose M. Seara, operasyonel teknoloji (OT) ve endüstriyel kontrol sistemleri (ICS) için siber risk ölçümü ve yönetiminde lider olan DeNexus’un kurucusu ve CEO’sudur. Jose’ye çevrimiçi olarak https://www.linkedin.com/in/jmseara/ adresinden ve şirketimizin web sitesi https://www.denexus.io/ adresinden ulaşılabilir.