CISO Eğitimleri , Yönetişim ve Risk Yönetimi , Liderlik ve Yönetici İletişimi
Güvenlik Liderleri ISMG’nin Siber Güvenlik Zirvesi Sırasında Yönetim Kurulu Stratejilerini Tartışıyor
Jayant Chakravarti (@JayJay_Tech) •
1 Kasım 2023
Nagpur merkezli Hindistan Yönetim Enstitüsü müdürü Bhiamaraya Metri, modern bir yönetim kurulunun, kurumsal çapta siber savunma ve hafifletme stratejilerine öncülük etmek için kendisini günümüzün siber güvenlik ve tehdit ortamlarına kaptırmaktan başka seçeneği olmadığını söyledi.
Ayrıca bakınız: Siber Güvenlik Yetenek Eksikliğini Çözmeye Yönelik Yeni Yaklaşımlar
Bilgi Güvenliği Medya Grubu’nun Mumbai’deki Siber Güvenlik Zirvesi’nde Çarşamba günü bilgi güvenliği profesyonelleri ve kurumsal liderlerden oluşan bir toplantıya hitap eden Metri, yönetim kurulu üyelerinin kuruluşun siber güvenlik önceliklerine liderlik etmek için ele alması gereken en önemli zorlukları ele aldı.
Sık sık teknolojik aksaklıkların yaşandığı günümüz çağında, teknoloji liderlerinin ve profesyonellerin güncel kalabilmek için rutin olarak kendilerini yenilemeleri ve geliştirmeleri gerektiğini ve aynı durumun yönetim kurulu için de geçerli olduğunu söyledi. Yönetim kurulu üyelerinin siber güvenlik sorunları, kuruluşun operasyonları üzerindeki etkisi ve tehdit ortamının önümüzdeki yıllarda nasıl gelişebileceği konusunda kendilerini eğitmesi gerekiyor.
“Siber güvenlik, organizasyon kurulları için yeni bir boyut haline geldi. Siber güvenliğin kurumsal çapta önemli bir iş riski olarak anlaşılmasının önemi giderek artıyor” dedi. Dünya Ekonomik Forumu’nun 2023 Küresel Risk raporunda siber güvenliğin dünya genelindeki en büyük 10 riskten biri olarak sıralandığını belirten kendisi, siber suçlarla ilgili maliyetlerin yıllık 10,5 trilyon dolara ulaşabileceğini ve yönetim kurulunun kayıplara ve itibar kaybına karşı önlem alması gerektiğini ekledi.
Hindistan, kuruluşlara veri koruma ve veri gizliliği kontrolleri ve süreçlerini uygulama zorunluluğu getiren ilk Dijital Veri Koruma Yasasını bu yıl yürürlüğe koydu. Endüstri grupları daha iyi uygulamalar önerdiler, ancak bu, kurullara yasa gereği ilk kez bunları uygulama yetkisi veriliyor.
Metri, yeni veri koruma yasasının, siber güvenliği derhal Hint kuruluşlarındaki yönetim kurulu üyeleri için temel bir endişe haline getirdiğini ve ayrıca kurulların siber savunma eylem planlarının sorumluluğunu üstlenmesini talep eden hükümet düzenleyicilerinin de olduğunu söyledi. Örneğin, Hindistan Merkez Bankası geçtiğimiz günlerde yönetim kurulu üyelerine siber farkındalık eğitimi ve eğitimi alma zorunluluğu getiren düzenlemeleri duyurdu.
Metri’ye göre, yönetim kurulu üyeleri geçmişte siber güvenlik konularında bilgi almak için CIO’lar ve CISO’lar gibi üst düzey bilgi güvenliği liderlerine güveniyordu, ancak artık yönetim kurullarının bilgi güvenliği uzmanı olan en az bir üyeye sahip olmasının zamanı geldi.
Siber güvenlik konusunda deneyimli bir yönetim kurulu üyesi, CISO’lara doğru soruları sorabilir, belirli siber güvenlik zayıflıkları ve tehditlerinin oluşturduğu riskleri takdir edebilir ve siber güvenliğe doğru miktarda fon ayırabilir.
Metri, yönetim kurulunun toplantıları sırasında siber güvenliği gündemine alması gerektiğini, en son tehditler ve riskler konusunda kendisini eğitmeye odaklanması ve mümkünse siber güvenlik konularını kendi adına denetleyebilecek risk yönetimi komiteleri kurması gerektiğini söyledi.
Metri, “Siber güvenlik konularında uygun hazırlık, müzakere ve katılımın yerini hiçbir şey tutamaz” diyerek, yönetim kurulunun, kuruluşun siber güvenliğe yönelik yaklaşımını şekillendirmede şimdiye kadar liderlik etmesini engelleyen mevcut birçok kaygıyı ele alması gerektiğini de sözlerine ekledi.
Örneğin yönetim kurulunun yeterli siber sigorta satın alıp almadığını değerlendirmesi gerekir. Siber güvenlik olaylarının iş üzerindeki etkisi konusunda görünürlük var mı, yönetim kurulu düzeyinde iyi tanımlanmış bir siber güvenlik sahipliği var mı ve kuruluşun topladığı, işlediği ve diğer taraflarla paylaştığı verilerin görünürlüğünü sürdürecek bir veri yönetişim ofisi var mı?