Toplantı Odasında Eksik Olanlar: CISO’lar



Yeni bir araştırmaya göre (abonelik gereklidir), S&P 500 şirketlerinin yalnızca %12’sinin ilgili siber kimlik bilgilerine sahip yönetim kurulu yöneticileri var ve bu da kuruluşları güvende tutmak için gereken uzmanlıkta büyük bir boşluk olduğunu gösteriyor.

Çoğu kuruluş dijital ve bulut öncelikli stratejilere geçtikçe, her şekil ve büyüklükteki işletmenin varlıklarını koruması gerekiyor. Şirketlerin mali kayıt tutma ve raporlama konusunda belirli uygulamalara uymasını gerektiren 2002 tarihli Sarbanes-Oxley (SOX) Yasasına benzer şekilde SEC, Temmuz ayında siber güvenlik için federal uyumu uygulamaya koydu. Şirketlerin 5 Eylül’e kadar bu kurallara uymaya başlaması gerekiyordu. Bu düzenlemeler, işletmelerin yıllık siber güvenlik risk yönetimi, stratejisi, yönetişim açıklamaları ve her türlü siber güvenlik olayının açıklanmasını sağlamasını gerektiriyor. Güvenlik bir süredir yönetim kurulu düzeyinde bir tartışma konusu olmasına rağmen, CISO’lar en iyi güvenlik uygulamalarının takip edilmesini sağlamanın nihai kaynağı olacak.

Pano Boşluklarını Kapatma

Ne yazık ki güvenlik liderleri ile işletmeleri yönetmekten sorumlu kurul yöneticileri arasında önemli bir uçurum var. Harvard Business Review’un 600 yönetim kurulu odasıyla yakın zamanda yaptığı bir anket, yalnızca %47’sinin şirketlerinin CISO’su ile düzenli olarak etkileşimde bulunduğunu ortaya çıkardı. Bu, bir şirketin güvenlik ve iş liderleri için ciddi bir bilgi açığıdır. Bu sorunu çözmek için CISO’ları her şirketin yönetim kurulu için kritik varlıklar olarak görmeye başlamamızın tam zamanı. Sonuçta güvenlik hataları bir şirketin itibarını zedelemekten çok daha fazlasını etkileyebilir; aynı zamanda hisse senedi fiyatlarını da düşürebilirler.

Ancak CAP Group’un araştırmasına göre Fortune 100 şirketlerinin yalnızca %51’inde ilgili siber güvenlik deneyimine sahip yöneticiler bulunuyor. Yönetim kurullarının yalnızca %9’unun güçlü siber güvenlik anlayışına sahip yöneticilere sahip olduğu Fortune 500’de durum daha da endişe verici. Bu sorun, yalnızca %8’inin siber güvenlik uzmanlığına sahip yöneticilerinin bulunduğu Russell 3000’deki şirketlere kadar uzanıyor.

CISO’ları yönetim kurulu odasına dahil etmek yalnızca uyumlulukla veya SEC’in yaptırımlarından kaçınmakla ilgili değildir; aynı zamanda şeffaflığın ve hesap verebilirliğin sağlanmasıyla da ilgilidir. CISO’lar halihazırda güvenlik programlarını sıfırdan geliştiriyorlar. İş uyumluluğunu sağlarlar, doğru kişileri işe alırlar ve ekiplerinin çabalarını destekleyecek doğru teknolojiyi bulurlar. Güvenlik duruşu bir kuruluşun gelecekteki başarısı için kritik öneme sahiptir ve yönetim kurulunda o dili konuşan bir CISO’nun bulunması, yönetim kurulunun işletmelerinin uygun güvenlik yatırımları yapıp yapmadığını anlamasına yardımcı olabilir.

Bulut Çağında Artan Riskler

Elbette bulut, başta daha hızlı yenilik yapma yeteneği olmak üzere çok büyük avantajlar sağlıyor, ancak aynı zamanda yeni güvenlik zorlukları da yaratıyor. Bulut, hızla artan bir risk yüzey alanına ve 1.000 kat değişim oranına sahiptir; bu, bir kuruluşun kodunun çoğunun yukarı yönde oluşturulduğu ve genellikle açık kaynak olduğu anlamına gelir; geliştiricilerin tanımladığından bahsetmeye bile gerek yok. kapsayıcılar, iş yükleri, ağlar – her şey – kod olarak.

Mevcut tehdit ortamının ne kadar hızlı değiştiği göz önüne alındığında, her kuruluş CISO’nun yönetim kurulunda bir sandalyeye sahip olmasından faydalanacaktır. Bir şirketin dijital işi yalnızca gelir ve kârlılığı doğrudan etkilemekle kalmıyor, aynı zamanda milyonlarca kişi, verilerini uygun ve güvenli bir şekilde kullanma konusunda bu şirketlere güveniyor. Varlıklar saldırı riskiyle karşı karşıya olduğunda şirketin başarılı olma yeteneği de artar. CISO’nun yönetim kurulu odasına dahil edilmesi, güvenlik tehditlerine ilişkin korkuların azaltılmasına yardımcı olur; çünkü CISO, riskleri etkili bir şekilde iletebilir ve onları güvenliğin işleri nasıl etkilediğinin gölgesinden uzak tutabilir.

Ancak CISO’lar yönetim kurulu toplantılarına katıldıkça, CEO’lardan ve yönetim kurulu üyelerinden izinsiz giriş, veri sızması, fidye yazılımı ve diğer saldırı olasılığını fiilen sıfıra indirme yönündeki beklentilere de maruz kalıyorlar. Güvenlik dışındaki pek çok kişi bu görevin aslında imkansız olduğunu anlamıyor ve varlıklarının kuruluşun güvenlik uygulaması ve ekibi tarafından iyi korunduğuna dair güvence verirken bunu yönetim kuruluna iletmek CISO’nun sorumluluğundadır.

Bir Teknik Uzmandan Daha Fazlası Olmak

Yönetim kurulu düzeyinde CISO’lar, işletmenin büyümesini desteklerken uygun düzenleme ve standartlara uyumu sağlar. Bu düzenlemeler karlılık engelleri olarak görülmemeli, ancak CISO’ların güvenliğin neden sonradan akla gelen bir düşünce değil de bir öncelik olması gerektiğini anlatabilmeleri için fırsatlar olarak görülmelidir. Günümüzün ekonomik ortamının artan incelemesi ve SEC tarafından belirlenen yeni kurallar, güvenlik liderlerinin karmaşıklığı azaltması, farkındalığı artırması ve şirket genelinde güvenlik çabalarına katılımı sağlamlaştırması için bir kapı açıyor.

Ancak çoğu çalışanın teknik uzmanlığı olmadığından, bir organizasyonun tamamını güvenlik konusunda uyumlu hale getirmek zordur. Teknik bilgisi olmayan insanlarla dolu bir odaya bir güvenlik stratejisi önerirken, izleyicinin cevaplardan çok sorularla ayrılma ihtimali vardır. Bu nedenle CISO’lar sosyal becerilere öncelik veriyor. CISO’nun yegane sorumluluğu, güvenlik tehditlerini ve zayıf noktalarını ele almak ve insanların süreçleri ve en iyi uygulamaları benimsemesini sağlamaktır. CISO’ların rolleri karmaşık ve incelikli olup bu şekilde ele alınması gerekir. Yönetim kurulu odasındaki varlıkları daha fazla görev verimliliği, odaklanma ve hesap verebilirlik sağlayacaktır.

Konu modern bir güvenlik duruşu oluşturmak olduğunda CISO’lar vazgeçilmezdir. SEC güvenlik konusundaki dizginlerini sıkılaştırdıkça ve daha fazla iş lideri güvenli bir bulut ortamının iş sonuçlarını anladıkça, bulutu ve bulutu korumaya daha fazla odaklanmak için görmemiz gereken bir değişime öncülük etmek üzere daha fazla CISO’nun yönetim kurulu odasına katılmasını bekleyebiliriz. onun içinde yaşayan veriler. CISO’nun sorumlulukları değişirken bir şey aynı kalıyor: İnsanları ve hassas verileri güvende ve emniyette tutmak her zaman 1 numaralı önceliktir.

Bu her yönetim kurulunun faydalanabileceği bir şey.



Source link