Bu Help Net Security röportajında, Toronto Şehri CISO Vekili Andree Noel, belediyenin güvenliği stratejik hedeflere ve dijital yönetişime dahil ederek siber savunmasını nasıl güçlendirdiğini tartışıyor. Şehrin gelişen tehditlere karşı mücadele etme ve eski sistemleri modernleştirme konusundaki yaklaşımını özetlemektedir.
Noel ayrıca veriye dayalı ölçümlerin belediyelerin siber dayanıklılığını geliştirmede liderliğe nasıl rehberlik ettiğini paylaşıyor.
Toronto Şehri’nin stratejik hedeflerini siber güvenlik risk çerçevesine nasıl çevirirsiniz?
Toronto Şehri Bilgi Güvenliği Baş Sorumlusu Ofisi (CISO), Ocak 2020’de Şehrin siber duruşunu güçlendirmek ve siber olayların ve artan siber baskıların etkisini azaltmak için özel bir bölüm olarak kuruldu.
Sektörde tanınan siber güvenlik çerçevelerine dayanan CISO Ofisi, yaklaşımını siber tehditleri tanımlama, koruma, tespit etme, yanıt verme ve bunlardan kurtarma etrafında yapılandırmıştır. Şehir, siber güvenliği stratejik planlama, satın alma ve yönetişim süreçlerine dahil ederek, dijital esnekliğin daha geniş stratejik hedeflere ulaşmanın arkasında itici bir güç olmasını sağlıyor.
Son 3 yılda, özellikle belediye yönetimlerine yönelik tehdit ortamında ne gibi büyük değişiklikler gözlemlediniz?
Pek çok sektöre benzer şekilde, belediye yönetimlerine yönelik siber tehdit ortamının karmaşıklığı ve hacmi artmaya devam ediyor. Bu ortamda Şehir, yaşam kalitesini korumak ve temel hizmetlerin kusursuz işleyişini sürdürmek için siber kesintilere karşı savunmasını güçlendirmeye devam ediyor.
Ofis, yenilikçi teknolojileri benimserken ortaya çıkan tehditleri proaktif bir şekilde ele alarak, operasyonlarının ve dijital yönetiminin kritik bir yönü olarak siber dayanıklılığa öncelik verdi.
Modernizasyonu zor olan uç durumları veya eski sistemleri nasıl ele alıyorsunuz?
Ofis, eski sistemlerin ve uç vakaların, özellikle karmaşık ve gelişen bir tehdit ortamında modernizasyona yönelik benzersiz zorluklar sunduğunun bilincindedir. Toronto Şehri, temel hizmetleri korumak ve kamu güvenini sürdürmek için siber dayanıklılığını güçlendirmeye kararlıdır. Geçtiğimiz beş yıl boyunca Ofis, bu zorlukların üstesinden gelmek için proaktif savunmaya, stratejik yeniliğe ve işbirlikçi yönetime öncelik verdi.
2024’te Belediye Meclisinde kabul edilen genişletilmiş yetki belgesi (EX14.3), siber güvenlik endüstrisi standartları ve en iyi uygulamalarla uyumlu siber dayanıklılığı artırmak için temel siber güvenlik kontrolleri sağlayarak CISO Ofisinin Şehrin kurumları ve şirketleri ile daha yakın işbirliği yapmasına olanak tanıyor. Şehrin karmaşıklığı ne olursa olsun sistemleri modernleştirmesini sağlamaya devam ediyoruz; en zorlu ortamların bile güvenli ve sürdürülebilir dönüşüm yolculuğunda desteklenmesini sağlıyoruz.
Birçok belediyenin takip ettiği veri koruma, gizlilik beklentileri ve açık veri talimatlarını nasıl dengelersiniz?
Veri koruma, gizlilik beklentileri ve açık veri zorunluluklarını dengelemek için Ofis, gizlilik değerlendirmeleri yürütmek üzere Şehir Katibi Ofisi ile yakın işbirliği içindedir. Bu işbirlikçi yaklaşım, veri yönetişimi kararlarının hem siber güvenlik hem de mevzuat perspektifleri tarafından bilgilendirilmesini sağlar. Gizlilik gerekliliklerini şeffaflık hedefleriyle uyumlu hale getirerek, hassas bilgileri korurken ve kamunun güvenini korurken Şehrin verileri sorumlu bir şekilde paylaşmasına yardımcı oluyoruz.
Üst düzey liderlere veya seçilmiş yetkililere yönelik siber güvenlik programınızın etkinliğini ölçmek için hangi ölçümleri veya temel risk göstergelerini (KRI’ler) kullanıyorsunuz?
CISO Ofisi, şeffaflığı, hesap verebilirliği ve operasyonel etkiyi vurgulayan veri odaklı bir yaklaşımla şehrin siber güvenlik duruşunu geliştirir.
Resmi raporlama süreçleri sırasında Ofis, olaylara müdahale hedefleri, hizmet seviyesi anlaşmaları, uyumluluk oranları ve siber farkındalık eğitimi gibi ölçümler de dahil olmak üzere siber hizmetler ve program performansına ilişkin güncellemeler sağlar. Bu ölçümler, stratejik Temel Risk Göstergeleri (KRI’ler) ile birlikte, üst düzey liderlik ve seçilmiş yetkililerin siber güvenlik girişimlerinin etkinliğini değerlendirmesine yardımcı olur ve bilinçli karar alma sürecine rehberlik eder.