vCISO Raporlaması ile Siber Güvenlik Müşterilerinizle Etkileşimi Nasıl Artırabilirsiniz?

   Temmuz 22, 2024  Posted in TheHackerNews


vCISO Raporlaması

Bir vCISO olarak, müşterinizin siber güvenlik stratejisinden ve risk yönetiminden sorumlusunuz. Bu, araştırmadan yürütmeye ve raporlamaya kadar birden fazla disiplini içerir. Yakın zamanda, vCISO’lar için kapsamlı bir oyun kitabı yayınladık, “Bir vCISO Olarak İlk 100 Gününüz – Başarıya Giden 5 Adım”, başarılı bir vCISO taahhüdünün başlatılmasında yer alan tüm aşamaları, atılması önerilen eylemleri ve adım adım örnekleri kapsar.

Oyun kitabının başarısının ve MSP/MSSP topluluğundan gelen taleplerin ardından, vCISO raporlamasının belirli bölümlerine inmeye ve daha fazla renk ve örnek sunmaya karar verdik. Bu makalede, genel MSP/MSSP değer teklifi üzerinde önemli bir etkisi olan bir rapor içinde ilgi çekici anlatıların nasıl oluşturulacağına odaklanıyoruz.

Bu makale, başarılı bir raporun neleri içerdiğini ve siber güvenlik müşterilerinizle etkileşiminizi artırmak için nasıl kullanılabileceğini ele alan yakın zamanda düzenlediğimiz rehberli çalıştayın önemli noktalarını sunmaktadır.

Atölye, First 100 Days oyun kitabının ortak yazarı ve PowerPSA Consulting ve PowerGRYD’nin kurucusu Jesse Miller ile ortaklaşa gerçekleştirildi. Jesse, hizmet sağlayıcıların premium vCISO karları için şifreyi çözmelerine yardımcı olmayı misyon edinmiş uzun süredir CISO/vCISO ve bilgi güvenliği stratejistidir. Daha fazla ayrıntı ve gerçek dünya örnekleriyle tüm web seminerini burada izleyebilirsiniz.

Raporlamanın Gizli Değeri

Miller’a göre, “Harika bir iş yapmak bir şeydir, müşterinizin bunu bu şekilde görmesi ise bambaşka bir şeydir.” Raporlamanın odaklanması gereken yer burasıdır. Sıkı bir raporlama süreci, başarılı bir vCISO programında müşteri için bağlantılı bir yolculuğun üzerindeki kirazdır.

Ancak Miller’ın da ortaya koyduğu gibi, raporlamanın birincil amacı vCISO’nun istemci için gerçekleştirdiği faaliyetleri göstermek değildir, bu yaygın bir yanlış anlamadır. Bunun yerine, gerçek değer istemciyi güvenlik yolculuğunun kahramanı yapmaktır. Bu nedenle, vCISO raporları vCISO’nun faaliyetlerine değil, istemciye ve kuruluşunun hedeflerine odaklanmalıdır. Herhangi bir raporun nihai hedefi, güvenlik etrafında dönen bir iş stratejisi tartışmasını mümkün kılmaktır.

vCISO Raporlamanın Avantajları

Yukarıda belirtilen amaçlara yönelik olarak vCISO raporlamasının hem vCISO hem de istemci için çok sayıda fayda sağladığı görülmektedir:

vCISO için –

  • vCISO’nun müşteri beklentileriyle uyumlu olmasını sağlamak
  • Müşterinin güvenlik ve uyumluluk durumunu anladığından emin olmak
  • vCISO ve istemci arasında paylaşılan bir vizyon oluşturma
  • Bir iyileştirme yolu üzerinde fikir birliği oluşturun (sadece tek taraflı önerilerde bulunmak yerine)
  • Girişimleri iş sonuçlarına bağlama
  • Müşteri sadakatini ve satışları artırma

Müşteri için –

  • Güvenlik kaderlerini kontrol etmek
  • Güvenlik yolculuklarını iş sonuçlarına göre tasarlamak ve kararları ve eylemleriyle ilişkili riski üstlenmelerine izin vermek
  • Basitleştirilmiş karar alma
  • Gürültü azaltma
  • Bant genişliği ve ölçek
  • Taktiksel uygulama için kolay düğmeler ve kaynaklar edinme
  • vCISO yatırımları için sağlanan yüksek yatırım getirisini algılamalarını sağlamak

vCISO Raporunun 4 Temel Bölümü

Yukarıda sıralanan tüm faydaları ortaya çıkarmak için dört bölümü kapsayan bir rapor oluşturmanız önerilir:

  • Bölüm 1: Genel Özet – Özet, en üst düzey metrikler ve herhangi bir “sıcak soba” maddesi.
  • Bölüm 2: Taktiksel İnceleme – Kontrollerin nasıl gerçekleştirildiği, veri “hikayeleri” ve gelecek öneriler ve girişimler için ortamın hazırlanması aşağıdaki bölümlerde yer almaktadır.
  • Bölüm 3: Stratejik İnceleme – Yol haritasının incelenmesi, iş dünyasının öncülüğünde tartışma yapılması, önerilerde bulunulması ve bir sonraki adımlar için RCT’nin (Kaynak, Taahhüt, Zaman) haritalanması.
  • Bölüm 4: Gelecekteki Girişimler – Şu anda devam eden çalışmamız, riskten korunma ve satış hunisinin oluşturulmasıdır.

Şimdi her birine detaylıca bakalım.

Bölüm 1: Genel Özet

Raporun ilk bölümü bir genel bakış ve özet, raporun geri kalanı için ipuçları ve üst düzey metrikler sunar. Ayrıca “sıcak soba” öğelerinin ele alınabileceği yerdir. Örneğin, bir saldırganın dayanak noktası hakkında bilgi vermek ve açık soruları yanıtlamak.

Sonuçlara odaklanan kısa bir başlangıç ​​bölümü sağlayarak, vCISO’lar anlattıkları hikayeyi özlü bir şekilde paylaşabilirler. Ayrıca Yöneticilerin ve İş Liderlerinin genel bir bakış için raporun ilk bölümüne katılmalarına olanak tanır ve uygulayıcıların daha sonra ayrıntılı ayrıntılara inmelerine olanak tanır.

Örneğin, Cynomi’nin bu örnek raporunda, genel özetin ilk bölümünü, duruş puanını gösterirken, bunun ne anlama geldiğine dair kısa bir açıklama ve riske gönderme yapıldığını görebiliyoruz.

vCISO Raporlaması

Bölüm 2: Taktiksel İnceleme

İkinci bölüm, verilerle hikayeler anlatmaya olanak tanır. Raporlara çekilebilecek çok çeşitli veriler olduğundan, doğru verilerin kullanıldığından emin olmak önemlidir. Bu, doğru hikayenin yaratılmasına olanak tanır.

Unutmayın, amaç müşteriyi kahraman yapmak ve onlara güvenlik programından iş için istediklerini nasıl elde edeceklerini göstermektir.

Örneğin, son derece teknik bir kitle güvenlik programlarının ayrıntılı ayrıntılarına ulaşabilir. Ancak, üst düzey bir karar verici aynı verilerden hikayeyi anlayamayacaktır. Bu nedenle, veri toplamanın otomatikleştirilmesi ve ardından verilerin sunulduğu istemci türüne göre derlenmesi ve ayıklanması önerilir.

Bu bölüm ayrıca çeşitli karar vericilere yönelik ilerlemeyi ve önerileri, güvenlik olaylarını ve bunların nasıl ele alınacağını, iş süreçlerini desteklemek için önerilen eylemleri (birleşme ve satın almalar gibi) ve daha fazlasını gösterebilir.

Örneğin, Cynomi’nin bir örnek raporundan alınan bu bölümde, vCISO daha iyi güvence altına alınması gereken çeşitli politikaların ve alanların durumunu ayrıntılı olarak inceleyebilir. Daha sonra, rapor ayrıca bu analizin kanıtı olan tarama sonuçlarını da gösterir.

vCISO Raporlaması

Bölüm 3: Stratejik İnceleme

Stratejik inceleme bölümü, öncelikli bir güvenlik yolculuğu oluşturmayı amaçlar. Bu hikayeyi oluşturmak için risk değerlendirmesini, güvenlik yol haritasını ve önerileri birbirine bağlamak önemlidir. Bu, yüksek seviyeli risk değerlendirmesinin güvenlik kontrollerinde, örneğin güvenlik açığı yönetimi, kötü amaçlı yazılım kontrolü veya olay yanıtında kusurlar bulduğu bir sistem oluşturmak anlamına gelir. Ardından, öneri raporu hangi çözümlerin dağıtılması gerektiğini açıkça belirtmeli ve yol haritası öncelikleri listelemelidir, yani bir yolculuk oluşturma.

Profesyonel ipuçları:

  • FUD yaymayın. Bunun yerine, olumlu geri bildirimlerle başlayıp bitirerek bir “iltifat sandviçi” yaklaşımı benimseyin.
  • Müşterilerinizden para harcamalarını istemeden önce, onlara tavsiyelerin ve eylemlerin onlara nasıl para kazandırdığını ve işletmeyi nasıl desteklediğini gösterin.
  • Müşterilerin karar almalarına yardımcı olmak için RCT (Kaynaklar, Maliyet, Zaman) haritalamasını kullanın.

Örneğin, bu Cynomi raporunda vCISO, uyumluluğun karşılanma durumunu gösterebilir ve bunu öneriler ve yol haritası için kullanabilir.

vCISO Raporlaması

Bölüm 4: Gelecekteki Girişimler

Sonunda, gelecekteki girişimleri tartışmanın zamanı geldi. Müşterilerin sonsuz kaynakları olmadığından, bu bölüm işleri sıraya koymaya ve iş odaklı bir fikir birliğine dayanarak önceliklendirmeye yardımcı olur.

Bu bölüm ayrıca hem istemciyi hem de vCISO’yu riskten korumaya yardımcı olur. Örneğin, aydan aya ilerlemeyi göstermek, denetçilere ve düzenleyici kurumlara istemcinin gereken özeni gösterdiğini göstermeye yardımcı olur. Bu hem vCISO’yu hem de istemciyi korur.

Son olarak, bu bölüm müşteriler arasında hesap verebilirlik yaratır. vCISO’nun önerilen önerileri kabul etmenin iş sonuçlarını açıkça göstermesiyle, müşteri bir iş kararı verebilir ve bu kararın riskini üstlenebilir.

Sıradaki ne?

Raporlama, müşteriyle güven oluşturan bütünsel bir vCISO yaklaşımının parçasıdır. Müşteriyi kahraman yapmak, onlara kalbinizde onların en iyi çıkarlarını taşıdığınızı gösterir. Bu, raporlama yoluyla doğrulandığında, vCISO ölçeğini ve büyümesini yönlendirir ve işinizi başarılı kılar.

Daha fazla açıklama ve örnek için atölyenin tamamını buradan izleyebilirsiniz.

vCISO için daha fazla profesyonel ipucu ve kanıtlanmış uygulamalar için “vCISO Olarak İlk 100 Gününüz – Başarıya Giden 5 Adım” adlı kılavuzu okuyun.

vCISO kârınızı nasıl artıracağınıza dair günlük içgörüler için Jesse Miller’ı LinkedIn’de takip edin veya PowerGRYD topluluğuna katılın.

Bu makaleyi ilginç buldunuz mu? Bu makale değerli ortaklarımızdan birinin katkılarıyla hazırlanmıştır. Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link