Bu Help Net Security röportajında Coalfire CEO’su Tom McAndrew, gelişen düzenleyici çerçeveler bağlamında kuruluşların yasal uyumluluk ile etkili kurumsal güvenlik yönetimi arasında kurması gereken dengeyi tartışıyor.
McAndrew ayrıca siber riskleri ve olaylara müdahale planlarını etkili bir şekilde denetlemek için açık yönetim yapılarına ve düzenli yönetim kurulu raporlamasına olan ihtiyacı da ele alıyor.
HIPAA ve GDPR gibi artan yasal ve düzenleyici çerçeveler ışığında, kuruluşlar yasal uyumluluk ile etkili kurumsal güvenlik yönetimi arasında nasıl bir denge kurmalı?
Yasal ve düzenleyici çerçeveler genişlemeye devam ettikçe, etkili güvenlik yönetimi ile yasal gerekliliklere uygunluğun sürdürülmesi arasındaki dengenin bulunması gerekmektedir. Risk temelli bir yaklaşım uzun süredir baskın tema olsa da, tasarım gereği gizlilik yaklaşımı nihayet çoğumuzun yıllardır vaaz ettiği ilgiyi çekiyor.
Riskleri tanımlayan ve önceliklendiren ve verilerin kim, ne, ne zaman, nerede ve neden olduğunu anlayan risk temelli bir yaklaşımın kullanılması, kuruluşların gerçekten önemli ve en riskli olana odaklanmasına ve bu verilere uygun politika ve kontrolleri uygulamasına olanak tanır. .
Basitçe “kasıtlı tasarım seçimleri yoluyla bireysel gizliliği ve veri korumayı korumak” olan tasarım gereği gizlilik yaklaşımı, güvenlik ve gizlilik kontrollerinin sistemlere sonradan değil, geliştirme aşamasında yerleştirilmesini sağlayarak önce güvenlik yaklaşımını benimser. – gerçek cıvatalı kontrol.
Son olarak kuruluşların BT, siber güvenlik, hukuk, İK gibi iç kuruluşlar arasında politika ve prosedürlerin daha kurumsal uyumunu sağlayacak daha resmi işbirliğinin önündeki kültürel engelleri aşması gerekiyor.
Kuruluşların, yönetim kurullarının siber riskleri anlaması ve denetlemesi için etkili raporlama mekanizmaları geliştirmesini nasıl önerirsiniz? Hangi metrikler veya KPI’lar düzenli yönetim kurulu düzeyinde raporlamanın parçası olmalıdır?
Siber güvenlik ve uyumluluk konusunda yönetim kurulunun raporlaması hem daha sık hem de daha kısa olmalıdır. Düzenli olarak güncellenen ve raporlama standartlarıyla uyumluluk gibi stratejik konuların yanı sıra yama yönetimi verimliliği ve ortalama tespit süresi (MTTD) ve ortalama yanıt süresi (MTTR) gibi daha taktiksel konuları vurgulayan tutarlı kontrol panelleri, aşağıdakileri sağlayabilecek etkili ölçümlerdir: Güvenlik programının etkinliği konusunda iyi bir anlayışa sahip yönetim kurulu.
Yönetim kurulu üyelerinden siber güvenlik uzmanı olmaları beklenmemelidir; bu nedenle, siber riskle ilgili eğilimleri ve bunların potansiyel iş etkilerini aktaran bilgileri açık ve kolay anlaşılır bir şekilde sunmak güvenlik ekiplerinin sorumluluğundadır.
CIO ve CISO arasındaki çıkar çatışmalarını önlemede en etkili yönetim yapıları hangileridir?
Çatışmaların önlenmesindeki en önemli bileşen, faaliyetler ve yetkilerle ilgili her türlü yanlış anlama olasılığını ortadan kaldıran rol ve sorumlulukların açık bir şekilde tasarlanmasıdır. Yıllardır CISO’nun doğasında bir çıkar çatışması olması nedeniyle CIO’ya rapor vermemesi gerektiğini, bunun yerine doğrudan CEO’ya rapor vermesi gerektiğini savundum. Ayrıca CISO’ların yönetim kurulunun siber güvenlik komitesinde, yönetim kuruluyla hem doğrudan hat erişimi hem de filtrelenmemiş iletişim sağlayan bir rol üstlenmesi yönünde giderek artan bir eğilim var.
Bir şirketin yönetim kurulu, kurumsal güvenlik programının geliştirilmesi ve denetlenmesindeki rolünü nasıl belirlemelidir? Yönetim kurullarının yeterince bilgilendirilmelerini ve güvenlik gözetimi konusunda aktif olmalarını sağlamak için hangi pratik adımları atabilirler?
Fortune 100’den yeni kurulan şirketlere kadar yüzlerce yönetim kuruluna siber güvenlik yönetişimlerinin sınırları konusunda tavsiyelerde bulundum. Düzenleyicilerin siber güvenliğe yönelmesiyle birlikte, siber akıcılık kazanma konusunda daha fazla baskı hissettiklerinden yönetim kurulunun kaygısının arttığını gördüm. İyi haber şu ki, yönetim kurulu ve yönetim ekibi arasında parlak bir çizgi oluşturmaya yardımcı olan siber güvenlik operasyonlarından değil, yönetim kurullarından sorumludur.
Dolayısıyla SEC’in güncellenmiş siber güvenlik kuralları, şirketlerin yönetim kurullarının siber güvenlik risklerine ilişkin gözetimini açıklamalarını ve risk değerlendirmesini günlük operatörlere atamalarını gerektirse de, operasyonların fiili yürütülmesi yönetici ekibin sorumluluğundadır.
Yönetim kurullarının gözetimi mümkün kılmak için atabileceği pratik adımlardan biri, siberden kaynaklanan iş risklerini anlamak için bir başlangıç noktası olarak aylık CISO yönetim kurulu raporlarını istemektir. Bu raporlar, yönetim kurullarının iş risklerini hesaba katabileceği siber güvenlik eylemleri ve sonuçlarına ilişkin görünürlük sağlar.
Yönetişim perspektifinden etkili bir olay müdahale planının temel unsurları nelerdir? Kurullar olaya müdahale testi ve planlamasına nasıl dahil edilmelidir?
Siber güvenlik, uyumluluk ve düzenleme riski, finansal risk, itibar riski, rekabet riski ve daha birçok riski içeren kurumsal riskler arasında yer alan bir başka risktir. Yönetişim perspektifinden bakıldığında, rollerin, iletişim protokollerinin ve siber güvenlik olay müdahale planının daha geniş kurumsal risk çerçevesiyle nasıl uyumlu hale getirildiğinin net bir şekilde anlaşılması, iyi şirketleri kötü şirketlerden ayıran şeydir.
Olaylara müdahale tamamen operasyonel bir işlev ve kurumsal yönetim ekibinin sorumluluğunda olsa da, yönetim kurulunun bir rolü vardır ve plan hakkında bilgi sahibi olmalı ve bunun kuruluşun kendisine ve gelişen siber tehdit ortamına nasıl dayandığını anlamalıdır.