Baş bilgi güvenliği görevlileri (CISO'lar), siber suçluların sürekli saldırılarına karşı savunma yapmak, yanlış yapılandırılmış sunucuları bulmak ve bunları kendi sunucularına sunmak da dahil olmak üzere bir dizi günlük zorlukla karşı karşıyadır. kurumsal kurullar düzenleyici gereklilikleri karşılamak ve sıfır gün saldırılarını önlemek için ek finansman sağlamak. Artık yeni bir endişeleri var: Bulmak kişisel siber sorumluluk sigortası kapsamı kurumsal yöneticiler ve memurlar (D&O) sigorta poliçesi kapsamında olmadıkları durumlarda.
Göre “2023 Küresel Baş Bilgi Güvenliği (CISO) Araştırması” yönetici arama firması Heidrick & Struggles'tan CISO'ların %38'i bu kapsamda değil kuruluşlarının D&O sigortasıve diğer %18'i sigorta kapsamında olup olmadıklarını bilmiyor. Ayrıca katılımcıların %55'i kıdem tazminatı paketi kapsamında olmadıklarını belirtti.
Raporda, “En iyi konumdaki CISO'lar, işlerini kariyer riski tehdidi olmadan yapmalarına olanak tanıyan yönetici düzeyindeki korumaları yönetebilmelidir” ifadesine yer veriliyor.
Tüm Sorumluluğu, Hiçbir Gücü Kabul Etmeyin
Ulusal bir sigorta komisyoncusu olan Woodruff Sawyer'ın siber sorumluluktan sorumlu başkan yardımcısı David Anderson, Menkul Kıymetler ve Borsa Komisyonu'nun yeni düzenlemelerinin artık veri ihlallerinde kişisel sorumluluğu CISO'lara yüklediğini belirtiyor.
“[CISOs] Sorunu düzeltecek çözümler için finansman yaratamıyorum [cybersecurity] sorunlar. Düzenleyicinin istediğini kişisel olarak yapamıyorlar” diyor ve şöyle devam ediyor: “Ama biliyorsunuz, artık bu hedef onların sırtında.”
CISO'lar, siber saldırıları durdurmak için tüm sorumluluğu üstlendikleri ancak teknolojik savunmaları finanse etme ve düzenlemelerin gerektirdiği iş gücünü işe alma yetkisine sahip olmadıkları bir açmazın içinde kalıyorlar.
Bir madde Uygulamalı Ağ Güvenliği Enstitüsü'nün (IANS) blogunda yayınlanan bu makalede, konu düzenleyici sorumluluk olduğunda CISO'ların ve STK'ların karşılaştıkları 22 önemli noktanın ayrıntıları veriliyor.
Kuruluş, “Birçok kurumsal sözleşme CISO'yu bir şirket yetkilisi olarak görmüyor ve bu nedenle CISO'lar D&O sigortası kapsamında olamaz” dedi. “Bazı yargı bölgeleri CISO'ların kurumsal direktör olarak görev yapmasına izin vermiyor, bu da D&O sigortası kapsamına girme olasılığını azaltıyor. Uygun olmamak riski azaltmaz.”
Sigorta Kapsamı için Görüşme Yapın
Londra'daki Mosaic Insurance'ın kıdemli başkan yardımcısı ve uluslararası siber başkanı James Tuplin, potansiyel bir CISO'nun pozisyon için görüşme yaparken sorması gereken ilk sorunun, işin kurumsal D&O sigortası kapsamında olup olmadığı olduğunu söylüyor. Aksi takdirde adayın istihdamın bir koşulu olarak bunda ısrar etmesi gerekir.
Danışmanlık firması West Monroe Partners'ın siber güvenlik lideri Deron Grzetich, yeni düzenleyici gereklilikler nedeniyle CISO'lara yönelik D&O kapsamının artık ücret paketlerinde olması güzel bir şey olmaktan ziyade olmazsa olmaz hale geldiğini söylüyor. Bununla birlikte, pazarlığa açık herhangi bir ücret bileşeni gibi, bu da kişisel risk ile sonunda CISO unvanını alma fırsatı arasında denge kurabilecek yeni yetişen güvenlik profesyonelleri için bir sorun haline geldi.
Grzetich, sonuçta, CISO'nun kurumsal bir politika aracılığıyla kapsam elde edememesi durumunda kendi politikasını bulması gerektiğini söylüyor.
“Fakat sanırım bu durum şu soruyu gündeme getiriyor: Eğer sorumluluk benim organizasyon veya şirketteki çalışmamdan kaynaklanıyorsa, neden şirket bunun bedelini bireye ödemiyor?” diyor.
Grzetich'in endişesi, eğer bir şirket CISO'yu kapsamak istemiyorsa – özellikle kurumsal politikaya bir kişiyi eklemenin nispeten düşük maliyetli olduğu göz önüne alındığında – o zaman şirketin öncelikleri nelerdir ve bir ihlal meydana gelirse CISO'yu ne kadar savunacaktır? Bu şirket, yönetim ekibinin değerli bir üyesi olarak CISO'ya gerçekten değer veriyor mu?
Şirketin CISO'ya D&O kapsamı sağlamaması durumunda Grzetich'in kolay bir çözümü var.
“CISO unvanını almayın. Bilgi güvenliği direktörü unvanını alın, aynı maaşı alın ve sorumluluğunuz da azalsın” tavsiyesinde bulunuyor.