Siber güvenlik fonksiyonu asla görülmeyen ve duyulmayan bir arka ofis ekibi değildir. Şirketi gerçek anlamda korumak için siber güvenlik işin her köşesine dokunur ve en baştan başlar.
ISACA'nın 22 Şubat 2024'teki sanal konferansında, siber güvenliği yönetişimle daha iyi hizalamak için CISO'ların “yönetim kurulunun zihniyetine nasıl saldırabileceği” konusunda bir oturuma liderlik ettim. Yönetim kurulunun temel desteği olmadan işletmeler, yıkıcı sonuçları olan siber saldırılara karşı savunmasız kalıyor. Siber güvenlik bir öncelik değilse, siber ekiplere daha az kaynak tahsis edilecek ve bu da seyrek nüfuslu ve zaman açısından sınırlı kalacaktır. Bu daha zayıf genel koruma, siber suçlular için saldırı alanını açar; çoğu bilgisayar korsanı kendilerini tanıtmak bile istemez, bunun yerine bir sisteme sızar ve yıllarca fark edilmeden verileri siler. Başarı için en önemli unsurun saldırganlardan bir adım önde olmak olduğu durumlarda, daha az kaynak, siber ekiplerin daha az proaktif ve daha reaktif olduğu anlamına gelir.
Bir ihlal meydana geldiğinde yönetim kurulları sorumlu tutulmaz; soru sormadıklarında veya yanıtları yeterince anlamadıklarında veya test etmedikleri zaman sorumlu tutulurlar. Bu nedenle CISO'nun ilk görevi doğru soruların sorulmasını sağlamak olmalıdır.
Siber güvenliğin kendisi konusunda netliği hedefleyin
Kuruluşların siber güvenlik tanımları konusunda net olmaları gerekir. Teknoloji geliştikçe kullandığımız terimler ve bunları nasıl anladığımız da gelişiyor; 'BT güvenliği' yavaş yavaş 'bilgi güvenliği' haline geldi, ardından 'siber güvenlik' oldu ve şimdi daha geniş bir 'güven' vizyonuyla sarmalandı. Yönetim kurulu üyelerinin, yalnızca belirli bir alan hakkında bilgi sahibi olmak yerine, işin tüm alanları ve siber fırsatların ve tehditlerin işi nasıl etkileyebileceği hakkında bilgi sahibi olmaları gerekir. Bu olmadan, insanlar ne kastedildiğini tam olarak anlamadan varsayımlarda bulunmaya eğilimlidirler. Siber güvenlik üst düzeyde anlaşılmadığı takdirde önceliklendirilemez veya yanlış yorumlanabilir. CISO'nun görevi, siber güvenlik sorunlarını, konuyu yönetim kurulu üyeleri için bilinen, anlaşılır ve somut hale getiren iş terimlerine dönüştürmektir.
Yönetim kurulu üyelerinin cevapları olmasa bile soru sorma konusunda rahat olmalarını sağlayın
Kurullar 'yapmaz' – 'yönlendirirler'. Yönetim kurulu üyelerinin masaya getirdiği sorular iş açısından hayati önem taşıyor ve doğru yanıtlara veya çözümlere sahip olmadıkları için siber güvenlikten çekinmemeleri gerekiyor. Yapmaları beklenmiyor. Yönetim kurulu doğru soruları sorduğu sürece siber uzmanlar cevapları bulacaklardır; önemli olan meraktır ve 'nasıl' yerine 'neden' ve 'ne' sorusunu araştırmaktır. Bunlar ele alınırsa işletme en iyi duruma gelecektir.
Yönetim kurulu üyeleri bir kuruluşun gözetimine, riskine ve kültürüne önem verir ve yönetişimi yönetim sorumluluklarından ayırmalıdır. Siber güvenlik yönetim kurulunun yeni bir sorumluluğu değil, asli görevleri yerine getirirken dikkate alınması gereken bir konudur.
Örneğin yönetim kurulları işletmenin başarılı olmasını sağlayacak koşulları teşvik etmelidir. Bu nedenle, uygun siber güvenlik yönetimini sağlama konusunda özen yükümlülüğüne sahiptirler. Ayrıca kayıpları önlemeli, koşulları hafifletmeli ve bu nedenle siber riskin onaylanmış risk iştahına uygun olarak yönetilmesini sağlamalıdırlar. Yönetim kurullarının değer sağlayan stratejik bir yönlendirme sağlaması gerekir ve bu nedenle siber riski yönetmeye yönelik politika ve prosedürlerin uygulanması gerekir. Son olarak, kurullar yönetim kararlarına veya operasyonel konulara müdahale etmemeli ve bu nedenle yönetim ekibine sorabilecekleri siber bağlantılı sorulara odaklanmalıdır.
Siber güvenliğin merkezinde teknolojinin değil insanların olduğunu gösterin
Siber güvenlik söz konusu olduğunda düşman gibi düşünmek ve hackerların kullandığı teknolojiyle kendimizi savunmak hayati önem taşıyor. Dijital çağda teknoloji yaygın erişimle demokratikleşti ve bu nedenle siber yatırımların süreçlere ve insanlara olduğu kadar teknolojiye de yapılması gerekiyor. Siber yatırım hiçbir zaman teknoloji ya da insanlar arasında bir tercih olmamalıdır; bu, insanların kendilerini teknolojiye karşı savunması değil, teknolojiyi başkalarının hain kullanımına karşı savunmak için kullanması meselesidir.
Sonuç olarak, siber güvenliğin sorumluluğu kesişimseldir; yönetim kurulunun günlük sorumlulukları ile iş gözetimi, kültür ve riske ilişkin daha geniş endişeleri arasında bir geçiştir. Bir ihlal meydana geldiğinde yönetim kurulu doğrudan sorumlu olmayabilir. Ancak doğru soruları sormazlarsa veya kendilerinden ne beklendiğini doğru bir şekilde anlamak için zaman ayırmazlarsa sorumlu olurlar.
Bruno Soares, ISACA'nın Lizbon bölümünün başkanıdır.