Günümüzün kurumsal güvenlik yöneticileri, şirketin kâr hanesine gerçekten zarar verebilecek durumlarla karşı karşıya. Güvenlik ekipleri, güvenlik operasyonlarını, her zamankinden daha karmaşık tehditlerle, giderek gözenekli hale gelen bir ağ ortamında modernize etmeye çalışıyor. İşten çıkarmalar, bütçe kesintileri ve yeniden yapılanmalardan kaynaklanan ekonomik baskılar da var.
Daha da kötüsü, CFO'lar, CISO'lardan, veri ihlallerinin potansiyel mali felaketine ilişkin felaket ve kasvetli tahminleri o kadar sık duydular ki, artık onlar arasında yankı bulamıyorlar.
Kıyamet senaryosu varsayımsal değildir - küresel uyumluluk gereklilikleri ve gizlilik düzenlemeleri, bir ihlalin maliyetini teknik maliyetlerden bile daha yükseğe çıkarır. Ancak, CFO'lar ve diğer üst düzey yöneticiler bu uyarıları artık o kadar sık işitiyor ki, karar alma süreçlerine yön veren sadece arka plan bilgileri değil.
CFO'nun güvenliğin neden çok daha iyi finanse edilmesi gerektiğini anlamasına yardımcı olmanın daha etkili bir yolu var mı? Evet: CFO'ya paylaşılan bir risk senaryosu sunun.
Koruma Öncelikleri Ayarlama
CISO danışmanına geçmeden önce teknoloji, iletişim ve iş hizmetleri dahil olmak üzere çeşitli sektörlerde CISO olan Allan Alford, CISO'ların CFO'ya siber güvenlik sorunlarını açıklamak için farklı bir yaklaşım kullanması gerektiğini söylüyor. Alford, CFO'dan işletmenin en önemli altı stratejik unsurunu (muhtemelen tedarik zinciri, üretim operasyonları, hassas gelecek ürün planları vb. dahil) belirlemesini isteyerek başlamalı, ardından bu kritik alanların her birini koruma planlarını detaylandırmalı, diyor Alford. .
CISO durumu CFO'ya şu şekilde sunabilir: “Öncelikleri paylaştığınız için teşekkürler. Şimdi güvenlik bütçesini %37 oranında kısmamız gerektiğini söylüyorsunuz. Sektörlerimizdeki ekonominin durumu göz önüne alındığında, bu tamamen anlaşılabilir bir durumdur. Kesintileri mümkün kılmak için, bu altı alandan hangisini korumayı bırakmam gerektiğini söyleyebilir misiniz? Bu değişikliklerin o alanı nasıl etkileyeceğini açıklayabilmeniz için iş kolu yöneticisini de getirmemiz gerekecek."
Alford, tarihsel olarak CISO'lar, STK'lar, CRO'lar ve diğer güvenlik komşusu yöneticilerin CFO'nun emrettiği kesintileri kabul eden ve değişikliklerin nerede yapılması gerektiğine karar veren iyi askerler olduğunu söylüyor. Bu, CISO'nun işiyle çelişir: tüm fikri mülkiyet ve tüm varlıklar dahil olmak üzere şirketi korumak.
CFO, güvenlik fonunu kesmeye karar verirse, hangi operasyonları korumayı göze alamayacaklarına karar vermek için COO, CEO, yönetim kurulu ve diğer üst düzey yöneticilerle birlikte çalışmalıdır. Bu çağrıları yapmak veya seçimleri savunmak CISO'ya bırakılmamalıdır.
Adil olmak gerekirse, karar nadiren siyah beyazdır. Ancak CISO, bütçe kararlarını bu şekilde konumlandırırsa, CFO, indirimlerin sahip olacağı fiili iş etkisini görecektir. Alford, CFO'nun kesintilerin nerede olacağına ve hangi en öncelikli bölümün savunmasız bırakılacağına karar vermeye zorlandığında, konuşmanın değiştiğini söylüyor. CISO, CFO'ya şunları söyleyebilir: “Hangi risklerin tolere edilebilir olduğunu birlikte anlayacağız, ancak hata yapmayın: %37'lik bir kesinti, çeşitli birimleri aşırı risk altına sokacaktır. İş, savunmamızda bu kadar derin bir kesintiyi kaldırabilir mi?
CISO, güvenlik savunmalarını tamamen ortadan kaldırmak yerine azaltmak için uygun maliyetli alternatifler sunabilir. Şimdi daha küçük bir bütçe kesintisi için pazarlık yapma olasılığı var. Belki de bu %37'lik kesinti, %23'lük bir kesinti olur.
Grup olarak Müzakere
McKinsey'in ortaklarından Daniel Wallance, konuşmanın CFO ile başlayıp bitmemesi gerektiğini söylüyor. Kurulun risk komitesini, CEO'yu, COO'yu ve güvenlik harcamalarında rolü olan CIO ve CRO gibi diğer meslektaşları içermelidir.
"BT'nin yanı sıra risk yönetimi [ve] uyumluluğundan gelen harcamalar da var. [Güvenlik] sorumluluğunu paylaştıklarından ve aslında özel kaynaklara sahip olabileceklerinden, bu işlevleri yerine getirirdim,” diyor Wallance. “Buna ihtiyacım var değil bire bir konuşma olsun. Bunu bir grup haline getirmek istiyorum.”
Diğer güvenlik yöneticileriyle yapılan bu görüşmeler, ve CFO toplantısından sonra, ancak sırasında değil.
CISO'nun şu anda hangi çakışmaların ve fazlalıkların olduğunu öğrenmek için CFO ile görüşmeden önce diğer güvenlik aktörleriyle görüşmesi gerekir. CISO'nun, diğer yöneticilerin ne kadar bütçe esnekliği sunmaya istekli olduğunu da bilmesi gerekir. Bu, CFO ile çalışırken sahip olunması gereken çok önemli bilgiler olacaktır. CFO ile görüştükten sonra, CISO diğer yöneticilere geri dönebilir ve grup olarak neleri müzakere edebileceklerini görebilir.
Gerçek CISO-CFO toplantısı, CFO'nun birbirine girmiş gibi hissetmesini önlemek için sadece iki yöneticiden oluşmalıdır. Tartışma, makul uzlaşmalara izin vermek için mümkün olduğunca arkadaşça olmalıdır.
Şirketin risk toleransını dikte etmek nihai olarak kurulun rolü - CEO ile birlikte çalışmak - olduğundan, kurulun risk komitesini dahil etmek kritik öneme sahiptir. CFO'nun talep ettiği bütçe indirimleri bu risk toleransıyla çelişiyorsa, yönetim kurulunun bunu bilmesi gerekir.
Wallance, "CISO, risk komitesiyle düzenli olarak görüşmelidir" diyor. “İş dünyası, bütçe kesintisinin sonuçlarını anlamayabilir. Burada söz konusu olan tek kişi CFO değil.”
Piyasa Koşullarına Uyum Sağlamak
Ekonomideki daha büyük eğilimler de CISO bütçe ihtiyaçlarını etkiler.
gerçekçi var siber sigorta için varoluşsal tehdit, CFO'ların 20 yılı aşkın süredir güvendiği ağ. Lloyds of London, kayıpları karşılamayı bırakacağını söyledi. devlet aktörü saldırıları, nasıl olduğu göz önüne alındığında sorunlu bir saldırının kaynağını ve kimin finanse ettiğini kanıtlamak zordur. Sigorta devi Zürih uyardı siber sigortayı tamamen terk edebilir. Ve bir Ohio Yüksek Mahkemesi kararı diğer siber sigorta sınırlamaları olasılığını artırdı. Bu değişiklikler, işletmenin artık zararın tamamından sorumlu olacağı göz önüne alındığında, CFO üzerindeki güvenliği daha iyi finanse etme baskısını keskin bir şekilde artırabilir.
Karmaşık bir faktör, çok konuşulan siber güvenlik yetenek eksikliğidir. Fark bazılarının söylediği kadar büyük olsa da, bugün yetenek maliyetinin çoğu bütçenin izin verdiğinden daha yüksek olduğu doğrudur. Yani, evet, kalifiye insan bulmakta zorluk çekeceksiniz, ancak maaşı yeterince artırın ve puf - artık yetenek eksikliği yok.
Danışmanlık şirketi Intersec Worldwide Inc.'in uyumluluk hizmetlerinden sorumlu Başkan Yardımcısı Richard Haag, yeterince deneyimli yetenek edinmenin zorluğunun bu CFO tartışmalarında güçlü bir argüman olduğunu ileri sürdü.
“Güvenlikte, kesilebilecek tek şey emektir. Güvenlik duvarlarını öylece değiştiremezsiniz. Bu anlaşmalar kilitlendi, ”diyor Haag. “'Artık en önemli stratejik alanlarınızı zar zor koruyabiliyorum' demelisiniz. İstediğin kesintilerle, en iyi hedeflerini ve kesinlikle o kadar da en iyi olmayan hedeflerini savunamayacağım. Daha fazla insana ihtiyacım var, kesinlikle daha az insana değil.'”
Alford ayrıca CISO'nun satıcı maliyetlerini nasıl düşürdüğünü belirtmesini önerir. Bütçenin akıllıca harcandığını göstermek için bunu belgeleyin ve CFO ile paylaşın.
"Satıcı indirimlerini mümkün olduğu kadar düşürerek verimliliğinizi gösterin. CFO'lar paranın iyi harcandığını bilmek istiyor ve "çok iyi bir anlaşmamız var" ifadesi bunu iyi yapıyor," diyor Alford.
Son olarak, CISO, daha fazla gelir sağlayan daha iyi güvenlik için de dava açabilir. Daha yüksek güvenlik yatırımı potansiyel müşterileri daha rahat hale getirir mi? Güvenlik eksikliği bazı mevcut müşterilerin ayrılmasına neden oluyor mu? Örneğin, bir finans kurumu, çoğu FI'nın yaptığı gibi, yani yalnızca bazı durumlarda tazmin etmek yerine, tüm dolandırıcılık durumlarında müşterilerine tazmin etmeyi seçerse, müşterilerinin dolandırıcılığa karşı daha iyi korunduğuyla övünebilir ve müşterilerin rakiplerinden ayrılmasına neden olabilir. Bu hareket, dolandırıcılık maliyetlerinin daha fazla kabul edilmesi nedeniyle daha yüksek siber güvenlik harcamalarını haklı çıkaracaktır.
Alford, "Satış döngüsünü kısaltabilir ve güvenliğin daha fazla satış kazandığını kanıtlayabilirseniz, CFO'lar için oldukça ikna edici olabilir: 'Bugün üç müşteri uzaklaştı, ancak yarın kimse kalmayacak'" diyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/edge-articles/how-cisos-can-work-with-the-cfo-to-get-the-best-security-budget
