Siber güvenlik, işletmelerde hiç bu kadar görünür olmamıştı. Şirketleri etkileyen bilgisayar korsanlığıyla ilgili çok sayıda hikaye, bunu gündemin üst sıralarına taşırken, Menkul Kıymetler ve Borsa Komisyonu gereklilikleri siber güvenlik raporlaması, başkalarını da konumlarını iyileştirmeye zorlayacaktır. Buradaki etki, yönetim kurullarının artık her zamankinden daha fazla olasılıkla CISO veya eşdeğerini içermesi anlamına geliyor.
Heidrick and Struggles'ın 2022'sine göre Baş Bilgi Güvenliği Sorumlusu Anketi, CISO'lar halihazırda kurulun kulağına sahip — %88'i faaliyetleri hakkında aylık olarak tüm kurula veya bir siber güvenlik kurulu komitesine sunuluyor.
Yani siber güvenlik profesyonelleri olarak etkimizin hissedildiği ve ulaşmak istediğimiz hedeflere ulaşabileceğimiz o vaat edilmiş topraklara ulaşmalıydık, değil mi? Yanlış. Bir arabayı kovalayan bir köpek gibi, şimdi onu yakaladık ve ortaya çıkan sorumlulukla tam olarak neyi başaracağımızı hesaplamalıyız. Gerçek şu ki, zor iş daha yeni başlıyor.
Eylem, Söz Değil
yeterli değil güvenlik hakkında içgörü sağlamak bu başlı başına bir beceri olsa da yönetim kurulunun anlayabileceği bir şey. CISO'ların karşılaştığı en büyük zorluk, güvenlik süreçlerimizin ve güncellemelerimizin riski ölçülebilir ve ulaşılabilir yollarla azaltacağını nasıl göstereceğimizdir. Masada bir koltuk kapmak için mücadele eden bizler için, bu ani yanıt, tüm bu yatırımın geri dönüşü için kötü görünebilir.
Yönetim kurulları risk ve yükümlülüklerle ilgilenir, bu nedenle yaklaşımınız riske odaklanmak, olasılık ve azaltmalar. Eyleme yapılan bu vurgu, yaklaşımınızda değişiklik yapmak için muazzam bir teşvik olabilir. Bu aynı zamanda operasyonunuz genelinde daha fazla temel bilgiyi nasıl alacağınıza bakmak için bir fırsat olabilir. Varlık yönetimi ve yama uygulama gibi izleme alanları, yönetim kurulu raporlamasıyla ilgili olmayabilir, ancak bu süreçlerin otomasyon ve yapay zeka kullanılarak iyileştirilmesi önemli iyileştirmelere yol açabilir.
Örneğin, yönetim kurulundan daha fazla destek almak, güvenlik planlamasına ve sürecine "boş kağıt" yaklaşımını benimseme fırsatı sağlayabilir. kurulun yetkisi güncellemeleri veya yeni çalışma yollarını zorlamak için. Ancak, çoğu yerleşik şirket için bu yaklaşım mümkün olmayabilir. Çoğu kuruluş, güvenlik duruşlarını ifade ederken ihlal edileceklerini düşünür. Artık bir adım daha ileri gitmeleri ve değişimin kaçınılmaz olduğunu ve bazı geleneksel süreç ve tekniklerin mevcut tehditlerin düzeyine ve karmaşıklığına ayak uyduracak kadar hızlı olmadığını kabul etmeleri gerekiyor.
Etki Göster
Buradaki ikinci unsur, eylemlerinizin bir etkisi olduğunu göstermektir. Bunun için yaptığınız değişikliklerin hemen sonuç verip vermeyeceğini veya uzun vadede hissedilip hissedilmeyeceğini göz önünde bulundurmalısınız. Aynı şekilde, bu sonuçların bir defaya mahsus iyileştirmeleri mi yoksa uzun vadeli kazanımlar için fırsatları mı temsil ettiğini anlamanız gerekecek çünkü bu, bu alanları kurulla nasıl tartışacağınızı etkileyecektir. Bu yaklaşım bir uyarı ile gelir - riske baktığınızdan emin olun. Hızlı kazanımlar halkla ilişkiler için iyi olsa da her zaman riski azaltmazlar, bu nedenle CISO'lar her ikisini de yapmalıdır.
Rolde yeni olanlar için değişiklik yapmak hızlı iyileştirmelere yol açabilir. Örnek olarak, yamalarda önceliklendirmenin iyileştirilmesi, kritik ve yüksek güvenlik riski taşıyan sorunların düzeltilmesini kolaylaştırmalıdır. Bu sorunların, üzerinde anlaşmaya varılan hizmet düzeyi sözleşmesi parametreleri dahilinde çözüldüğünü kanıtlamak, sorunları ve dolayısıyla riskleri etkin bir şekilde yönettiğinizi göstermenin harika bir yoludur. Ancak, SLA'nızın değişmesi gerekebilir; örneğin, kritik sorunlar için yama uygulamak için 30 gün yeterli değildir. Bu veriler, zaman içinde iyi yönetilen ve bakımı yapılan bir sistem gösterebileceğiniz için siber sigorta prim maliyetlerini azaltmak için de kullanılabilir.
Bunun bir parçası olarak, uzun vadeli performansla ilgili beklentileri nasıl yöneteceğinize de bakmalısınız. Siz geliştikçe, risk seviyesi zamanla düşmeye devam edecek - ancak eğri daha az dik olacak ve kazançlar daha marjinal olacak. Zamanla, performansı iyileştirmenin maliyeti çok daha yüksek olabilir ve getirisi daha az görünür olabilir. Bu, güçlü risk yönetimi vurgusu ile etkili, olgun bir siber güvenlik programının işaretidir, ancak bunu başarmak uzun zaman alacaktır. Beklentileri performans ve risk etrafında belirlemek Bu nedenle, erken hareket etmek, harekete geçmeye devam etmeniz için ihtiyaç duyduğunuz nefes alma alanını bulmanıza yardımcı olacaktır.
Harekete Geçin
Yönetim kurulu düzeyinde dikkat çekmek, kariyer yolculuklarının bir parçası olduğundan ve onları gelecekteki roller için iyi bir yere koyduğundan, birçok CISO'nun sahip olduğu hedeflerden biridir. Bu, ne yaptığınıza ve önceliklerinizin nasıl gerçekleştirildiğine vurgu yapar. Yönetim kurulu raporlarında konuştuğum bir CISO'ya göre, bu Oscar Wilde'ın ünlü sözüne benziyor: "Hakkında konuşulmasından daha kötü olan tek şey, hakkında konuşulmamasıdır." Harekete geçmek, bu ilgiye layık olduğunuzu göstermenin en iyi yoludur.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
- Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
- Kaynak: https://www.darkreading.com/risk/boards-dont-want-security-promises-they-want-action
