Güvenlik uzmanlarından oluşan bir panel, CISO’lar, CIO’lar ve genel danışmanlar arasındaki güçlü ortaklıkların siber saldırılara hazırlanmanın ve bunlara yanıt vermenin kritik bir parçası olduğunu söyledi.
PepsiCo’nun kıdemli başkan yardımcısı ve CISO’su Sara Andrews, bu sonbaharın başlarında Mandiant Siber Savunma Zirvesi’nde düzenlenen bir panelde, bir siber güvenlik programı uygulamak ve kuruluşu siber güvenlik tehditlerinden korumak bir CISO’nun tek başına yapabileceği bir şey değil, dedi.
Andrews, “CISO’lar mümkün olan her şeyi yapabilir ve mümkün olan en iyi stratejiyi bir araya getirebilir, ancak ortaklar ve çalışanlar kabul etmezse, o zaman ortalık karışır,” dedi.
İletişim, tartışma boyunca tekrar eden bir temaydı.
ABD Adalet Bakanlığı eski başsavcı yardımcısı ve panel moderatörü John Carlin, “Gördüğümüz son siber saldırılar, arabalarımızda ihtiyacımız olan gazdan 4 Temmuz için barbeküye atmak istediğimiz hamburgerlere kadar her şeyi vurdu” dedi. . “Bu tür saldırılar yaşam tarzımızı bozabilir, bu nedenle bir ihlale nasıl hazırlanılacağı hakkında önceden konuşmak önemlidir.”
Andrews, modern CISO’nun bir iş ortağı olduğunu söyledi. Güvenlik stratejisi, yalnızca denetimler ve risk komitesi toplantıları sırasında gündeme getirilmemeli, en başından itibaren iş tartışmalarına ve kararlarına yerleştirilmelidir.
Texas Çocuk Hastanesi BT ve CISO başkan yardımcısı Teresa Tonthat, güvenlik liderlerinin ortaya çıkan riskleri ve siber güvenlik endişelerini yönetici liderlerle paylaşması gerektiğini ekledi. Bunu yapmanın bir yolu, siber güvenlik içinde yaptıkları yatırımları sergilemektir.
Tonthat, “Sesimizi ve misyonumuzu genişletmek için liderlik ekibimizin ve paydaşlarımızın önüne çıkıyoruz çünkü aynı anda her yerde olamayız” dedi.
Ortaklarınız İçin Çevirin
Güvenlik liderlerinin ayrıca yönetim kurulu üyeleri ve diğer yönetici liderlerle etkin bir şekilde iletişim kurabilmeleri için karmaşık teknik ayrıntıları iş kavramlarına çevirebilmeleri gerekir. Yönetim kurulu üyeleri kuruluş için risklere bakıyor – bu nedenle güvenlik liderlerinin yönetim kurulunun dikkatini çekmek için sunumlarının risklere odaklandığından emin olmaları gerekiyor.
Mandiant’ın CIO EVP’si ve yönetilen çözümler lideri David Baumgartner, “Çok spesifik süreçler ve sonuçlar ve çok sayıda karmaşık veri seti ile uğraştığımız bazı çok karmaşık ve çok karmaşık zorluklarla karşılaşıyoruz” dedi. “Yani yönetim kuruluyla konuştuğumuzda, bir bağlam sağlamak ama aynı zamanda ne aradığımızda net olmak çok önemlidir.”
Sonunda, kurulun bilmek istediğini söyledi:
- Hala risk altında mıyız?
- İyi hazırlandık mı?
- İyi finanse edilmiş miyiz?
- Nasıl teslim ediyoruz?
- Nasıl çalışıyoruz?
“Mümkün olduğunca basit olmaya çalışın, işleri ticari terimlerle ifade edin, karşılaştırmalı analizleri kullanın, onlara bir bakış açısı kazandırmak için karşılaştırmalı analiz kullanın: Diğerlerine kıyasla nasılız?” dedi Baumgartner.
Güvenlik Stratejilerinin Mali Sınırlamaları
Etkili bir strateji tasarlamak ve bu fikirleri eyleme geçirmek çok büyük miktarda zaman ve para tüketebilir, ancak sınırsız bir bütçe yoktur. Güvenlik liderlerinin taleplerini yaparken şirketin genel bütçesini göz önünde bulundurmaları gerekir. Andrews, yürütme ekibiyle güçlü ortaklıklar kurmanın da bu isteklerin yerine getirilmesine yardımcı olabileceğini söyledi.
Güvenlik liderleri, hangi taleplerden taviz verebilecekleri konusunda muhakemelerini kullanmalı, ancak her işte ödünleşimler olduğunu akıllarında tutmalıdırlar. Destekleyici bir ekibe ve şirket genelinde güçlü ortaklıklara sahip olmanın bu kararları daha kolay ve daha etkili hale getirebileceğini söyledi.
Andrews, “Kurul bana bir şeye ihtiyacım olup olmadığını sorduğunda, her zaman biraz daha fazla nakit alabileceğimi söylüyorum, ancak sonsuz miktarda para yok” dedi. “Günün sonunda, CISO’lar birer yöneticidir ve tıpkı herkes gibi biz de mütevelli sorumluluğuyla sorumlu tutuluyoruz.”