Geçen yıl veri tavizleri için rekor kırdı, veri ihlalleri ve dolandırıcılık. Aslında hem 2020 hem de 2021, yönetim kurulu genelinde dolandırıcılıkta büyük artışlar gördü.
İnternet trafiği kelimenin tam anlamıyla iki katına çıktı ve yeni kimlik avı, kimlik sahtekarlığı, bilgisayar korsanlığı ve sahtekarlık girişimleri ortaya çıktı. Kimlik avı saldırıları 2020’de %220 arttı ve Federal Ticaret Komisyonu, insanlar dolandırıcılık nedeniyle 3,3 milyar dolardan fazla kaybetti 2020’de – salgın öncesi rakamlara göre yaklaşık 1,5 milyar dolarlık bir artış. 2021’de ABD’deki işletmeler 2020’den bu yana veri ihlallerinde %17 artış. Bu arada işletmeler, riskleri belirleyip öncelik sırasına koyarak dolandırıcılığı önlemek ve önlemek için çalıştılar ve bu riskler arasında sahte SMS, e-posta, anında iletme bildirimleri, sahte açılış sayfaları ve daha fazlası yer alıyor.
Sonuç? Baş güvenlik görevlisi (CSO), C-seviyesi masasında daha etkili hale geldi. Bir kuruluştaki en üst düzey güvenlik yöneticisi olarak, bir STK, BT ve kurumsal güvenliğin yanı sıra şirket verilerinin ve varlıklarının güvenliğinden ve güvenliğinden sorumludur. Bazı şirketler, görevlerin çoğu örtüşse de, bu kişiden bir STK yerine bilgi güvenliği sorumlusu (CISO) olarak bahseder. STK ayrıca bir şirketin güvenlik durumunu, ihtiyaçlarını ve zorluklarını yönetime iletmekle görevlidir. STK girdileri, güvenlik risklerini liderliğe iletmek ve hatta yönetim kuruluna sunmak için kritik öneme sahiptir. Riskler ve güvenlik açıkları yönetim kuruluna gerektiği gibi gösterilmezse, bu riskler kurumsal düzeyde önceliklendirilemez.
STK’lar daha önce oturmadıysa neden şimdi yönetim masasında oturmalı? Masadaki diğer C düzeyindeki yöneticilerle nasıl iletişim kurabilirler? Ve STK’lar, kuruluş içindeki genel güvenliği artırmak için C-suite ile nasıl daha yakın çalışabilir? Birkaç yönerge takip eder.
1. Tanımlanmış bir paydaş, kendini adamış bir ses
Tarihsel olarak, güvenlik uzmanları bir “engelleyici” veya bir ürünü teslim etme yeteneğini engelleyen biri olarak görülmüştür. Diğer bir deyişle, risk belirlendiğinde, güvenlik, potansiyel projeye veya ürün sürümüne “hayır” der ve kuruluş için potansiyel riskin çok büyük olduğunu iddia eder. STK’nın, bu güvenlik protokolleri zaman zaman başka bir departmanın çıktıları veya projeleri ile doğrudan çatışmaya girebilse bile, genel misyonun kuruluşu güvence altına alarak iş başarısını sağlamak olduğunu bildirerek bu bakış açısını değiştirmesi gerekir.
CSO, liderlerin ticari kararlar almasına yardımcı olmak için güvenlikle ilgili doğru rehberlik ve arka plan sağlayabilir. Bu kişi şunu söylemeye istekli olmalıdır: “Hepimiz bu ürünün piyasaya sürülmesinin ne kadar önemli olduğunu biliyoruz, ancak bu yazılımın yayınlanmasını duraklatmamız gerekecek. Bu, kuruluş için çok fazla risk oluşturuyor.” STK, işin başarısının ve güvenliğin el ele gittiğini iletmelidir. Tüm çalışanlar, başarıyı sağlamak için güvenlik uygulamalarını desteklemeye, sürdürmeye ve saygı duymaya yatırım yapmalıdır.
2. Riski herkesin anlayacağı şekilde iletmek
Kariyerimin çeşitli noktalarında, güvenlik açıkları ve işle ilgili riskler konusunda çok derin bir anlayışa sahip, son derece teknik olan güvenlik liderleriyle çalıştım. Ne yazık ki, bu insanlar bu riskleri “yukarıya” iletme veya basit terimlerle açıklama yeteneğine sahip değildi. STK, güvenlik risklerinin teknik özelliklerini diğer üst düzey yöneticilerin harekete geçebileceği bir dilde aktif olarak “çevirebilmeli”.
Standartlaştırılmış bir çerçeve, güvenlik açıklarını ve bunların kuruluşu potansiyel olarak nasıl etkileyebileceğini göstermeye yardımcı olabilir. A risk kaydı bir tehdidi tanımlar, kuruluşu etkileme olasılığının ana hatlarını verir ve ayrıca genel potansiyel etkiyi sunar. STK, bu risk kaydını yürütme düzeyinde ve yönetim kurulu düzeyinde tutmalı ve paylaşmalıdır. Bu kişi ayrıca belirlenen riskleri önceliklendirebilmeli ve yüksek öncelikli sorunları zamanında çözmek için gereken bütçeyle ilgili tartışmalara katılabilmelidir.
Risk listesi, altyapı, Web uygulamaları, iç sistemler, fiziksel güvenlik vb. gibi çeşitli iş birimleri ve farklı paydaşlarla uyumlu belirli bölümlere ayrılmalıdır. Belirli bir riskin doğrudan sonuçlarını ve hangi iş birimlerinin etkilendiğini özetlediğinizde, farklı paydaşlarla diyaloğu açarsınız. Ayrıca güvenliğin işin her alanına nasıl dokunduğunu da aktarıyorsunuz.
3. Risklerin Belirlenmesi Yeterli Değildir
Tehditlerin belirlenmesi, önceliklendirilmesi ve iletilmesi, bir STK’nın rolünün yalnızca bir parçasıdır. Bir STK, işletmenin daha büyük hedeflere ulaşmasına yardımcı olurken, riski gerçek zamanlı olarak nasıl azaltabilir ve ele alabilir? STK, önerilen tüm projeleri risk nedeniyle reddetmek yerine, belirlenen riske rağmen somut, olumlu sonuçlara doğru çalışmalıdır. Tehdidi belirledikten sonra, STK, potansiyel olarak etkilenen iş birimlerinin güvende olmasını sağlarken riski aşan net bir yol haritası bulmalıdır.
Güvenlik sorunlarını ek bir “iş” merceğinden görme yeteneği, STK’nın ilerlemenin önündeki bir engelden ziyade bir iş kolaylaştırıcı olarak görülmesine yardımcı olabilir. Zamanla, STK, C düzeyindeki meslektaşlar tarafından işini yapan ve aynı zamanda “işin dilini” konuşan biri olarak daha iyi anlaşılacak ve takdir edilecektir.
Mevcut yüksek risk ortamımız, sürekli artan dolandırıcılık ve sürekli uyarılar, ikinci sınıf bir vatandaş olarak güvenlik günlerinin sona erdiğinin altını çiziyor. STK’lar, kuruluşların potansiyel güvenlik tehditlerini netlik, anlayış ve bakış açısıyla yönetmelerine yardımcı olmak için yönetim masasında hak ettikleri yeri alıyorlar.