Çok uzun zaman önce, bilgi güvenliği şefinin rolü, bir kuruluşun siber güvenlik sorunlarının üstesinden gelmesine yardımcı olmak için tasarlanmış tamamen teknik bir pozisyondu. Ancak bugün, CISO rolü gelişti – bir şirkette hem sorumluluk hem de itibar olarak büyüyor. CISO, artık sadece siber güvenliği değil, aynı zamanda genel risk yönetimini şirketin iş stratejisi ve operasyonlarına bağlamaktan sorumlu olan yürütme ekibinin kritik bir üyesidir.
Modern CISO, stratejik karar alma süreçlerine dahil olur; örneğin, yönetim kuruluna, müşterilere ve yatırımcılara siber yeteneklerin ve savunmaların aktif olduğu ve mevcut tehditlerle birlikte geliştiği konusunda güvence verirken, işletmenin dijital dönüşümü güvenli bir şekilde benimsemesini sağlar. Ve kuruluşlarının kapsamlı iş hedeflerini güvenli bir şekilde yerine getirmesini sağlamak için insanları, süreçleri ve teknolojileri kullanmaktan sorumludurlar.
Sorumluluklardaki bu evrim göz önüne alındığında, bir CISO’nun işteki ilk 90 günü, bugün birkaç yıl öncesine göre çok daha farklı görünmelidir.
İlk 90 Gün
Birçok CISO ilk günden büyük fikirler ve projelere atlayarak hemen değer göstermek istese de, şirketin misyonunu, değerlerini ve işini anlamak için önce zaman ayırırlarsa çok daha uzun vadeli bir etki yaratabilecekler. hedefler. Ayrıca temel faaliyetler, ürünler, hizmetler, araştırma ve geliştirme, fikri mülkiyet ve birleşme ve satın alma planları konusunda da hız kazanmaları gerekiyor. Ayrıca tüm olası sorunları, önceki ihlalleri, düzenleyici veya harici yükümlülükleri ve mevcut teknik borcu anlamaları gerekir.
Bunu akılda tutarak, işte ilk 90 gün boyunca bir CISO’nun odak noktasının ne olması gerektiğine dair birkaç tavsiye.
Kuruluşun Daha Büyük Misyonunu ve Kültürünü Anlayın
İlk gün, işi, amaçlarını ve önceliklerini anlamak amacıyla bir dizi görüşme ve sorgulama tekniklerini uygulamaya başlayın. Tüm kilit paydaşlar, ilk sorunlu noktalar ve kurum içinde siber güvenlik kültürünün ne kadar olgun olduğu hakkında bir fikir edinmek için çalışanlarınızla, orta düzey iş liderleriyle ve müşterilerinizle görüşün. Son olarak, kimin sadece satış yaptığını ve kimin güvenilir bir danışman olduğunu belirlemek için ortaklarınızı, tedarikçilerinizi ve satıcılarınızı nazikçe sorgulayın. Bu süreçten geçmek, iletişim hatlarını açacak, zorlukları ortaya çıkaracak ve 90 günlük bir eylem planı ve yol haritası oluşturmaya yardımcı olacaktır.
Kraliyet Mücevherlerini Tanımlayın
Hangi veri ve sistemlerin şirketin stratejik misyonunu ve temel yetkinliklerini desteklediğini, fikri mülkiyeti temsil ettiğini, işletmeyi rakiplerinden farklılaştırdığını veya ana müşteri segmentlerini veya gelir hatlarını desteklediğini belirleyin. Bu taç mücevherler, tehdit aktörleri tarafından hedef alınması en muhtemel olan dijital varlıklardır ve bu nedenle siber hijyen çabalarını hızlandırmaları gerekir. C-suite ve yönetim kurulu bu kritik alanları anlarsa, size risk iştahlarını söyleyebilir ve buna göre güvenlik stratejilerini uygulayabilirsiniz.
Şirketin Mevcut BT ve İş Ortamına Dayalı Bir Plan Geliştirin
Varlıklar belirlendikten ve önceliklendirildikten sonra, çıktılar, yapı ve kilit dahili ve harici paydaşlar arasındaki iletişim için kontrol listeleri içeren yazılı bir risk yönetim planı geliştirin. Bu son noktada, CISO her zaman bir bilgi komisyoncusu ve tüm önemli kurumsal karar vericilerin ortağı olarak hareket etmelidir. Bunu yapmanın etkili bir yolu, kuruluşun stratejik olarak ilerleyebilmesi için bu rollerle resmi ve gayri resmi iletişim kurmaktır.
Temel Bilgilerde Ustalaşın
Modern şirketi güvence altına almak için gereken birçok teknoloji var, ancak henüz uygulanmadıysa, hemen uygulanması gereken birkaç zorunluluk var. Bunlar, uç nokta için güvenlik açığı yönetimi ve kötü amaçlı yazılımdan koruma savunmaları dahil olmak üzere temel kontroller ve çok faktörlü kimlik doğrulama, hassas veri şifreleme, uygulama beyaz listeye alma, 7/24 güvenlik izleme, dosya bütünlüğü izleme, ayrıcalıklı erişim yönetimi, ağ segmentasyonu dahil olmak üzere müzakere edilemez kontrollerdir. , veri kaybını önleme ve güvenlik açığı ve yama stratejilerine bağlı titiz bir değerlendirme ve denetim işlevi.
Kıyaslamaları Uygulayın
Şirketin rakiplerine karşı nasıl bir performans gösterdiğini, güvenlik stratejilerinin sektördeki en iyi uygulamalara göre nasıl bir performans gösterdiğini gösteren kıyaslamalar ve olgunluk değerlendirmeleri uygulayarak üst yönetime, iş birimi yöneticilerine ve yönetim kuruluna güvenlik planlarının, süreçlerinin ve teknolojilerinin değerini kanıtlayın. çerçeveler ve güvenlik inisiyatiflerinin işletmeyi güvenli operasyonlarla nasıl mümkün kıldığı.
Güvenliğe Daima Bir İş Sorunu Olarak Bakın
Güvenlik olayları, işletme üzerinde sayısız sonuçlara yol açabilir ve tam tersine, güçlü güvenlik, işletmenin güvenli bir şekilde başarılı olmasına yardımcı olabilir. Bu nedenle BT ve güvenlik ekiplerinin her zaman kuruluşun iş tarafıyla entegre olması çok önemlidir. Bunun bir parçası olarak, yönetici liderler, yönetim kurulu ve güvenlik liderleri arasında sürekli iletişim ve işbirliği sağlayın. Yönetim, siber güvenlik tehditlerinin oluşturduğu iş risklerini anladığında, dikkat etmeye ve güvenlik çabalarına katılmaya daha yatkın olacaktır.
İlk 90 günün sonunda, bir CISO aşağıdaki gibi soruları yanıtlayabilmelidir: Kuruluş ne kadar iyi korunuyor? Endüstri standardı çerçevelere karşı yetenek olgunluğumuz nedir? En kritik güvenlik açıklarımız ve siber risk senaryolarımız nelerdir? Kuruluş için en önemli veriler nelerdir? Hangi veri riskleri kuruluş üzerinde en önemli olumsuz etkiye sahip olabilir? Ve kuruluşun güvenlik duruşunu iyileştirmek için ne gerekiyor ve bir yol haritamız var mı?
Bu, üç aylık bir zaman diliminde sonuca ulaşmak için çok fazla gibi görünse de, bu altı adımı takip etmek, şirketinizi hem kısa hem de uzun vadeli güvenlik ve iş başarısı için hazırlayacaktır.