Bu yıl Davos’ta düzenlenen Dünya Ekonomik Forumu’nda herkesin aklındaki konu “çoklu kriz”i yönetmekti ve siber risklerin en önemli sorun olarak ortaya çıkmasıyla birlikte. CEO’lar için üçüncü en yüksek büyüme riski2023’te siber manzarada gezinmek gündemin üst sıralarında yer alıyor.
Devlet destekli siber suçların artması ve kuantum hesaplama, yapay zeka (AI)/makine öğrenimi (ML), 5G ve meta veri deposu gibi gelişen teknolojilerin yarattığı belirsizlikler dahil olmak üzere yeni siber tehditler ortaya çıkmaya devam ediyor. Bu, şirketlerin iş e-postası güvenliği ihlali, fidye yazılımı saldırıları ve tedarik zinciri yazılım riski gibi köklü güvenlik açıklarına karşı kendilerini savunmak için hâlihazırda karşılaştıkları mücadelelere ek olarak geliyor.
Aynı zamanda, özellikle Avrupa Birliği’nin Dijital Operasyonel Dayanıklılık Yasası (DORA) ve NIS2 Direktifi, Avustralya’nın değiştirilmiş Kritik Altyapı Güvenliği Yasası ve tamamen yeni bir siber güvenlik takımı olmak üzere düzenleyici vidalar sıkılaştıkça uyumluluk başarısızlıklarına yönelik cezalar daha da sertleşiyor. ABD’deki düzenlemeler. Bu arada ekonomik kriz siber bütçeleri frenliyor.
Paradoksal olarak, bu daha karmaşık, değişken siber güvenlik ortamı, şirketlerin önümüzdeki yılı görece zarar görmeden atlatmak için mimarilerini, teknoloji yığınlarını ve karar alma mekanizmalarını rasyonelleştirerek radikal bir şekilde basitleştirmeleri ve düzene sokmaları gerektiği anlamına geliyor.
Bir teknoloji düzenleyici gereklidir. Araştırmamız, çoğu kuruluşun sahip oldukları teknolojinin yalnızca %10 ila %20’sini kullanırken diğer iş ihtiyaçları için kullanmadıkları teknoloji için daha yüksek lisans maliyetleri ödemeye devam ettiğini bulmuştur. Siber bütçeler üzerindeki baskı, gözden geçirme ve rasyonelleştirme fırsatı sağlayabilir. Bu aynı zamanda çok katmanlı bir yazılım, uygulama programlama arabirimi (API) ve teknoloji yığınıyla birlikte gelen keskin kenarların ve risklerin belirlenmesine ve ortadan kaldırılmasına yardımcı olabilir. konsolidasyon için ekonomik argüman.
Şirketler, özellikle insan kaynakları ve beceri boşluğunu doldurmak için siber güvenliği yönetilen hizmet sağlayıcılara kaydırabilir. Burada da maliyet tasarrufları vardır ve buna ek olarak, yönetilen hizmet sağlayıcıları, özellikle şirket içindeyse, bireysel şirketlerin dört duvarı arasındaki siber bir rolle karşılaştırıldığında, sundukları daha çeşitli projeler sayesinde genellikle yeteneklere daha iyi erişebilirler. tekdüze veya geleneksel olarak algılanan bir sektör.
Basit Tutun
Sadeleştirme, yine de sadece bir teknoloji hikayesi değildir. C-suite’in, kurumsal fidye yazılımı politikaları için yönetim kurulu düzeyinde onay almak ve varsa ödeme eşikleri gibi bir siber güvenlik olayı sırasında kullanılmak üzere daha basitleştirilmiş ve modernize edilmiş karar alma süreçlerini uygulamaya koyması gerekecek ve liderlik ekibinin Bir kriz vurduğunda hızlı harekete geçin. Siber güvenlik için yönetişim ve işletim modelleri, güvenlik Komitesi ve tabii ki denetim ve risk komitesi gibi siber güvenlik karar verme için mevcut forumlardan yararlanılarak da basitleştirilebilir.
Sadeleştirme sadece siber güvenlik ürün ve hizmetlerini kullanan şirketler için bir zorunluluk olmayacak. Teknoloji şirketlerinin kendileri daha fazla satın alma yaptıkça satıcı ortamı da sağlamlaşacaktır. Güvenlik duvarları, izleme yazılımı, veri koruma yazılımı, e-posta güvenliği ve benzerlerini sunan birçok nokta çözümü girişiminin ve şirketin aksine, “siber paket” sağlayıcıları önümüzdeki yıllarda kazananlar olacak.
Sadeleştirme, şirketleri daha uyumlu ve pragmatik hale getirecektir. Bir karmaşıklıktan geçişi destekleyecektir-neden olmak Siber liderler, temel risklerden geriye doğru çalışan ve şirketleri saldırılar başladığında hızlı hareket etmeye hazır hale getiren uyarlanabilir bir yaklaşıma yatırım yapmaya ve her türlü kontrolü artırmaya çalıştıklarında ve böylece bir dizi proje oluşturduğunda ortaya çıkan bir yaklaşım. Sadeleştirme, operasyonel verimlilik, azaltılmış teknoloji ve altyapı yükü ve nihayetinde siber tehditlere daha hızlı yanıt verme yeteneği ile sonuçlanacaktır.
Siber liderler, şu anda kullandıkları varlıkların bir envanterini çıkararak ve özellikle buluta geçişle bağlantılı olarak sahip oldukları teknoloji yığınlarının yeteneklerini en üst düzeye çıkararak bu basitleştirme gereksinimini ele almalıdır. İleriye dönük olarak, yalnızca tek siber kullanım durumlarını ele alan niş çözümlere yapılan yeni yatırımları sınırlandırmalıdırlar. Genel olarak, karar vericiler, bir denetim sırasında zayıf olarak tanımlananlardan ziyade karşılaştıkları riskleri yönetenlere öncelik vererek, kontrolleri canlandırmak için risk temelli bir yaklaşım benimsemelidir. Son olarak, siber olaylara müdahale süreçlerini kuruluşta var olan diğer kriz yönetimi süreçleriyle basitleştirmeli ve birleştirmelidirler.
Önümüzdeki yıl siber ekipler için kolay olmayacak. En iyi savunma, çevik ve uyarlanabilir bir kurumsal altyapı oluşturmaktır. Bu basitleştirme ile başlar.