2022’de, hem şirketleri hem de ülkeleri etkileyen çok sayıda siber saldırı ve ihlal gördük. Bunun başlıca nedeni, tehdit aktörlerinin inovasyonlarını hızlandırması ve tehdit aktörü ekonomisinin devam eden çeşitlendirmesidir. Pek çok teknik yanıt önerilmiş olsa da, şirketlerin zorlayıcı makroekonomik koşullara ve siber güvenlik üzerinde çalışacak vasıflı profesyonellerin sürekli eksikliğine rağmen kamu politikası kararlarına uyması gerekeceğinden, politika yanıtları daha zorlu bir sorun teşkil ediyor.
Kısacası 2023 risk yılı olacak.
1. Organizasyon şeması değişikliklerini ve C-suite ile daha fazla işbirliğini tahmin edin.
Bekleyen düzenleyici değişiklikler, CISO’nun bağımsız olmasını gerektirir ve CISO’ların tarihsel olarak CIO’ya, CTO’ya veya teknoloji geçmişi olan başka bir üst düzey yöneticiye rapor verdiğinden, bu bağımsızlık muhtemelen organizasyon şeması değişikliklerini gerektirecektir.
CIO’nun veya diğer üst düzey yöneticilerin teşvikleri CISO’nun hedefleriyle örtüşmeyeceğinden, bütçeler ve personelle ilgili hususlar ortaya çıktığında bu durum sıklıkla zımni bir çıkar çatışması yaratır. 2023’te CISO’lar yeterince bağımsız olmaya ve siber risk yönetimi konusunda iyi bir görünürlüğe sahip olmaya hazırlanmalı. Bağımsız olmak, başka bir üst düzey yöneticinin yıl için daha büyük bütçesinin bir parçası olarak bir siber güvenlik bütçe kalemi sağlamak yerine, bir komite tarafından onaylanmak üzere personel ve bütçe belirleme sorumluluğunu içerir.
2. Yönetim kurulundan riskle ilgili daha fazla soruyu yanıtlamaya hazır olun…
Kurullar siber risk konusunda daha fazla gözetim sahibi olmak istiyor. 2023’te kuruluşlar, CISO’larını bir yönetim kurulu toplantısına davet etmeyi planlamalı (ve teknik altyapıdan gelen CISO’larla yapılan bu ilk toplantıyı biraz affetmeli). Tüm yönetim kurulu üyelerinin siber güvenliği anlaması gerekmese de, durumu etkili bir şekilde iletmek, daha büyük girişimler hakkında bilgi edinmek ve talepte bulunmak için tüm CISO’ların (veya CIO’ların veya kurula sunum yapanların) kurulla risk diliyle konuşabilmesi gerekir. gerektiğinde yardım veya bakış açısı. Bu, halka açık şirketler için yeni bir gereklilik olsa da, özel şirketler raporlamaya yönelik bu yeni değişikliği benimsemeyi şiddetle düşünmelidir.
3. … ve sonuç olarak, risk iletişimi konusunda daha gayretli olun.
Şirketler uyumsuzluk riskini izlemeli ve uyumsuzlukla ilgili risk yönetimi planlarını tanımlayabilmelidir. Belirli düzenleyici kuruma bağlı olarak, hukuki ve cezai yaptırımların yanı sıra kongre duruşmaları veya itibar zararları da potansiyel sonuçlardır.
DFARS gereksinimleri olan şirketler – özellikle de CMMC 2. seviye kontrol gereklilikleri – gelecekteki Savunma Bakanlığı sözleşmelerinin reddedilmesine yol açan uyumsuzluk riskinin yanı sıra Yanlış İddialar Yasası kapsamında bilgi uçuranların potansiyeline sahiptir. Sonuç olarak, CISO’ların risk durumlarını ve uyumluluk duruşlarını iletme konusunda tutarlı ve ısrarcı olmaları gerekecektir.
4. Haberlerde daha fazla güvenlik ihlali ortaya çıktıkça CISO’ların dahili değerlendirmelere yatırım yapması gerekecek.
Siber güvenlik ihlalleri, birkaç yüksek profilli vakanın ulusal manşetlere çıkmasıyla 2022’de sıcak bir konuydu. Örneğin, Federal Ticaret Komisyonu (FTC), 2,5 milyondan fazla tüketiciyi etkileyen siber güvenlik arızaları nedeniyle çevrimiçi alkol pazarı Drizly ve CEO’su Cory Rellas aleyhinde dava açtı. Özellikle FTC, yönetim organı için yeni bir hareket olan Rellas’ı özel olarak adlandırdı ve onayladı. Duruştaki bu değişiklik, özellikle tüketici verilerinin korunması ve elden çıkarılması konusunda yeterli kontrollere sahip olmayan kuruluşlar için FTC’de uygulamaya yönelik daha büyük bir kaymaya işaret ediyor olabilir.
Bu hikayeleri aktaran bir ders var: Güvenlik programınızdaki zayıflıkları bulmak ve bu zayıflıkların düzeltilmesini sağlamak için kritik araçlar oldukları için etkili dahili değerlendirmelerin önemi. Şirketler bu önemli haberleri gerçek zamanlı olarak izledikçe, 2023’te hasım keşfiyle soruşturmalarda keskin bir artış olacağını tahmin ediyoruz.
5. KOBİ’ler, siber saldırılardan kaçınmak için güvenlik kontrolü izlemeyi artırmayı düşünmelidir.
Küçük şirketler siber saldırılara karşı daha savunmasız, ama neden? Basitçe söylemek gerekirse, fidye yazılımı saldırılarıyla mücadele edecek bütçeleri veya kaynakları yok, bu nedenle tehdit aktörleri için yüksek önceliğe sahipler.
Yerinde daha fazla kontrol, bu kontrolleri sürdürmek için daha fazla süreç anlamına gelir ve bu da BT güvenlik uzmanlarının halletmesi gereken daha fazla manuel süreçle sonuçlanır. Örneğin, KOBİ’lerin ihlal bildirimlerine yönelik kontroller için GDPR uyumluluğu yasal düzenlemesini belirlemesi veya veri imhasına yardımcı olması için CIS Kontrol Grubu 3’ü hızlı bir şekilde bulması gerekecektir.
BT, güvenlik ve risk yönetimi uzmanlarının, siber sigorta poliçelerinin başvuruları ve yenilemeleri için hazırlık aşamasında kanıtlarını daha iyi toplaması ve düzenlemesi gerekecektir. Ayrıca, gerçekte ne kadar kapsama ihtiyaç duyduklarına karar vermek için riskleri kontrollerle ilişkilendirmelerini sağlayan bir araç da düşünebilirler.
yazar hakkında
CISSP’den Kayne McGladrey, Hyperproof için alan CISO’sudur ve IEEE’nin kıdemli bir üyesidir. Siber güvenlik alanında yirmi yılı aşkın bir deneyime sahiptir ve CISO ve danışma kurulu üyesi olarak hizmet vermiştir ve siber güvenlik açıklarının bireyler, şirketler ve ulus üzerindeki politika, sosyal ve ekonomik etkilerine odaklanmaktadır.