Yönetim kurullarının işletme için düşük düzeyde bir risk toleransı seçmesi yaygın hale gelmektedir. Sorun şu ki, bu düşük risk toleransını destekleyecek farklı kararlar almak için CEO’ya veya CFO’ya herhangi bir yeni direktif verilmediği için eylem genellikle burada durur.
Artan siber güvenlik finansmanı en bariz ve çoğu zaman gerekli hareket olsa da, sonraki optimum adımlar mutlaka daha fazla para gerektirmez. Ayrıca, kuruluşun risk pozisyonunu yükseltmek için gereken değişiklikleri yapmak için yetki verilmesini de içerebilir.
CISO veya CRO, yeni güvenlik koşullarıyla bulut anlaşmalarını onaylayabilmelidir. Ayrıca, olası iş ortaklarından habersiz kalem testi gibi güvenlik önlemlerini almalarını talep edebilmelidirler. Belki CISO, BYOD mobil politikasını ortadan kaldırmak ve bunun yerine yalnızca şirket tarafından kontrol edilen cihazlarda ısrar etmek istiyor – bu aramayı yapma gücüne sahip olmalılar. Ya da CSO, gölge BT’ye işaret edebilecek herhangi bir satın alma (yönlendiriciler, bulut satıcıları, IoT cihazları vb.) arayarak borç hesapları gider raporlarını denetleme hakkını istiyor olabilir.
Forrester Research’ün Başkan Yardımcısı ve baş analisti Jeff Pollard, “Bunu karmaşıklaştıran şey, bir yönetim kurulunun düşük risk toleransına sahip olduğunu söylemesinin çok kolay olmasıdır. Neredeyse bir pazarlama mesajına dönüşüyor,” diyor. “Yönetim kurulu üyeleri, düşük risk toleransına sahip olmanın gerçekten ne anlama geldiğini gerçekten anlıyor mu? Bunu söylemenin yönetim kuruluna hiçbir maliyeti yoktur. Düşük risk toleransının sonuçları ve sonuçları vardır.”
Pollard, epeyce yönetim kurulu için, bu beyan ile onu gerçeğe dönüştürecek uygun değişiklikler arasında “doğrudan bir bağlantı olmadığını” söylüyor. “Yönetim kurulları, bu kararı verirken ve bütçeye karar verirken genellikle birbirinden kopuktur. 21. yüzyılda risk, nitelik kisvesi altında genellikle niceldir. Olmadıkları halde nicelik maskesi takıyorlar. kesin olsa da. Risk belirsiz. Bunun pratikte ne anlama geldiğine dair gerçek anlamlı bir tanım yok.”
“En hızlı büyüyen bölüm muhtemelen yüksek riskli çünkü çok hızlı büyüyorlar ve bu kadar hızlı büyümek için yapılması gerekenleri yapıyorlar” diyor. “Yönetim kurulu (CEO’ya) fren yapma yetkisi veriyor mu? Ben öyle düşünmüyorum. Bu, riskler hakkında olduğu kadar tavizler hakkında da bir konuşma.”
Beton Yürütme Yetkisinin Kurulması
McKinsey’in yardımcı ortaklarından Soumya Banerjee, bugün yönetim kurullarının çok daha sofistike bir risk anlayışına ve riskin ele alındığı somut yollara sahip olması gerektiğini söylüyor.
Banerjee, “Yönetim kurulları, risklerin ne olduğu konusunda hala ihtiyaç duydukları kadar anlayışa sahipler. Riskler bugün çok hızlı bir şekilde gelişiyor,” dedi. “Yönetim kurulu ‘düşük risk toleransı’ dediğinde, bunun çok somut temel risk göstergelerinin bir listesini başlatması gerekir. Risk toleransının risk etkisi ile tanımlanması gerekir. Kesin bir kopukluk vardır. Kurullar siber güvenliği risk açısından temsil etmelidir. doğru şekilde hoşgörü — soyut olarak değil, ama çok somut yollarla. Ödünler nelerdir? Bunu yapacak paramız var mı?
Deloitte’ta strateji, savunma ve müdahale lideri olan Andrew Morrison, yönetim kurulunun risk kabulü konusundaki en önemli zorluğun otorite olduğunu düşünüyor.
“Gerçekten eksik olan tek şey, siber güvenlikte doğru karar verme yetkisi. Olayların güneye gittiğini gördüğümüz yerde, komuta ve kontrol kararlarının belirsiz olduğu yer var. Örneğin, çevrimiçi varlığı kapatmaya kim karar verebilir?” Morrison diyor. “Yönetim kurulu, bunun kuruluş için ne anlama geldiğini anlamadan düşük risk toleransı ilan edecek. CISO ve güvenlik ekibinin karar verme yetkisinin ne ölçüde olduğu konusunda bir görüşme yapılması gerekiyor.”
Ernst & Young Americas’ın siber güvenlik lideri David Burg, eski sistemlerin, özellikle üretim ve diğer OT alanlarındaki çok eski, pahalı sistemlerin alt kümesi olmak üzere, en ateşli riskten kaçınan yönetim kurulu stratejisini bile etkili bir şekilde baltalayabileceğini söylüyor.
Burg, “Bu, CISO’ya ‘Bu şeye dokunma. Çok hassas ve çok eski’ denildiği belirli bir miras tadı içeriyor” diyor. BT ve güvenlik sınırlarının dışında kalan herhangi bir sistem, saldırganların kötü amaçlı yazılımları gizlemek için harika bir yer olarak görecekleri bir sistemdir.
Uygun Hissedar Beklentilerinin Belirlenmesi
Cleveland Federal Rezerv Bankası’nın siber güvenlik ve operasyonel risk yönetimi lideri Matt Tolbert, yönetim kurullarının bir siber risk iştahı stratejisi oluştururken uyum ihtiyaçları konusunda da dikkatli ve stratejik olmaları gerektiğini söylüyor.
teslim eden Tolbert, 2023 RSA Konferansında konuşma Böyle bir politikaya karar vermeyle ilgili yönetim kurulu meseleleri hakkında, hissedarların hissenin tolere etmeye istekli olduğu risk düzeyini anlamaları için bu tür politikaların belirlenmesinin önemli olduğunu söylüyor. Tolbert, “Bu beklentilerin ne olduğunu herkesin anlaması gerekiyor” diyor.
Tolbert, “Bir üçüncü tarafın yapması uygun olan nedir? Bir yaklaşım, iki şirketin aynı risk toleransına sahip olup olmadığını belirlemek için potansiyel ortaklarla derin risk görüşmeleri yapmaktır.
Ayrıca tek pratik risk toleransı seviyelerinin düşük, orta ve yüksek olduğunu belirtiyor. Bir yönetim kurulu, yasal nedenlerle sıfır risk toleransına sahip olduğunu beyan edemez. Olsaydı, şirketi tek bir ihlalden sonra dava edilmek üzere açardı.