Yaklaşık yirmi yıldır siber güvenlik sektörünün içinde olan biri olarak, federal kuruluşların kuruluşları güvende tutmak için olması gereken değişikliklere daha fazla odaklandığını görmek bana canlandırıcı geliyor. İle Savunma Bakanlığı (DoD), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)Ve Beyaz Saray Tüm yayınlanan güncellenmiş siber yönergeler ve politikalar, siber savunmalar, hazırlıklı olma ve yetenekli yetenek etrafında yeni keşfedilen ve çok hak edilen bir aciliyet ve önem duygusuna yerleştirilmiştir.
Benzer şekilde, uzun süredir beklenen yeni siber güvenlik gereksinimleri ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) yaklaşmakta olan bir olay açıklama kuralına ve şirket kurullarında siber güvenlik uzmanlığının kanıtına atıfta bulunmak. Nihai dili beklerken, bu gereksinimlerin şeffaflığı ve iletişimi üst düzeye çıkarmak için doğru yönde atılmış bir adım olduğuna ve nihayetinde siber güvenliğin tüm sektörlerde iş için nasıl bir zorunluluk olduğunu vurguladığına inanıyorum.
Ancak önemli bir uyarı ile.
SEC ve diğer devlet kurumlarının zamanında raporlama ve ifşa etme konusundaki ek baskısı, değişim için gerekli bir güç olsa da, birçok kuruluş bu düzeyde gözetim ve raporlamayı kaldıracak donanıma sahip değildir. Birçok güvenlik lideri şu anda kurullar ve yönetici liderlikle paylaşmak için kanıt toplama araçlarından yoksundur ve bu da İhlale hazırlık ve olay müdahale sonuçlarının %60’ı işaretleniyor. Dahası, güvenlik liderlerinin yarısından fazlası (%55), siber güvenlik ekiplerinin siber tehditlere uygun şekilde yanıt vermeye hazır olduğunu göstermek için gereken verilere sahip olmadığı konusunda hemfikir.
Daha İyi Yaklaşımlar Arayışı
Hükümet yönergelerine uymak için kuruluşlar, uygulamalı alıştırmalar yoluyla ekipler arasında siber yetenekler oluşturmanın ve kanıtlamanın daha etkili yollarına yatırım yapmalıdır. Kuruluşlar, siber güvenlik yaklaşımlarında aşağıdaki eylemleri içeren bir paradigma değişikliği yapmalıdır:
1. Dayanıklılığı ve yetenekleri kanıtlamak için belirli ölçümler sağlayın. Neredeyse tüm diğer iş fonksiyonlarının temelini oluşturan kanıt noktalarına ve eyleme geçirilebilir ölçümlere rağmen, kuruluşların siber güvenlik duruşlarının kusurlarını ve güçlü yanlarını belirleme söz konusu olduğunda ölçüm neredeyse yoktur. Bir kuruluşun siber dayanıklılığını ilerletmek için, siber güvenlik ekiplerinin yeteneklerini ve dayanıklılıklarını değerlendirmek ve kanıtlamak için daha iyi yöntemlere ihtiyacı vardır; özellikle de çoğu siber güvenlik liderinin, kuruluşlarının yönetim kurulunun siber dayanıklılığı kanıtlamaları için siber güvenlik ekiplerine daha fazla baskı uyguladığı konusunda hemfikir olduğunu düşündüğünüzde.
Olmadan etkinliği ölçmek için metrikler, liderler eğitime yapılan maliyetli eğitim yatırımlarının değerli olup olmadığını nasıl bilebilirler? Dolayısıyla, ekipler doğru risk yönetimi araçlarına sahipken ve ihlale hazırlık değerlendirmeleri yürütürken, dayanıklılığı yeterince değerlendirmiyor veya eğitmiyorlar.
2. Teknolojik “spot çözümler”den uzaklaşın. Tehdit ortamı gelişmeye devam ederken, çoğu güvenlik lideri, siber güvenlik güçlerini kilit paydaşlara kanıtlamak için sürekli büyüyen teknoloji yığınlarına eklemek için daha fazla teknoloji aracına yöneliyor. “Spot çözümler” uygulamak, bir kuruluşta boşluklar bırakarak onu saldırganlara karşı savunmasız hale getirebilir. Bugünlerde neredeyse her türlü güvenlik sorunuyla mücadele eden araçlar mevcuttur, ancak tak ve çalıştır yaklaşımı en etkili sistem değildir.
Baş bilgi güvenliği görevlileri (CISO’lar), karmaşıklığı azaltmak için araçlarını birleştirmeyi düşünmelidir. Öyle bile olsa, kolaylaştırılmış bir çözüm tek savunma hattı olamaz. Biri Gartner’ın 2023 öngörüleri CISO’ların karşılaşacağı zorlukların teknoloji, siber güvenlik ve kontrollerin ötesine geçeceği ve bunun yerine insan unsuruna odaklanılacağını öngördüğüdür. Güvenlik teknolojisi çözümleri, siber tehditler meydana gelirse – ve ne zaman gelirse – etkili bir şekilde yanıt verebilmek için savaşta test edilmiş ve yetenekli bir iş gücüyle birleştirilmelidir.
3. Etkili siber güvenlik yaklaşımınızda çalışanlarınızı ilk sıraya koyun. İnsan merkezli, proaktif bir siber güvenlik yaklaşımını benimsemek, kuruluşları siber tehditlerle mücadele etmek ve yönetim kurullarına ve şirket liderliğine dayanıklılık göstermek için daha iyi bir konuma getirir. Kuruluşlar sertifikalar, masa başı tatbikatlar ve sınıf çalışması gibi geleneksel siber güvenlik eğitimi yöntemlerine yatırım yapıyor olsa da bu taktikler, özellikle fidye yazılımı ve üretken yapay zeka teknolojilerindeki son artışlarla birlikte mevcut siber saldırılarla mücadelede büyük ölçüde yetersiz kalıyor. Bunu düşünen yalnız ben değilim — eğitim yatırımlarındaki artışa rağmen, %80 Siber liderler, ekiplerinin gelecekteki saldırılara yanıt verecek yeteneklere sahip olduğuna inanmıyor.
Siber liderler, devam eden personel bulma zorluklarını ve yetenek açığını gidermek için işe alım uygulamalarını yeniden değerlendirmelidir. İK ve işe alım müdürleri, sertifikalara gereğinden fazla güveniyor ve bu sertifikaları gereğinden fazla vurguluyor, nitelikli başvuru sahiplerini reddediyor veya erken kariyer ve çeşitli güvenlik yetenekleri için girişte maliyetli bir engel oluşturuyor.
Bu yeni beklentileri karşılamak için CISO’lar, kuruluşlarını sürekli değişen tehdit ortamına karşı savunma için daha iyi hizalamak üzere stratejik ölçütler ve kanıt noktaları ile daha iyi donatılmalıdır. Siber hazırlık ve dayanıklılığa yönelik mevcut yaklaşımımız üzerinde biraz çalışma yapılması gerekiyor – ancak siber güvenlik ve liderlerinin nihayet masanın başında yerini aldığını görmek umut verici. İletişim ve kanıt ihtiyacını vurgulamak için ortak bir çaba sarf eden birden fazla federal kurumun katıksız konsepti, doğru yönde ivme vaat ediyor.