Acımasız siber saldırılar ve artan düzenleyici baskıların ortasında, güvenlik kültürü ön plana çıktı. Genellikle hafife alınan güvenlik kültürünün kuruluşlar üzerinde derin etkileri vardır. Güvenlik kültürünü, bir kuruluşun zorluklara dayanma yeteneğini doğrudan belirleyen tutumlar, inançlar, bilgiler ve değerlerin ortak bir dokusu olarak tanımak çok önemlidir. Suçlama kültürünü geliştirmek kolay olsa da bireyleri güçlendirerek dayanıklılığı artırmak çok daha zorlu bir görevdir.
Şu soruyu düşünün: Kuruluşunuzda bireyler, kurumsal düzeydeki potansiyel siber kaygıları açıkça tartışmak ve gündeme getirmekten çekinmiyor mu? Çoğunluk için, cevap kocaman bir hayır. Bu kuruluşlarda korkular utandırmaya, güveni kaybetmeye ve hatta iş güvenliğine kadar uzanmaktadır.
Ancak zayıf bir güvenlik kültürünün rolleri karmaşıklaştırdığı ve kuruluşa zarar verme riski taşıdığı açıkça ortadadır. Üst düzey yöneticilerde görev süreleri en kısa olan baş bilgi güvenliği görevlilerini (CISO’lar) ele alalım. sadece iki yıl. CISO’lar göz korkutucu engellerle karşı karşıyadır – bunun çarpıcı bir örneği, ters etki yapan “tek boğazdan boğulmak” fikridir. Satıcı ilişkilerinde yaygın olan bu ifade aynı zamanda CISO’lara bir kuruluşun üstlenmesi gereken sorumlulukların haksız şekilde yüklenmesinde de kullanım alanı bulur. Üst düzey yöneticileri birbirine düşürerek kırılganlığa neden oluyor. Artan baskı inkar edilemez CISO’lara zarar veriyoriş gücü zorluklarını şiddetlendiriyor ve kuruluşların korunmasını sağlıyor. Saldırı yüzeyi büyüyor Yapay zeka destekli siber suçlar ilerleme kaydediyor.
İnsanlara Öncelik Vermek
Güvenlik kültürünüz çok yaygın olan “İşler sorunsuz gittiğinde her şey yolundadır, ancak bir ihlal belirtisi olduğunda kaos ortaya çıkar” ikilisine mi düşüyor? Eğer öyleyse, güvenlik kültürünüze dikkatle bakmanız zorunludur. Liderler havacılık güvenliğinden ilham alabilir ve “adil kültür” yaklaşımını benimsemeyi düşünebilir. Suçu başka yere kaydırmaktan çok uzak olan “adil kültür”, suçu vurgulamadan hesap verebilirlik ve sorumluluk verir.
Zıt değerleri aşılamak çok kolaydır. Utanç yaratan zayıf siber güvenlik eğitimi alın. Geri tepmeler yaşanabilir normalde iyi niyetli çalışanlar, kötü niyetli içerikle etkileşime geçmeye ikna etmek için tasarlanmış yanıltıcı e-postalarla hedef alındığında. Başarısızlıklar daha sonra ileri eğitimi haklı çıkarmak için kullanılır. Diğer durumlarda çalışanlar şüpheli politikalara uyumu amaçlayan monoton rejimlere katlanabilirler. Daha da kötüsü, çoğu zaman eğitim çabaları mevcut tehditlere ayak uydurmada başarısız oluyor. güvenlik yorgunluğu. Liderlerin, risk eğitiminde aşılanan değerlere çok dikkat etmeleri ve bunun kendi kültürleriyle uyumlu olmasını sağlamaları iyi olacaktır.
Liderlik İçin Yeni Bir Yol: Uyum ve Sorumluluk
Güvenlik kültürünü doğru bir şekilde elde etmek için bir kuruluşun liderliğinin, kaynaklara öncelik vererek ve güvenlik kültürünü savunarak siber güvenliğe bağlılık göstermesi gerekir. şeffaf uygulamalar ve sorumluluk. Bunu hatırla sorumluluk devredilebilirsorumluluk yukarıya doğru akar.
Siber güvenlikte açık bir sorumluluk olmadığında, küçük sorunlar artarak ciddi ihlallerin temeli haline gelebilir ve maliyetli kurtarma çabalarını, davaları ve devletin düzenleyici eylemlerini tetikleyebilir. Nasıl olduğunu düşünün yeni SEC siber güvenlik kuralları Sorumluluk ve risk yönetimini ele alın.
Kuruluşlar işbirliği, eğitim ve ortak sorumluluk kültürünü geliştirmek için çalışmalıdır. Bu, liderliği gelişen tehdit ortamı hakkında eğitmeyi, siber güvenlik için net raporlama yapıları oluşturmayı, güvenlik hedeflerini genel iş hedefleriyle uyumlu hale getirmeyi ve siber güvenliğin tutarlı bir şekilde karar alma süreçlerine entegre edilmesini sağlamayı içerir.
Liderlik uyumu sorunları, genellikle yöneticilerin kurumsal risk konusunda tutarlı bir vizyon ve kararlılığı paylaşmadığı durumlarda ortaya çıkma eğilimindedir. Ve vizyonlar derinlemesine test ediliyor krizlerde. En göze çarpan problemler arasında yetersiz iletişim iş birimleri veya liderler arasında en çok ihtiyaç duyulan zamanda bilgi alışverişinin engellenmesi. Tutarsız yönetim aynı zamanda siber güvenlik politikaları, rolleri ve sorumlulukları konusunda daha fazla kafa karışıklığına da yol açabilir. (Profesyonel ipucu: NIST’in yeni Siber Güvenlik Çerçevesi 2.0 artık “Yönetim” kategorisini içermektedir.)
Kültür ve liderlik farkındalığındaki değişiklikler zor kazanılır. Liderler mevcut operasyonları aksatacağı düşünülen yeni önlemleri uygulamaya direnebilir. Kayalıklardan uzaklaşmak zorunlu olsa da liderler, uzun vadeli dirençlilik yerine kısa vadeli mali kazanımlara öncelik verebilir ve siber güvenlik yatırımlarını kaçırabilir. ağda görünürlük — artan iyileştirmeler sunan. Genellikle bu tür endişeler, daha iyi, sade bir dille bilgi paylaşımı veya ihlallerin sonuçlarını veya siber güvenlik için kaynak gerekliliğini ele alan masa üstü uygulamalarla giderilir.
Kıdemli liderler en iyi uygulamaları takip ederek siber güvenliğe olan bağlılıklarını gösterebilirler. Biyoteknoloji firmasının iflas ettiğini öğrendikten sonra ofisine koşan CEO Werner Lanthaler’in örneğini düşünün. Evotec bir siber saldırıya maruz kalmıştı. Lanthaler iyileştirme çalışmaları sırasında paydaşlarla, çalışanlarla ve medyayla konuşarak önden liderlik etti. Kuruluşunuzun liderliği de aynısını yapmaya hazır mıdır?
Riskler göz önüne alındığında, insanlara ve güvenlik kültürüne öncelik vererek siber evrenin koruyucuları olmanın zamanı geldi. aracılığıyla elde edilip edilmediği Yapay zeka destekli otomasyonSorunların proaktif olarak belirlenmesi ve çözülmesi veya risk yönetimi sorumluluklarının adil bir şekilde dağıtılması için amaç şu olmalıdır: Dayanıklılık. Kuruluşunuzun geleceğinden daha az bir şey tehlikede değil.