ABD Menkul Kıymetler ve Borsa Komisyonu’nun yayınladığı Daha iyi siber güvenlik yönetimi için yönergeler yıllardır kamu kurumları bunları çoğunlukla görmezden geldi. Gereksinimleri karşılamak zor olsa da, bu çabayı gösteren şirketler, bunu yapmayanlara kıyasla hissedar değerinin neredeyse dört katını yarattı.
Bitsight ve Diligent binlerce halka açık şirketle anket yaptı ve siber güvenlik deneyimi ile üç ila beş yıllık ortalama toplam hissedar getirisi arasında bir korelasyon buldu. (Kaynak: Bitsight)
Bu, Bitsight ve Diligent Institute tarafından ortaklaşa yürütülen “Siber Güvenlik, Denetim ve Yönetim KuruluAnket, dünya çapında 4.000’den fazla orta ve büyük ölçekli şirketi derinlemesine inceleyerek yöneticilerin uzmanlığının yanı sıra denetim ve uzman risk komitesi üyelerinin geçmişlerini de araştırdı. Siber güvenlik uzmanlığını 23 farklı risk faktörüne göre ölçtüler: Botnet bulaşmalarının varlığı, kötü amaçlı yazılım barındıran sunucular, Web ve e-posta iletişimleri için güncel olmayan şifreleme sertifikaları ve halka açık sunuculardaki açık ağ bağlantı noktaları.
Omega315’in siber güvenlik danışmanı ve CEO’su Ladi Adefala, “Tam kurulun yerine siber gözetimi bir siber uzman üyeye sahip uzman komiteler aracılığıyla uygulayan yönetim kurullarının, genel güvenlik duruşlarını ve finansal performanslarını iyileştirme olasılıkları daha yüksektir” diyor. raporun sonuçlarıyla birlikte. Bu konu üzerinde bir Fortune 500 şirketinde çalıştı ve şu sonuca vardı: “Yönetim kurulunun siber konuları araştırmaya zaman ayıracak odaklanmış bir komitesi yoktu. Ayrıca yeterli üyeye sahip değillerdi ve bu nedenle uzmanlaşmaya güçleri yetmiyordu.” Siber komiteler var” diyor. Danışmanlık pratiğinin bir kısmı, siber yurttaşlık dersleri vermek olarak adlandırdığı bu tür komitelerin kurulmasına yardımcı olmaktır.
İnsan kaynakları bir yana, zayıf siber güvenlik yönetimi pek de yeni bir haber değil: Halka açık şirketler yıllardır siber güvenliğe önem vermiyor. Örneğin güvenlik uzmanı David Froud En az 2017’den beri bu konu hakkında yazıyor. Ancak yeni olan, siber bilgiyi değerlendirmenin ve kalıcı yönetişim oluşturmanın ne kadar zor olduğunu görmek.
Bitsight raporuna göre, özel risk ve denetim uyumluluğuna odaklanan ayrı yönetim kurulu komitelerine sahip olmak en iyi sonuçları veriyor. Yazarlar şöyle yazdı: “Bu komiteler belirli siber güvenlik konularını derinlemesine incelemek için daha iyi bir konumdadır ve günlük siber güvenlik operasyonlarından sorumlu yöneticilerle daha güçlü ilişkiler geliştirebilirler. Bu da siber güvenlikle ilgili politikaların daha iyi geliştirilmesine yol açabilir.” Bütçe ve diğer kararlar yönetim kurulu düzeyinde alınıyor.”
Anket, en alt sırada yer alan endüstriyel şirketlerle karşılaştırıldığında, en üst sıralarda yer alan sağlık ve finansal hizmetlerle ilgili şirketler arasında geniş bir siber deneyim yelpazesi bulunduğunu ortaya çıkardı.
Açık olan şu ki, şirketlerin büyük çoğunluğu bu tür uzmanları yönetim kurullarına ve komitelerine entegre etme konusunda kötü bir iş çıkardı. Rapor, ankete katılanların yüzde 5’inin (ve S&P 500 şirketlerinin yüzde 12’sinin) yönetim kurullarında bu uzmanların bulunduğunu ortaya çıkardı. Ancak yönetim kurulunda yalnızca bir CISO veya CTO’nun bulunması, siber güvenlik performansının garantisi değildir. Bitsight, “Bu uzmanların mevcut yapılara entegre edilmesi gerektiğini” ve koruyucu önlemlerin alınması gerektiğini belirtti.
Raporda belirtilmeyen bir başka yönetişim zayıf noktası da vardı: kalıcı siber dayanıklılık oluşturmak. Bu, MIT Sloan Araştırma Konsorsiyumu’ndaki Siber Güvenlik tarafından yürütülen başka bir anketin konusuydu ve Harvard Business Review’da yayınlandı geçen sene. MIT ekibi 600 yönetim kurulu üyesiyle anket yaptı ve CISO’larla etkileşimlerinin eksik olduğunu buldu. Ankete katılanların yarısından azının CISO’larıyla herhangi bir düzenli teması var ve çoğunlukla yönetim kurulu toplantılarında yapılan sunumlarla sınırlı, başka pek bir şey yok.
Çoğu durumda bu sunumlar, kırmızı takım tatbikatları veya kimlik avı farkındalığı eğitimlerinin ne sıklıkta gerçekleştirildiği gibi koruyucu önlemlerin mekaniği ile sınırlıdır. MIT konsorsiyumunun genel müdürü ve HBR makalesinin ortak yazarı (Proofpoint’te Küresel Yerleşik CISO, Lucia Milică ile birlikte) Keri Pearlson, tıp dünyasıyla bir benzetme yapıyor: “Bir enfeksiyona maruz kaldığımızda, ya Hastalanmadığımızda ya da hastalanırsak vücudumuzda, bizi daha iyiye döndürmek için otomatik olarak çalışmaya başlayan şeyler var.”
İhtiyaç duyulan şeyin “yönetim kurullarının kuruluşlarının siber güvenliğin neden olduğu risklerini tartışması ve bu riskleri yönetmeye yönelik planları değerlendirmesi” olduğunu ekliyor.
Adefala’nın özetlediği gibi, “En ilgi çekici yol, siber güvenliği operasyonel bir gereklilik olarak değil, gelir yaratma veya operasyonel çeviklik için stratejik bir varlık olarak kullanmaktır.”