YORUM
Tüm son siber saldırılar, veri ihlalleri, davalar, yaptırım eylemleri ve düzenleyici soruşturmalar göz önüne alındığında, iş, finansal ve yasal riskleri azaltmaktan çok, ilgi çekici bir pazarlama kampanyasına odaklanan güvenlik uygulamalarına girişen şirket sayısının çokluğuna sık sık şaşırıyorum. Bu, “güvenlik tiyatrosu“Anlamlı bir savunma içeriği olmadan güvenlik yanılsaması veren bir program. Genellikle izleyiciyle içerikten daha fazla ilgilenen bir oyuncu kadrosu tarafından yönetilen, düşük prodüksiyon maliyetleriyle iyi hissettiren bir performans talep eden C-suite yöneticileri ve liderleri için titizlikle hazırlanmıştır.
Dikkat edin! Şirketler ve onlar için çalışan kişiler, iyi güvenlik tiyatrolarına rağmen dava ediliyor, para cezasına çarptırılıyor ve siber güvenlik ve veri koruma uygulamaları konusunda rıza kararları çıkarılıyor. Şirket davaları, düzenleyici soruşturmalar ve Senato’nun CEO hesap verebilirliği talepleri, sağlam güvenlik programları oluşturmak için eylemleri yönlendirebilir ve yönlendirmelidir. İster bir CEO, CISO, genel danışman veya kuruluşunuzdaki en üst düzey güvenlik, risk, uyumluluk veya yasal kaynak olun (unvanınız ne olursa olsun), etkili bir güvenlik programı olduğunu ve yalnızca bir performansa tanıklık ettiğiniz zamanı nasıl anlayacağınızı öğrenmelisiniz. güvenlik tiyatrosu.
Güvenlik Tiyatrosu Sadece Bir Kağıt Aydır
Güvenlik tiyatrosunun kadrosunda, izleyicilerin yararına güvenlik personeli tarafından yönetilen standart belirleme kuruluşları, üçüncü taraf onaylayıcılar ve güvenlik satıcıları yer alır. Bazı oyuncular birden fazla rolde çift oyuncu olarak yer alır. Standart belirleme kuruluşları, büyük teknoloji şirketlerindeki veya güvenlik satıcılarındaki güvenlik profesyonelleri tarafından canlandırılabilir ve standartları halihazırda yaptıkları işi yansıtacak şekilde etkileyebilir. Uyumluluğun koruyucuları olan sertifika kuruluşları, bazen şirketlerin onaylayacakları standartları karşılamalarına yardımcı olmak için tasarlanmış danışmanlık hizmetleri sunan güvenlik satıcıları olarak da görev alırlar.
Şimdi, bu, çatışan çıkarların tüm tarafların ilgili hizmetleri sağlamasını engellemesi gerektiği anlamına gelmez. Birçok durumda, birden fazla rol üstlenmek, iyi finanse edilen görevliler ve daha yeni kuruluşlar arasında bilgi paylaşımına olanak tanır. Ancak, bazen şarlatanlar, bir sertifikanın verileceğini neredeyse garanti edebildikleri için güvenlik yanılsamasına sarılmış kontrol listesi tarzı uyumluluk belgelerinin hızlı bir çözümünü pazarlarlar.
Ne yazık ki, göz kamaştırıcı cephenin ardında kaotik sahne arkası gerçekliği yatıyor. Güvenlik tiyatrosu bir güvence duygusu sağlasa da, elle tutulur risk azaltma ve yasal uyumluluk açısından genellikle yetersiz kalıyor. Seyirci, çalışanları düzenli olarak kimlik avı testleri (ve kaçınılmaz olarak tıkladıklarında yeniden eğitim) aldığı için birbirlerinin sırtını sıvazlayarak ayrılıyor. Bir güvenlikleri olduğunu bilerek rahat bir nefes alıyorlar. ağ güvenlik duvarı yerinde ve Uzaktan çalışanlar için VPNBirkaçı, kendilerini beğenmiş bir şekilde tatmin olma duygusuyla bile çıkabilirler çünkü ISO 27001 sertifikası rakiplerinin bazılarının sahip olmadığı bir özellik.
Gerçekten etkili güvenlik, tiyatrodaki karşılığının aksine, bir rahatlık kaynağı değil, sürekli bir güvenlik açığı hatırlatıcısıdır. Yaygın uygulamaların – hatta en iyi uygulamaların bile – her zaman işe yaramadığını kabul eder. Gerçek güvenlik, veri ihlallerinin ISO sertifikalı şirketlerde meydana geldiğini bilir. Gerçek güvenlik, hem insanların en zayıf halka olduğunu hem de insan olmanın ahlaki bir başarısızlık olmadığını bilir. Gerçekten etkili güvenlik, katmanlı savunmalar ve uzlaşmaya yanıt planları dahil ederek, bunun etrafında eğitim vermeye çalışmaktan ziyade, bireyleri yalnızca insan oldukları için suçlamaya veya cezalandırmaya hazır olarak uzlaşmaya karşı planlar yapar. Gerçek güvenlik, sürekli olarak gelişen bir mühendislik ve uyanıklık halidir ve insan doğası Akılda tutulması gereken: İnsanlar yanılabilir, ancak onlar bir özelliktir, bir hata değil.
Gerçek Güvenliği Kaçırmanın Riskleri Yüksek ve Artıyor
Belki de Güvenlik Tiyatrosu’nun izleyicileri arasındasınız ve Gerçek Güvenliğin harika olacağını ancak çok pahalı olduğunu düşünüyorsunuz. Ancak dikkat edin: Mevcut ve yeni yasalar, dijital işletmeler için temel unsur olarak Gerçek Güvenliği talep ediyor. Örneğin, AB düzenleyicileri yakın zamanda bir görüş yayınladı Veri anonimleştirme standardına uyumun, bunun bir zorunluluk olduğu anlamına gelmediği yeterli anonimleştirme yasa kapsamında. Ve para cezaları birikiyor: Avrupa’da yürürlüğe giren çeşitli yeni yasalar, her yasanın ihlali için bir işletmenin küresel yıllık gelirinin %2-%7’si oranında para cezası getiriyor. Bu, veri ihlaline yol açan tek bir olayın gelir bazlı para cezalarının birden fazla örneğini tetikleyebileceği anlamına geliyor ve bu sadece Avrupa’da geçerli. Brüksel’in yolunu izleyen diğer yargı bölgelerini düşündüğünüzde, bu hızla artıyor.
ABD de bu konulara odaklanıyor, ancak farklı bir konuda. Menkul Kıymetler ve Borsa Komisyonu, Federal Ticaret Komisyonu, Adalet Bakanlığı ve eyalet düzeyindeki başsavcılar şirketleri araştırdı ve şirketlere karşı hukuki ve cezai davalar açtı ve bireysel liderlerhaksızlık iddiasında bulundu. Senatör Ron Wyden (D-Wash.) FTC ve SEC’e şunu öneren bir mektup yazdı: CEO’lar kişisel olarak sorumlu tutulmalıdır etkisiz siber güvenlik programları için.
Güvenlik Tiyatrosu ile ilişkili güvenlik, ekonomik ve yasal risklerin farkına varma zamanı geldi. En sert eleştirmenleri -küresel kanun koyucular- bu gösteriye çok daha fazla dikkat ediyor. Seyirciyi rahat ettirmeye odaklanmayı bırakıp, onlara risk, değişim ve en sonunda büyümeyle gelen rahatsızlığı hissettirmeye başlama zamanı geldi.
Bu, özellikle uzun zamandır büyümeden çok rahatlığa değer veren kuruluşlarda zor olacaktır; liderlik, eğitilmek pahasına eğlendirilme kültürünü geliştirdiğinde Güvenlik Tiyatrosu’nu izlediklerini bilmeyecektir. Bu nedenle yönetim kurulları ve üst düzey yöneticiler seyirci rolünden kaçınmalı ve bunun yerine Güvenlik Tiyatrosu izleyicileri arasında en etkili eleştirmen haline gelmelidir.
Büyüme rekor kıran bir hızda olmak zorunda değildir, ayrıca belirli bir son duruma bağlı olmak zorunda da değildir. Güvenlik ve uyumluluğu hem risk tabanlı hem de işletme için uygun bir şekilde yapmanın birçok yolu vardır. Ancak bu çalışma gerektirir. Büyüme her zaman çalışma gerektirir.
Meraklı ve büyüme zihniyetine sahip yetenekli, deneyimli bir siber güvenlik lideri, dinlendiklerinde inanılmaz derecede etkili bir güvenlik programı oluşturmaya yardımcı olabilir. Bu kişileri dinlemek, yetersizlik ve bunalmışlık gibi rahatsız edici duygulara neden olabilir. Bu nedenle, rahatsız olmaya alışmanın zamanı geldi. Rahatlık kültürünü öldürün ve duyması kolay olmayan şeyleri duymayı talep edin. Büyüme, izleyicilerdeki müşterilere kalıcı memnuniyet ve mutluluk sağlayacak ve dijital dünyamızın korunmasının onu yaratan teknolojiyle birlikte gelişmesini sağlayacaktır.