Son zamanlardaki büyük çaplı olaylar gibi CDK fidye yazılımı saldırısı – ABD genelindeki otomobil bayilerinin Haziran 2024 sonlarında kapatılmasına neden olan – artık kamuoyunda pek fazla yankı bulmuyor.
Ancak işletmeler ve onları yöneten insanlar haklı olarak tedirgin. Her CISO, siber güvenliğin yöneticiler ve yönetim kurulu üyeleri için giderek daha sıcak bir konu haline geldiğini bilir. Ve kaçınılmaz CISO/Yönetim Kurulu brifingi geldiğinde, herkes şu yanıtları ister: Saldırılardan güvende miyiz? İlerleme kaydediyor muyuz? bize ne olur?
Bunların hepsi haklı kaygılar.
Soru şu ki, bunlara en iyi nasıl cevap veririz? Bir şirket yönetim kurulu, düzeltmeler veya saldırı yöntemleri hakkında teknik ayrıntılar değil, iş hedeflerine bağlı net, özlü bilgileri hak eder. CISO ile yönetim kurulu arasındaki bir iletişim boşluğu yanlış anlamalara, artan riske ve potansiyel olarak yıkıcı siber saldırılara yol açabilir. Ve bu yüzden bugün CISO’lar için en büyük zorluklardan biri devam ediyor: Risk, yönetim kurulunun anlayabileceği ve bilinçli kararlar almak için kullanabileceği bir şekilde nasıl sunulur?
XM Cyber’ın yeni e-kitabına göz atınYönetim Kuruluna Risk Bildirme Konusunda Bir CISO Rehberi. Sonunda yönetim kurulunun risk hakkındaki sorularını güvenle ve doğrulukla yanıtlamanıza yardımcı olacak stratejiler ve ipuçlarıyla dolu. Net iletişim ve ölçülebilir ilerleme için bir plan oluşturarak, CISO’lar sonunda yönetim kurulu güvenini inşa edebilir ve siber riskleri etkili bir şekilde yönetmek için gereken kaynakları güvence altına alabilir.
Sayılar Konuşuyor
İletişime yönelik bu açık ve acil ihtiyaca rağmen, Heidrick and Struggles’ın, önde gelen yönetici arama ve kurumsal kültür danışmanlık hizmetlerinin son araştırması, CISO’lar ile CEO’lar arasında endişe verici bir kopukluk olduğunu ortaya koydu. Sadece CISO’ların %5’i doğrudan CEO’ya rapor veriyorBu, yüksek düzeyde etki eksikliğinin potansiyelini gösteriyor ve CISO’ların 2⁄3’ü raporlama yapısında CEO’dan iki seviye aşağıda yer alıyor.
Bu, siber güvenlik liderlerinin çoğunluğunun kurumsal karar alma sürecinden birkaç adım uzakta kaldığı anlamına gelir. Ponemon Enstitüsü araştırması ayrıca kuruluşların yalnızca %37’sinin CISO’larının uzmanlığından etkili bir şekilde yararlandığını düşündüğünü buldu. Gartner’dan araştırma Benzer bir eğilime dikkat çekiliyor: Yönetim kurullarının yalnızca %10’unda şu anda bir yönetim kurulu üyesi tarafından denetlenen özel bir siber güvenlik komitesi bulunuyor.
Bu sayılar, kuruluşların raporlamayı nasıl yapılandırdığı ve kurulların brifingleri nasıl aldığı konusunda önemli zayıflıkları ortaya koymaktadır. CISO’lar için daha doğrudan bir role rağmen, riski net iş terimlerine dönüştürme zorluğu devam etmektedir.
Sorular
Bir CISO olarak kendinize şu beş temel soruyu sormanız, yönetim kurulu ile yönetici arasındaki iletişim boşluğunu kapatmanıza, siber güvenlik duruşunuz hakkında net bir resim sunmanıza ve riski etkili bir şekilde yönetmek için gereken desteği kazanmanıza yardımcı olabilir:
1. Siber güvenlik bütçemi nasıl gerekçelendirebilirim?
CISO’lar güçlü siber güvenliğin sürekli yatırım gerektirdiğini anlar. Açık bir gerekçe olmadan, bütçe talepleriniz azaltılma veya tamamen reddedilme riskiyle karşı karşıyadır. Bu nedenle, siber güvenliğe yapılan yatırımın getirisini göstererek hedeflerinizin yalnızca ulaşılabilir değil, aynı zamanda değerli olduğunu kanıtlayın. Muhaliflere, kritik verileri ve altyapıyı korumak için kaynakları güvence altına alarak nihayetinde kuruluşun mali sağlığını koruduğunuzu gösterin.
2. Risk raporlama sanatında nasıl ustalaşırım?
Siber güvenliğe ilişkin yönetici algısını değiştirmek istiyorsanız risk raporlamasında ustalaşmak kritik öneme sahiptir. Teknik olmayan kitleler karmaşık güvenlik tehditleriyle mücadele eder. Bu nedenle raporlarınızın net ve veri odaklı olması gerekir. İş açısından riskleri nicelleştirmeleri ve ihlallerden kaynaklanan olası mali kayıpları vurgulamaları gerekir. Bu şekilde, kuruluşun mali refahını korumada güvenlik yatırımlarının değerini gösterirsiniz – siber güvenliği bir maliyet merkezinden bir iş kolaylaştırıcısına dönüştürürsünüz.
3. Güvenlik başarılarını nasıl kutluyorum?
Sadece sorunlara odaklanmayın; güvenlik kazanımlarını kutlamak çok önemlidir. Ekibinizin başarılarını tanımak, kurumsal morali yükseltir, güvenlik farkındalığı kültürünü teşvik eder ve siber güvenlik yatırımlarının değerini vurgular. Savuşturulan saldırıların kamuoyu tarafından tanınması, saldırganları caydırabilir ve paydaşlara kuruluşun veri korumasına olan bağlılığı konusunda güvence verebilir.
4. Diğer ekiplerle nasıl daha iyi işbirliği yapabilirim?
Etkili CISO’lar siber güvenliğin tek başına bir çaba olmadığını anlar. Güçlü güvenlik, şirket çapında uyanıklığa bağlılığa dayanır. Bu nedenle BT, İK ve Hukuk gibi diğer departmanlarla işbirliği yapmak esastır. Birlikte çalışarak CISO’lar güvenlik farkındalığı eğitimini çalışan oryantasyon ve geliştirme programlarına entegre edebilir. Dahası, işbirlikçi çabalarınız iş süreçleriyle uyumlu daha net güvenlik politikalarına yol açabilir. Ve iş birliği, olay yanıt protokollerini güçlendirerek güvenlik ihlallerine hızlı ve koordineli bir yanıt sağlar.
5. En önemli olan şeye nasıl odaklanabilirim?
CISO’lar tehditler ve görevlerle bombardımana tutuluyor. Önceliklendirme anahtardır. Gerçekten önemli olana odaklanmak kaynakların etkili bir şekilde yönlendirilmesini sağlar. Bu, en kritik güvenlik risklerini belirlemek, bunları kuruluşunuzun iş hedefleriyle uyumlu hale getirmek ve stratejik olarak ele almak anlamına gelir. Dikkat dağıtıcı şeylere hayır diyerek ve yüksek etkili girişimlere odaklanarak, güvenlik duruşunuzu optimize edebilir ve kuruluşunuzun genel dayanıklılığını en üst düzeye çıkarabilirsiniz.
Açığı Kapatmak: CISO’lar İçin Etkili İletişim
Siber saldırıların artan dalgası, CISO’lar ve yönetim kurulları arasında net bir iletişim gerektiriyor. Bu boşluğu kapatmak ve kritik destek kazanmak için CISO’lar etkili risk iletişimine öncelik vermelidir. Teknik jargonları bir kenara bırakın ve karmaşık tehditleri iş terimlerine çevirin. Siber saldırıların finansal etkisini, itibara gelebilecek olası zararları ve temel operasyonlardaki kesintileri vurgulayın. Siber güvenliği bir iş sorunu olarak çerçevelendirerek, CISO’lar yönetim kurulundan temel güvenlik yatırımları için onay alabilirler. (Güvenlik girişimleri için yönetici onayı alma konusunda daha fazla ipucu için bu harika makaleye göz atın Burada.)
Ayrıca, iletişimin yalnızca sorunları sunmanın ötesine geçtiğini unutmayın. CISO’lar ayrıca ilerleme göstermeli ve güvenlik yatırımlarının etkinliğini gösteren veri odaklı raporlar geliştirmek için temel ölçümlerden uzaklaşmalıdır. Başarılı saldırılardaki azalmalar veya ihlalleri tespit edip sınırlamak için gereken zaman gibi temel ölçümler izlenmelidir. Bu kanıtlanabilir veri noktaları mesajınızı iletmenize yardımcı olacaktır.
XM Cyber’ın yeni e-kitabına göz atınYönetim Kuruluna Risk Bildirme Konusunda Bir CISO Rehberi. Sonunda yönetim kurulunun risk hakkındaki sorularını güvenle ve doğrulukla yanıtlamanıza yardımcı olacak stratejiler ve ipuçlarıyla dolu. Net iletişim ve ölçülebilir ilerleme için bir plan oluşturarak, CISO’lar sonunda yönetim kurulu güvenini inşa edebilir ve siber riskleri etkili bir şekilde yönetmek için gereken kaynakları güvence altına alabilir.
