Güvenlik ekipleri, son derece hassas bilgileri düzenli olarak işler ve şirketleri tarafından uygulamaya konulan savunma ve risk yönetimi uygulamalarından sorumludur. Bu nedenle, herhangi bir bilgi paylaşımı, bu sorumluluğun ihlali riskine karşı değerlendirilmelidir.
Kontrolü kaybetmek
Bilgi paylaşıldığında, korunmasına ilişkin sorumluluk genişletilir veya dağıtılır. Veriler yayıldığında, kuruluş bunun kontrolünü kaybeder. Bu nedenle, bilgiye erişimi olan herkesin, paylaşım iyi niyetli görünse bile, bunu gizli tutması gerekir. Kötü niyetli kulakların takılabileceği halka açık bir yerde profesyonel hayatını dökmek gerçekten de alışılmadık bir durum değil. Buna ek olarak, hiç kimse, kişisel çıkarları için gizlilik içinde paylaşılan bilgileri kullanan bir tanıdıktan güvende değildir. Sonuçlar, yanlış kullanılan bir uzaktan kod yürütme hatasından sözleşmenin feshedilmesine ve hatta uzlaşma girişimine kadar değişebilir.
Paylaşımla ilgili bu riskler oldukça açık görünüyor, ancak hiçbir şey paylaşmamak da tercih edilmez. Şirketler kendilerini siber saldırılardan korumak için duvarlar örerek kendilerini izole ediyor. Tavsiye almak veya fikir alışverişinde bulunmak için akranlarla bağlantı kurma isteksizliği ve potansiyel olarak önemli bilgileri kaçırma, gerçekten de dış dünyayla çok fazla bilgi paylaşmak kadar zararlı olabilir.
Ölçülü güven
Bir ihlal meydana geldiğinde, CISO genellikle dışarıyla bağlarını koparmaya meyillidir. Ancak, benzer bir sorun yaşayıp yaşamadıklarını veya sorunu çözme sürecinde olup olmadıklarını öğrenmek için dışarıdan uzmanlara danışmak aslında iyi bir fikirdir. Bu ek bilgiye erken bir aşamada sahip olmak, CISO’nun bir uzlaşmaya tepkisini büyük ölçüde kolaylaştırabilir ve potansiyel olarak zarar verici hataların düzeltilmesine izin verebilir. Bu, hafife alınmaması gereken hesaplanmış bir risktir; ve iki yönlü bilgi paylaşımı ancak güvendiğiniz dar bir insan çevresiyle olabilir.
Yıllardır bilinen ve davranışları önceki bilgi paylaşımı senaryolarında gözlemlenen önceden kurulmuş ilişkiler. Bu ilişkiler ve onlardan kaynaklanan paylaşılan deneyimler, rahat ve nispeten güvenli iki yönlü konuşmalara yardımcı olur.
Bilgi ve Dijital Güvenlik Uzmanları Kulübü (CESIN) gibi güvenlikle ilgili bilgilerin paylaşımını kolaylaştıran konsorsiyumlar veya dernekler.
Güvenilir kişilerle bireysel veya grup görüşmeleri başlatmanıza izin veren güvenli mesajlaşma sistemleri. Örnekler, daha hassas konuşmalar için Signal ve Keybase’i (artık Zoom tarafından edinilmiştir) içerir.
Tekrarlanmamaları için geçmiş hatalardan ve ifşalardan ders alın ve meslektaşlarınıza buna göre tavsiyelerde bulunun
Herhangi bir paylaşımdan ve olası sorunlardan önce dahili yönetimin katılımını sağlayın. Hassas bilgileri elinde bulunduran şirketin bir temsilcisi olarak, CISO’nun eylemlerinin hiyerarşisini bilgilendirmesi ve özgürce hareket etmesi için onay alması mantıklıdır. Nelerin paylaşılabileceğine ilişkin yasal veya düzenleyici yönergeler sağlayabilmeleri için hukuk ekibine de bilgi vermek iyi bir fikirdir.
Daha sonra bir hata yapılırsa, CISO’ların kara listeye alınmak yerine şirket yöneticilerinin desteğini kazanma olasılığı daha yüksektir. Bu nedenle, bu iç ilişkileri kurmak çok önemlidir.
CISO, bir şekilde ihtiyat ve aşırı güveni dengelemeli ve bilgi paylaşımı söz konusu olduğunda stratejik hareket etmelidir. Bu konuşma özgürlüğü, bir sonraki krizi ve felaketi önleyen akıllı önleyici eylem arasındaki farkı yaratabilir.
