Avukatlar ve üst düzey yöneticiler aynı temel misyona sahiptir: işletmeyi zarar vermek isteyen kötü aktörlerden korumak. Ancak genellikle işe o kadar zıt yönlerde yaklaşırlar ki sonunda birlikte çalışmak yerine birbirleriyle kavga ederler.
Edinburgh Üniversitesi, Innsbruck Üniversitesi, Tufts Üniversitesi ve Minnesota Üniversitesi’ndeki araştırmacıların konuyla ilgili yeni bir akademik raporu, bu farklılıkların ne kadar keskin hale geldiğini belgelemeye çalıştı.
“Siber sigorta işi az sayıda kişiye gönderiyor [incident response] firmalar, ödenen ücretleri düşürür ve teknik müfettişleri yönlendirmek için avukatlar atar” rapor kaydetti. “Avukatlar, olay müdahalesini yönetirken genellikle olay müdahalesini yavaşlatan yasal sözleşme ve iletişim adımlarını devreye sokar, Uluslararası İlişkiler uygulayıcılarına iyileştirme adımlarını yazmamalarını veya resmi raporlar hazırlamamalarını ve üretilen herhangi bir belgeye erişimi kısıtlamamalarını tavsiye eder.”
Rapora göre, bir avukat adli tıp ekibine “Nihai bir rapor istemiyoruz. Bunu sadece taslak halinde tutun.” samimi bir değerlendirme yap, çünkü bu davacılar için bir yol haritasına dönüşecektir.”
Sorun, belirtilen güvenlik danışmanına göre Bruce Schneier? Schneier, “Bu ihlallerden ders alamıyoruz çünkü avukatlar hangi bilgilerin kamuya açık hale geleceğini sınırlıyor,” dedi. Bu, uçak felaketleri için yaptığımız türden bir şey.”
Bunların hepsi pek çok düzeyde rahatsız edici. Raporda tartışılan gerçeklere ve ayrıntılara katılmadığımdan değil, ancak sonuçları hakkında bazı ciddi endişelerim var.
Ne endişeleri? Birincisi, atıfta bulunulan avukatların yasaya aşırı derecede dar ve modası geçmiş bir bakış açısı getirdiklerini düşünüyorum. Kısacası, işletmelerini yasal yükümlülüklerden koruma çabaları, aslında bu şirketleri maruz bırakmaktadır. Daha yükümlülükler. Ve ikincisi, ilgili C düzeyindeki yöneticileri (özellikle CEO’yu) yasal konularda avukatı geçersiz kılmak zorunda kalma gibi garip ama gerekli bir konuma getiriyor. Ancak günümüz ortamında bunun bazen olması gerekiyor. İşletmeyi koruma işi nihai olarak CEO’ya ve yönetim kuruluna aittir.
1 numaralı konuyu inceleyelim. Avukatın endişesi, bir olayı belgelemenin, birisinin bu bilgileri bir davada işletmeye karşı kullanmasını kolaylaştıracağıdır. Tavsiyeleri şu: bunu bir yere not etmeyin ve araştırmanızı asla sonlandırmayın – açık tutun.
Bu, muhalefetin bütün bir resmi bir araya getirmesini zorlaştıran eski usul bir yaklaşım. Sorun? Bu çabalar kendileri keşfedilebilir ve muhalefet hepsini öğrenecek. Bilgi saklamaya çalışmak olarak doğru bir şekilde yorumlanabilecek bir eylemde bulunmak, karşı taraf için dünyadaki en büyük hediye olacaktır. Ortaya çıktığında, ki kesinlikle çıkacaktır, yargıcı yabancılaştıracak, jüriyi kızdıracak ve potansiyel olarak şirketi olumsuz mahkeme kararlarına maruz bırakacaktır.
Katı bir yasal savunma perspektifinden bile, ilgili bilgileri yazılı hale getirmemek pervasızlıktır. Ve bu, buna yalnızca hukuk davası perspektifinden bakıyor. Uyum kuralları ve bunları uygulamak için ödenen düzenleyiciler ne olacak? Dürüst olmak gerekirse, bu devlet kurumlarının bu verileri gizleme veya önemsiz gösterme çabalarına nasıl tepki vereceğini düşünüyorsunuz?
Argümanı bir üst düzeye taşımamıza ve “Bir girişimin risk profilini mümkün olduğunca iyileştirmek, davacının avukatlarını bazı ayrıntılardan (ki zaten sonunda görecekler) mahrum bırakmaktan daha fazla şirketi korumuyor mu?” )?” Yalnızca yasal riskler söz konusu olduğunda, bu strateji bir kaybedendir.
Daha büyük sorular sormaya başlarsak, o zaman evet, bir şirketin verilerini, sistemlerini ve diğer varlıklarını korumak, herhangi bir davadan kaynaklanan endişelerden daha ağır basar. Belgenin olmaması önemsiz bir mesele değildir. En iyi güvenlik stratejisini planlamayı zorlaştırır. Ayrıca, son ihlalde ortalıkta olmayan yeni çalışanların ve yüklenicilerin bir sonraki saldırıya karşı yeterince hazırlıklı olmama ihtimalini de artırıyor.
Bu bizi daha hassas konuyu keşfetmeye zorluyor: karar verme. CISO ve CIO neredeyse kesinlikle öfkelenecek ve uygun prosedürlerin sıkı bir şekilde takip edilmesini talep edeceklerdir. Şirket danışmanı, böyle olmaması gerektiğini iddia ederse, CEO şirketi savunmalıdır. CEO’nun baş hukuk danışmanına itaat etme konusunda güvene dayalı bir yükümlülüğü olduğu zamanlar vardır.
Olay Yanıtı bunlardan biri değil.
Bu, günümüzde kurulların aktif ve kapsamlı siber güvenlik deneyimine sahip üyelere ihtiyaç duymasının birçok nedeninden biridir. Ancak bu arka plana sahip bir kurul, böyle bir konuda hukukçuları geçersiz kılma güvenine sahip olabilir.
Telif hakkı © 2023 IDG Communications, Inc.
