YORUM
30 Ekim 2023’te Menkul Kıymetler ve Borsa Komisyonu (SEC), sektörler arası güvenlik liderlerinin varsayımlarını sarstı. önemli bir dava açtı aykırı SolarRüzgarlar ve baş bilgi güvenliği sorumlusu (CISO). Birçoğu bu hareketi CISO rolünde çalışan insanlar için patlayan bir bombaya benzetiyor. Aynı zamanda ilk kez bir SEC davasında bir şirketten bir kişi bu şekilde çağrıldı.
Dava şimdi ortaya çıkarken, bir CISO olarak kişisel sorumluluğunuzun farkında mısınız? Bir şey açık: Bu dava bir mesaj veriyor. CISO’lar artık benzeri görülmemiş potansiyel sorumluluk riskleriyle karşı karşıyadır ve bu da güvenlik yöneticileri için yasal maruziyet konusunda proaktif bir yaklaşım ihtiyacını doğurmaktadır. Bu karmaşık konuya ışık tutmak amacıyla 60’tan fazla CISO’yu, eski SEC üyesini ve hukuk uzmanını bir panel tartışmasında bir araya getirdik. Bu yüksek riskli konuyu tartışmak üzere panelistlerin işe alınmasında arka plan ve güvenilirlik hayati önem taşıyordu. Amacımız basitti: CISO topluluğuna sorumluluk yönetimi konusunda yetkili rehberlik ve netlik sağlamak.
Panel SolarWinds davasını inceledi ve SEC’in odak noktasının ciddi dolandırıcılık yerine ihmal olduğunu belirtti. Dava agresif olarak tasvir edilse de içeriği o kadar sağlam olmayabilir. Uzmanlar, CISO’ların bu vakayı bir uyandırma çağrısı olarak ele aldığını, proaktif önlemlerin ve siber güvenliğe iyi niyetli bir yaklaşımın gerekliliğini vurguladığını öne sürüyor.
Bu tartışmadan elde edilen bilgiler, CISO’lara bu yeni siber güvenlik uygulamaları çağında yön bulmaları için bir yol haritası sunuyor. Panelden öğrendiğimiz en önemli tavsiyelerden bazılarını burada bulabilirsiniz.
Baş Hukuk Müşaviriyle Güçlü İttifaklar Kurun
Panel tartışmasından çıkan ilk ve belki de en kritik çıkarımlardan biri, CISO’ların genel hukuk müşaviri (GC) ile güçlü ilişkiler kurmasının önemidir. Uzmanlara göre GC, kriz zamanlarında çok önemli bir müttefik olabilir ve değerli hukuki rehberlik ve destek sağlayabilir. SolarWinds davasının ardından, CISO’lara, kendilerini GC’leriyle proaktif bir şekilde uyumlaştırmaları ve potansiyel yasal zorluklara karşı işbirlikçi ve iyi hazırlanmış bir yanıt sağlamaları tavsiye ediliyor.
FBI Bağlantıları Kurun
Panelin bir diğer önemli tavsiyesi de yerel FBI saha ofisi ile mümkün olan en kısa sürede ilişki kurulmasıdır. Tartışmaya katılan bir FBI temsilcisi, FBI ile önceden var olan ilişkilerin önemini vurguladı. FBI içinde bir bağlantıya sahip olmak, SolarWinds vakasına benzer durumların yönetilmesinde etkili olabilir. Panelin FBI temsilcisine göre her şey güven faktörüyle ilgili. Ayrıca FBI’ın bu tür durumlarda şirketleri mağdur olarak gördüğünü, bu nedenle CISO’ların bir kriz ortaya çıkmadan çok önce yerel FBI saha ofisleriyle ilişki kurmaya teşvik edildiğini belirttiler.
Standartlara Uyuma Özen Gösterin
Panelde ayrıca siber güvenlik uygulamalarının Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından belirlenenler gibi nesnel standartlarla uyumlu hale getirilmesinin önemi de vurgulandı. SEC, SolarWinds davasında da görüldüğü gibi, bu standartlara uyulduğuna dair kanıt talep edebilir. SEC temsilcilerimizden biri, “Kendinizi NIST gibi nesnel bir standarda göre ayarladığınızda SEC bunun kanıtını isteyecektir” dedi. Dolayısıyla, bir dizi standart kullandığınızı kamuya açıklayacaksanız, seçtiğiniz standartlara da bağlı kaldığınızdan emin olun. CISO’lar gerekirse kanıt sağlamak için kapsamlı belgelere sahip olmalıdır.
Hukuk Müşavirliğini ve Dahili Soruşturmaları Koordine Edin
Konu hukuk müşavirine gelince, bir CISO’nun kendi avukatına ihtiyacı olup olmadığı konusu panelde farklı görüşlere yol açtı. Peki bir CISO ne yapmalı? Panel, özellikle SEC veya Adalet Bakanlığı (DOJ) ile röportaj yapılırken kişisel bir avukata ihtiyaç duyulduğu konusunda hemfikir. Dahili soruşturmalar ve kurum içi danışmanlarla etkileşimler sırasında yasal temsile sahip olmak da akıllıca bir hareket olabilir.
D&O Sigortasını düşünün
Direktörler ve memurlar (D&O) sigortasını anlamak ve bunlara yatırım yapmak panel tarafından vurgulanan bir diğer önemli husustu. Potansiyel yasal işlem karşısında D&O kapsamına sahip olmak CISO’lara mali koruma sağlayabilir. Uzmanlar sigorta kapsamına aşina olmanızı, mevcut talepleri kontrol etmenizi ve hatta ek koruma için bağımsız sigorta kapsamını düşünmenizi tavsiye ediyor.
Üç Sütunu Benimseyin: Hizala, Netleştir, Yükselt
Siber güvenlik uygulamalarının artırıldığı bu yeni çağda, CISO’lara üç temel ilkeye bağlı kalmaları tavsiye ediliyor: hizalama, netleştirme ve üst kademeye yükseltme. Siber güvenlik uygulamalarını tanınmış standartlarla uyumlu hale getirin, hukuk ve FBI yetkilileriyle iletişimi netleştirin ve endişeleri emir komuta zincirinde yukarıya taşıyın. Bu temeller, siber güvenlik yöneticilerinin karşılaştığı, gelişen zorluklara karşı proaktif ve koruyucu bir yaklaşımın temelini oluşturur.
CISO’lar Şimdi Proaktif Önlemler Almalı
SolarWinds SEC davası, siber güvenlik yöneticilerinin karşılaştığı potansiyel riskleri aydınlattı. CISO’lara kendilerini yasal maruziyetten korumak için proaktif önlemler almaları çağrısında bulunulmaktadır. Baş hukuk müşaviri ile güçlü ittifaklar kurmak, FBI ile bağlantılar kurmak, siber güvenlik standartlarına bağlı kalmak, D&O sigortası almak ve uyum, açıklama ve yükseltmeden oluşan üç sütunu benimsemek, bu yeni siber güvenlik uygulama çağının zorluklarıyla baş etmede temel adımlardır. Ortam gelişmeye devam ettikçe, CISO’ların kuruluşlarının güvenliğini sağlamak ve kendi profesyonel konumlarını korumak için dikkatli ve hazırlıklı olmaları gerekiyor.