YORUM
Hiçbir kuruluş günümüzün yaklaşan siber güvenlik tehditlerine karşı bağışık değildir. İster büyük bir kuruluş ister küçük bir işletme olsun, proaktif savunmalar oluşturmak günlük işlevler için kritik öneme sahiptir. Siber riskleri yönetmek, diğer iş risklerini yönetmek kadar önemlidir, çünkü başarılı saldırganlar işletmeleri finansal olarak çökertmek, itibara zarar vermek ve sürekliliği etkilemek için güce sahiptir.
Günümüzün artan tehditleri arasında – fidye yazılımlarından ve veri ihlallerinden jeopolitik ve ulus-devlet tehditlerinin etkisine kadar – gerçek siber hazırlık, iş dayanıklılığını güçlendirmek için doğru dahili iş birliği ve araçları gerektirir. Siber riski yönetme sorumluluğu kolektif bir çabadır ve herkes bir rol oynar – özellikle de C-suite.
A yeni rapor ExtraHop’tan 10 ABD kuruluşundan dördünün siber risk maruziyetlerini değerlendirmelerine yardımcı olması için yönetici yönetim ekibine baktığını, ancak yalnızca beşte birinin C-suite’ten yüksek düzeyde katılım ve bağlılık hissettiğini buldu. Bu şu soruyu gündeme getiriyor: Siber güvenliğin yönetim kurulu düzeyinde bir tartışma olduğu yönündeki sektör çapındaki iddialar, paydaşlara yönelik sözde bir hizmetten biraz daha fazlası mı?
Önceki Saldırılardan Öğrenilen Dersler
Bu bilgi, özellikle düzenleyicilerin C-suite’i veri ihlallerinden sorumlu tutmasıyla endişe verici bir eğilimi göstermektedir. Bunu eylem halinde gördük SEC, SolarWinds’in baş bilgi güvenliği sorumlusunu (CISO) suçladı iki yıllık bir siber saldırının ardından dolandırıcılık ve iç kontrol başarısızlıklarıyla. Ve son duruşmalar Sağlık fidye yazılımı saldırısını değiştirin Ayrıca CEO rolüne binen yükü de ortaya koyarak, bu liderlerin senato tarafından yaygın siber olaylar konusunda derinlemesine sorgulanmasının emsalini oluşturdu.
Kötü şöhretli, büyük ölçekli saldırılardan ve bunların sonucunda ortaya çıkan sonuçlardan öğrendiklerimizi kullanarak, bunu haklı çıkarabiliriz. gerçek büyük şirketleri, C-suite’i ve yönetim kurulunu ve güvenlik ekiplerini etkileyen sorun: aşırı güven. Rapor, BT karar vericilerinin büyük çoğunluğunun (%88) kuruluşlarının siber riski yönetme becerisi konusunda kendine güvendiğini buldu. Ancak bulgular, durumun böyle olmadığını gösteriyor; birçoğu bunu yapmaya yeterince hazır değil ve C-suite’ten yönlendirme ve ilgi eksikliği var ve bu da soruna katkıda bulunuyor.
Örneğin fidye yazılımlarını ele alalım: Güvenlerine rağmen, katılımcıların yarısından fazlası (%58) yalnızca geçen yıl altıdan fazla fidye yazılımı olayı yaşadı, %40’ı ise 10 veya daha fazla olay yaşadı. Başarısızlık noktalarını vurgulamak için, %51’i kuruluşlarının siber olaylarının yarısından fazlasının zayıf siber hijyenle ilgili olduğunu iddia ediyor. Ankete katılan kuruluşların yarısı, tehdit aktörlerinin istismar ettiği bilinen en az bir güvenli olmayan ağ protokolü çalıştırdığını kabul etti. Hazırlıksızlık ve siber riski ortaya çıkarma yeteneğinin eksikliği, küresel olarak gördüğümüz fidye yazılımı artışında önemli bir rol oynayabilir.
Siber Hazırlık Daha İyi Dahili Uyum Gerektirir
Aynı raporda, katılımcıların %15’i risk yönetimindeki en önemli engelin işletme ile siber güvenlik arasındaki uyumsuzluk olduğunu belirtirken, katılımcıların yaklaşık dörtte biri tehditleri etkili bir şekilde azaltmak için bütçelerinde %26 ila %50 arasında bir artışa ihtiyaç duyacaklarını belirtti.
İş planları ile siber güvenlik ihtiyaçları arasındaki kopukluk, kuruluşların siber güvenliği daha ciddiye alması gerektiğini gösteriyor. Düzenleyici gereklilikleri karşılama konusunda liderlik katılımı kritik öneme sahip ve liderlik kadrosunda siber risk yönetimine öncelik vermek, güvenlik ve BT ekiplerinin daha iyi kararlar almasına ve bir olay sırasında yön sağlamasına yardımcı oluyor. Siber güvenliği, C-suite’in güvenlik çözümlerine zaman ve yatırımlara öncelik verdiği temel bir şirket değeri haline getirmek hayati önem taşıyor.
Siber risk yönetimini planlama toplantıları ve yönetim kurulu toplantıları sırasında temel bir konu haline getirmek, kuruluş genelinde uyumu teyit eder. Ayrıca siber güvenliğin tüm stratejik girişimlere uymasını sağlar. Temel düzeyde, bu tüm çalışanlar, güvenlik çözümleri ve iş akışları genelinde daha iyi siber hijyen oluşturmak anlamına gelir. C-suite örnek olarak liderlik etmeli ve tüm çalışanların (sadece güvenlik ve BT ekipleri değil) kendi kişisel güvenliklerinin kuruluş üzerindeki etkisini anlamaları için gerekli kaynakları ve eğitimi sağlamalıdır.
Araçlara yatırım yapmaya gelince, C-suit’ler siber riski değerlendirmek ve tüm paydaşların dahil olduğundan emin olmak için çeşitli yöntemlere bütçe ayırmalı. Bunlara penetrasyon testi, kırmızı takım egzersizleri ve tehdit modelleme değerlendirmeleri gibi araçlar dahildir. Ayrıca, tam ağ görünürlüğüne sahip olmak, saldırıları erken aşamalarda tespit etmeye ve durdurmaya yardımcı olabilir; tehdit aktörleri hedeflerine ulaşıp bir kuruluşa zarar vermeden çok önce.
Siber Güvenliğin Yönetici Stratejilerine Başarılı Entegrasyonu
Peki, siber güvenlik C-suite ve yönetim kurulunun günlük önceliklerinin temel bir bileşeni haline geldiğinde ne olur? Birçok kuruluş, siber güvenliğin yönetici stratejilerine örnek bir şekilde entegre edildiğini göstererek, diğerlerinin takip etmesi için kıstaslar belirlemiştir. Dikkat çekici bir örnek, siber güvenlik savunmalarını önemli ölçüde güçlendiren JPMorgan Chase’dir. Finans sektöründe yüksek profilli ihlallerŞirketin CEO’su Jamie Dimon, siber güvenliğe temel bir iş kaygısı olarak öncelik vererek proaktif bir duruş sergiledi. JPMorgan Chase, siber güvenliğe yılda 600 milyon dolardan fazla yatırım yaptı, 3.000’den fazla BT güvenlik uzmanı istihdam etti ve özel bir siber güvenlik operasyon merkezi kurdu. Üst düzey liderlik tarafından yönlendirilen bu kapsamlı yaklaşım, gelişen tehditlere karşı sağlam bir koruma sağladı ve siber güvenliğe yönetici katılımının kritik önemini vurguladı.
Bir diğer örnek ise, şirketin kuruluşunun ardından önemli bir dönüşüm geçiren Equifax’tır. 2017 veri ihlaliŞirket, siber güvenliği en önemli iş zorunluluğu olarak önceliklendiren yeni bir CEO, Mark Begor atadı. Onun liderliğinde Equifax, gelişmiş güvenlik teknolojilerinin benimsenmesi ve yeni bir baş bilgi güvenliği görevlisi (CISO) rolü oluşturulması da dahil olmak üzere siber güvenlik altyapısını elden geçirmek için 1,5 milyar dolar yatırım yaptı. Bu stratejik yatırım ve yönetici taahhüdü yalnızca Equifax’ın güvenlik duruşunu iyileştirmekle kalmadı, aynı zamanda paydaşlarla güveni yeniden sağladı ve şirketi siber güvenlik dayanıklılığında lider konuma getirdi.
Hiçbir kuruluş bir sonraki Change Healthcare veya SolarWinds olmak istemez. Bir sektör olarak, C-suite ve organizasyon liderleri şirket çapında önlem tedbirleri ve savunmalar oluşturma konusunda gücü elinde tutar. Güvenlik ekipleriyle iş birliği yapmak, siber güvenliği iş stratejisinin temel ilkesi haline getirmek ve savunmalara yatırım yapmak, nihayetinde kuruluşların tehditleri engelleme ve iş sürekliliğini sağlama konusunda daha iyi bir konuma gelmesini sağlar.