Hiç kimse her konuda uzman olamaz, bu yüzden şirketler tek bir kişi tarafından yönetilmez. Ancak her kuruluşun liderliğinin her zaman bilgi sahibi olması gereken kritik bir alan vardır: Risk.
Bir kuruluş riskin tam olarak farkında olmadığında veya riskle baş etmeye hazır olmadığında neler olduğunu gördük. En yaygın olarak, riskle ilgili olaylar, gizli ve müşteri verilerinin kaybıyla sonuçlanan ve sonuçta bir markanın itibarına zarar verebilecek siber güvenlik ihlallerinde meydana gelir.
Son zamanlarda, bir değişiklik için siber güvenlik yerine finansta riskle ilgili bir senaryonun oynandığını gördük: Silikon Vadisi Bankası krizi. Silicon Valley Bank’ta neyin yanlış gittiğine dair pek çok tartışma olsa da, durumun çok daha kötü olabileceği açık. Bankacılık sektörü, siber güvenlik sektörünün öğrenebileceği bir şey olan finansal riski azaltmak için tasarlanmış koruma önlemlerine sahiptir.
Tutarlı, Şeffaf Ölçüm ve Raporlama
Büyük Durgunluktan sonra, bankaların mali durumlarını günlük, haftalık ve üç aylık bazda ölçmelerini ve kanıtlamalarını zorunlu kılan yeni hükümet düzenlemeleri başladı. Bu görünürlük seviyesi, SVB krizinin kamuoyu tarafından bilinmesine ve hızlı bir şekilde ele alınmasına yol açtı. Bir işletmenin yazılımı için güvenlik ve gizlilik riskleri söz konusu olduğunda, gerçek zamanlı risk görünürlüğü için herhangi bir gereklilik yoktur. Birçok şirket, yayınlanır yayınlanmaz geçerliliğini yitiren anlık raporlara güvenir.
Yazılım şirketlerinin güvenlik ve gizlilik duruşlarını sürekli olarak ölçmesi ve paylaşması için ne gerekecek? Sektörümüzün daha hesap verebilir hale gelmesini istiyorsak, neyi ne zaman raporlamamız gerektiğine dair beklentilerimizi geliştirmemiz gerekiyor. Daha fazla şeffaflık talep ederek ve kusurlu da olsa daha dürüst bir güvenlik duruşuna müsamaha göstererek, güvenlik sorunlarının nasıl önleneceği ve ele alınacağı konusunda daha doğru bir anlayışa sahip olabiliriz.
Bir Güvenlik ve Gizlilik Riskinin Ticari Etkisini Değerlendirme
Bankaların, yatırımlarının mali etkisini ölçmenin ve bunu likidite gereksinimleriyle dengelemenin bir yolu vardır. SVB bunu yapmaya ve ihtiyaç duyduğu sermayeyi artırmaya çalıştı, ancak bunu başaramadı ve kriz olduğu gibi devam etti. Bununla birlikte, yazılım şirketleri, güvenlik ve gizlilik taahhütlerini ihlal etmenin potansiyel iş etkisini ölçemedi veya ölçmek istemedi. Bu, birkaç sorun yaratır: Liderler, yönetişim, risk ve uyumluluk (GRC) ekiplerinin geliri korumada oynadığı önemli rolü fark edemez ve güvenlik ve gizlilik projelerine öncelik vermek zor olabilir. GRC programlarını gelir ve yükümlülüklere bağlamak, hak ettikleri itibarı kazanmak ve bunlara karşı nasıl kaynak sağlanacağını belirlemek için çok önemlidir.
Müşteriler Nasıl Korunur ve Bilgilendirilir?
SVB kapatıldığında, tüm müşterileri, parasal varlıklarına erişimleri olmadığı için operasyonlarını her zamanki gibi sürdürememe riskiyle karşı karşıyaydı. Benzer şekilde kuruluşlar, kritik günlük operasyonların bir parçası olarak SaaS çözümlerinden yararlanır. Bir ihlal veya siber güvenlik olayı meydana geldiğinde, bunun ulusal bir haber krizine dönüşmesini ve operasyonların kapanmasını önlemek için dikkate alınması gereken bazı en iyi uygulamalar vardır.
- İşlemlerinizi güvenceye alın ve ikinci bir ortam oluşturun: Müşterilerle iletişim kurmadan önce operasyonlarınızı güvence altına almak için adımlar atın. İdeal bir senaryoda, ürününüzü bir yedekleme ortamından geri yükleyeceksiniz. Unutmayın, tek bir veri ihlalinden daha kötü olan şey birden çok veri ihlalidir. Operasyonlarınızı güvence altına almak ve ikinci bir ortamdan çıkmak işletmenizi hızlı bir şekilde korur.
- Tutarlı ve kapsamlı iletişim: Bir ihlal meydana geldiğinde, müşteriniz dört şeyi bilmek ister. Olayın ne zaman olduğunu bilmek istiyorlar; verileri çalındıysa; verilerinin başka ne tür risklere maruz kaldığı; ve düzenleyiciler, müşteriler, şirket yöneticileri ve diğerleri ile ilgili olarak hangi yükümlülükleri veya eylemleri gerçekleştirmeleri gerektiğini. Etkilenen tüm tarafların güncellemeleri düzenli bir şekilde almasını sağlamak için müşterilerinizle iletişim stratejiniz, birden çok iletişim kanalında sık, zamanında ve kapsamlı güncellemeler sağlamalıdır.
Şeffaflık ve Güven
SVB krizi talihsizdi, ancak mali sistemimizin güvenceleri ve raporlama gereklilikleri olmasaydı çok daha kötü olabilirdi. Bu, kendi krizlerimizin (siber saldırılar ve ihlaller) ele alınma biçimini iyileştirmeye geldiğinde yazılım endüstrisinin öğrenebileceği bir şeydir. Güvenlik ve riskte daha tutarlı ve ayrıntılı raporlama gerektirmek, daha fazla hesap verebilirlik ve şeffaflık yaratır ve karşılığında güven oluşturur. Dürüst, açık iletişim ve güveni sürdürmek, kuruluşların operasyonların bir anda durabileceği endişesi olmadan sağlıklı iş yürütmelerine olanak sağlayan kritik unsurlardır.
