ABD Menkul Kıymetler ve Borsa Komisyonu'nun yayınladığı Daha iyi siber güvenlik yönetimi için yönergeler yıllardır kamu kurumları bunları çoğunlukla görmezden geldi. Gereksinimleri karşılamak zor olsa da, bu çabayı gösteren şirketler, bunu yapmayanlara kıyasla hissedar değerinin neredeyse dört katını yarattı.

Bu, Bitsight ve Diligent Institute tarafından ortaklaşa yürütülen "Siber Güvenlik, Denetim ve Yönetim Kurulu.” Anket, dünya çapında 4,000'den fazla orta ve büyük ölçekli şirketi derinlemesine inceleyerek yöneticilerin uzmanlığının yanı sıra denetim ve uzman risk komitesi üyelerinin geçmişlerini de araştırdı. Botnet bulaşmalarının varlığı, kötü amaçlı yazılım barındıran sunucular, Web ve e-posta iletişimleri için güncel olmayan şifreleme sertifikaları ve halka açık sunuculardaki açık ağ bağlantı noktaları gibi 23 farklı risk faktörüne göre siber güvenlik uzmanlığını ölçtüler.

Omega315'in siber güvenlik danışmanı ve CEO'su Ladi Adefala da aynı fikirde: "Tam kurul yerine siber uzman üyeli uzman komiteler aracılığıyla siber gözetim uygulayan kurulların, genel güvenlik duruşlarını ve finansal performanslarını iyileştirme olasılıkları daha yüksek" diyor. raporun sonuçlarıyla birlikte. Bu konu üzerinde bir Fortune 500 şirketinde çalıştı ve şu sonuca vardı: “Yönetim kurulunun siber konuları araştırmaya zaman ayıracak odaklanmış bir komitesi yoktu. Ayrıca yeterli üyeye sahip değillerdi ve bu nedenle siber konusunda uzmanlaşmış komitelere sahip olmaya güçleri yetmiyor” diyor. Danışmanlık pratiğinin bir kısmı, siber yurttaşlık dersleri vermek olarak adlandırdığı bu tür komitelerin kurulmasına yardımcı olmaktır.

İnsan kaynakları bir yana, zayıf siber güvenlik yönetimi pek de yeni bir haber değil: Halka açık şirketler yıllardır siber güvenliğe önem vermiyor. Örneğin güvenlik uzmanı David Froud En az 2017'den beri bu konu hakkında yazıyor. Ancak yeni olan, siber bilgiyi değerlendirmenin ve kalıcı yönetişim oluşturmanın ne kadar zor olduğunu görmek.

Bitsight raporuna göre, özel risk ve denetim uyumluluğuna odaklanan ayrı yönetim kurulu komitelerine sahip olmak en iyi sonuçları veriyor. Yazarlar şunları yazdı: "Bu komiteler belirli siber güvenlik konularını derinlemesine incelemek için daha iyi bir konumdadır ve günlük siber güvenlik operasyonlarından sorumlu yöneticilerle daha güçlü ilişkiler geliştirebilirler. Bu da siber güvenlikle ilgili politikaların, bütçenin ve diğer kararların yönetim kurulu düzeyinde daha iyi alınmasına yol açabilir."

Anket, en alt sırada yer alan endüstriyel şirketlerle karşılaştırıldığında, en üst sıralarda yer alan sağlık ve finansal hizmetlerle ilgili şirketler arasında geniş bir siber deneyim yelpazesi bulunduğunu ortaya çıkardı.

Açık olan şu ki, şirketlerin büyük çoğunluğu bu tür uzmanları yönetim kurullarına ve komitelerine entegre etme konusunda kötü bir iş çıkardı. Rapor, ankete katılanların yüzde 5'inin (ve S&P 12 şirketlerinin yüzde 500'sinin) yönetim kurullarında bu uzmanların bulunduğunu ortaya çıkardı. Ancak yönetim kurulunda yalnızca bir CISO veya CTO'nun bulunması, siber güvenlik performansının garantisi değildir. Bitsight, "Bu uzmanların mevcut yapılara entegre edilmesi gerektiğini" ve koruyucu önlemlerin alınması gerektiğini belirtti.

Raporda belirtilmeyen başka bir yönetişim zayıf noktası da vardı: Kalıcı siber dayanıklılık oluşturmak. Bu, MIT Sloan Araştırma Konsorsiyumu'ndaki Siber Güvenlik tarafından yürütülen başka bir anketin konusuydu ve Harvard Business Review'da yayınlandı geçen sene. MIT ekibi 600 yönetim kurulu üyesiyle anket yaptı ve CISO'larla etkileşimlerinin eksik olduğunu buldu. Ankete katılanların yarısından azının CISO'larıyla herhangi bir düzenli teması var ve çoğunlukla yönetim kurulu toplantılarında yapılan sunumlarla sınırlı, başka pek bir şey yok.

Çoğu durumda bu sunumlar, kırmızı takım tatbikatları veya kimlik avı farkındalığı eğitimlerinin ne sıklıkta gerçekleştirildiği gibi koruyucu önlemlerin mekaniği ile sınırlıdır. MIT konsorsiyumunun genel müdürü ve HBR makalesinin ortak yazarı (Proofpoint'te Global Yerleşik CISO, Lucia Milică ile birlikte) Keri Pearlson, tıp dünyasıyla bir benzetme yapıyor: “Bir enfeksiyona maruz kaldığımızda ya bunu yapmayız. Hastalanmadığımızda ya da hastalanırsak vücudumuzda, bizi daha iyiye döndürmek için otomatik olarak çalışmaya başlayan şeyler var.”

İhtiyaç duyulan şeyin "yönetim kurullarının kuruluşlarının siber güvenliğin neden olduğu risklerini tartışması ve bu riskleri yönetmeye yönelik planları değerlendirmesi" olduğunu ekliyor.

Adefala'nın özetlediği gibi, "En ilgi çekici yol, siber güvenliği operasyonel bir gereklilik olarak değil, gelir yaratma veya operasyonel çeviklik için stratejik bir varlık olarak kullanmaktır."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value