Yeni raporlama gereksinimleri ortaya çıkarken, bilgi güvenliği liderlerinin uzmanlığı onları şirketlerinin çevresel, sosyal ve yönetişim (ESG) duruşunu iyileştirmede kilit işbirlikçiler olarak konumlandırıyor.
ESG’nin arkasındaki temel ilke, iş ortaklarının etik olup olmadığını ve dünyada olumlu bir etki yaratıp yaratmadığını anlamak için şeffaflığın gerekli olduğudur, ancak ESG, şirketlerin iş ortaklarında görmek istediği nitelikler için her şeyi kapsayan bir terim haline geldi.
Güvenlik, ESG’nin temel yönlerini destekler. Şirketler, güvenlik ve mahremiyet amacını geliştiren veya en azından zarar vermeyen kuruluşlarla iş yapmak ister. Şirketlerin bir ihlal öncesinde, sırasında ve sonrasında ne kadar şeffaf oldukları, size kurumsal karakterleri hakkında çok şey söyler. Bir veri ihlali, gizlilik sorumluluğu veya güvenlik sorumluluğu olarak adlandırılabilir, ancak günün sonunda bu bir sosyal sorumluluktur.
Güvenlik Olayları
Kuruluşların ESG şeffaflığının zorluklarını aşmalarına yardımcı olabilecek iki yaygın bilgi güvenliği uygulaması vardır.
Birincisi, güvenlik olaylarıyla ilgili bilgi paylaşımıdır.
Bir ihlal meydana geldiğinde, etik şirketler, etkilenen kişilere bildirimde bulunulmasını gerektiren düzenlemelere uymaktan daha fazlasını yapar. Neler olduğu, nasıl iyileşebildikleri ve uygulamaya koydukları düzeltici önlemlerle ilgili ayrıntıları kamuoyuyla paylaşırlar. Yukarıda ve öteye giden şirketler, diğer kuruluşların aynı tehditlere veya tehdit aktörlerine kurban gitmesini önlemeye yardımcı olmak için ilgili TTP’leri (taktikler, teknikler ve prosedürler) veya IoC’ler (uzlaşma göstergeleri) yayınlar.
Bu alandaki örnek davranışa bir örnek, SolarWinds ve FireEye olayı. FireEye (artık Trellix olarak bilinir) ihlal edildiğinde, kuruluş bilgileri herkese açık olarak paylaştı. Bu, binlerce potansiyel kurbanın tehdit göstergelerini belirlemesini ve kendi ortamlarında yanıt vermesini sağladı.
Güvenlik Açığı Açıklamaları
ESG çabalarına fayda sağlayabilecek ikinci bilgi güvenliği uygulaması, güvenlik açığı açıklamalarıyla ilgilidir. Kuruluşların, iş ortaklarının Log4j gibi sıfırıncı gün güvenlik açıklarından etkilenip etkilenmediğini bilmesi gerekir. İş yaptığı kuruluşları, sistemlerinde böyle bir kusur olduğu konusunda proaktif olarak uyaran ve daha sonra bunu gidermeyi taahhüt eden bir ortak, yüksek bir ESG notu alır. Bir güvenlik açığıyla ilgili bilgi taleplerine yanıt vermeyen veya bu tür bilgilerin özel olduğunu söyleyen iş ortaklarından kaçınılmalıdır.
Güvenlik liderlerinin, yaptıkları değerli işin aynı zamanda kuruluşlarının ESG profillerini nasıl geliştirdiğini vurgulamaları ve ekiplerinin iş ortaklarının aynı doğrultuda ne kadar iyi performans gösterdiğini anlamalarına ve değerlendirmelerine yardımcı olmaları için muazzam bir fırsat var.
Temel gereksinimler ve hatta özel bir metrik geliştirmeyi düşünün. Kendinize ve iş ortaklarınıza sorun: Olayların veya ihlallerin belirlenmesi ile ifşa edilmesi arasındaki ortalama süre nedir? Belirli bir zaman diliminde kaç açıklama yaptınız?
Açıklama zamanı ve düzeltme zamanı gibi veri noktaları, görünürlük sağlamak için bir tür güvenlikle ilgili “ESG kredi puanı”na dönüştürülebilir. Bunu güvenlik gereksinimleriniz için yaptıktan sonra, diğer ESG etki alanları arasında kolayca çoğaltılabilir.
Tedarik zincirinizin ESG sağlığının değerlendirilmesini ve izlenmesini operasyonel hale getirmek için bağlantılı bir platform kullanılabilir. İş ilişkilerinizde neyin en önemli olduğunu anladıktan ve ölçtükten sonra, iyileştirme için yer olduğunu belirlemeye yardımcı olabilir ve şirketinizi daha etik ortaklıklara yönlendirmeye yardımcı olabilirsiniz.
Çevresel, sürdürülebilirlik, sosyal ve yönetişim konuları, günümüzde iş etiğini değerlendirmenin en görünür ve popüler yolları arasındadır ve insanların önemsediği şeylerin kapsamının başka alanlara da genişleyeceğini hayal etmek zor değil. Bu fırsatı, iş liderlerine bir şeffaflık kültürü yaratmanın önemi konusunda koçluk yapmak ve açıklama materyallerini belirleme, taslak hazırlama, gözden geçirme ve onaylama konusunda iyi yönetişimin nasıl göründüğünü modellemek için kullanın. ESG ivme kazanmaya devam ederken, sizin ve ekibinizin kuruluşlarına değer katabileceğiniz bunları ve ek yolları göz önünde bulundurun.