İleriye baktığımızda, siber güvenlikte iyimser olmak için birçok neden var. Savunucular yaklaşımlarında olgunlaşıyor, siber tehditleri iş riski dilinde ifade etmede daha iyi hale geliyoruz ve sektörler arası işbirliğini sürekli olarak geliştiriyoruz.
Ancak, HP tarafından barındırılan bir bilgisayarda sektördeki meslektaşlarımla tartıştığım bir şey olan, değişen tehdit ortamında gezinme konusunda hala bir zorlukla karşı karşıyayız. CISO paneli. Siber güvenlik endüstrisinin, siber stratejiyi iyi kurumsal yönetişim bağlamında daha net bir şekilde anlayarak ve siber güvenlik yetenek havuzumuzdaki artan çeşitlilik ve beceri boşluğunu ele alarak pozitifleri geliştirmesi gerektiğine inanıyorum.
Değişim Tek Sabit Olduğunda
BT, uzaktan çalışmayı, yeni müşteri deneyimlerini ve gelişen iş süreçlerini desteklemek için modernleşirken, saldırı yüzeylerinin katlanarak arttığını görüyoruz. Bir yandan, bu rekor sayıda katkıda bulundu. 2021’de uzlaşmalaryayınlanan güvenlik açıklarının sayısı tüm zamanların en yüksek seviyesine ulaştı.
Yine de manşetlerin arkasında başka bir hikaye var. Yıllardır aynı eski saldırgan ve kurban paradigmasından bahsediyoruz. Bu bire bir ilişkide, saldırgan bir kurbanı hedefler ve başarılı olur ya da olmaz. Bugün, ne diyeceğimi daha çok görüyoruz “bire çok” saldırılar. Tedarik zinciri saldırıları yeni bir şey değil, ancak gelişmişliklerinde ve hırslarında bir artış görüyoruz. Saldırganlar, sürekli bire bir gitmeleri gerekmediğini fark ettiler. Yüzlerce hatta binlerce potansiyel kurbanı birbirine bağlayan ve onu tehlikeye atan ortak bir merkez bulabilirler. Atılan aynı çabaya yakın olarak, ROI’de önemli bir artış var.
Kuruluşlar pandemi sonrası dünyada tedarikçi riskini, artan maliyetleri ve jeopolitik gerilimi yönetmeye çalışırken, güvendikleri karmaşık karşılıklı bağımlılıklar ağı büyüyor. Bu, en çok havayolu endüstrisinde belirgindir. United Airlines Başkan Yardımcısı ve CISO’su Deneen DeFiore’un siberde zihniyetin nasıl değiştiğini açıklamasını duymak büyüleyiciydi. dayanıklılık için veri koruması. Bu tedarikçi bağımlılıklarını anlamak, siber tehditlerin operasyonel etkisini en aza indirmek için riski etkin bir şekilde yönetmek için kritik öneme sahiptir.
İşbirliği Anahtar Olacak
Bu montaj karmaşıklığı, endüstri işbirliğini de daha önemli hale getiriyor. Saldırganların nasıl çalıştığını ancak doğru kamu ve özel sektör kuruluşlarıyla işbirliği yaparak anlayabiliriz. Bunun bir kısmı, kuruluşların ihlaller konusunda neyin yararlı olup neyin olmadığını düşünmesini içerir. Uzlaşma göstergelerinin (IoC’ler) yayınlandıkları anda güncelliğini yitirdiği konusunda hepimiz hemfikiriz. Peki, organizasyonlar arasında paylaşılabilecek alakalı olan nedir?
Bugünkü konuşma, bir organizasyonun ihlal edilip edilmediğine odaklanıyor. İhlaller kaçınılmaza yakınsa, başkalarına yardımcı olacak ihlal bulgularını ve ölüm sonrası sonuçları paylaşmaya daha fazla odaklanmalıyız.
Yol CISA koordineli bilgi paylaşımı Log4Shell destanının ilk günlerinde kullanışlı bir model sunuyor. Ajans, farklı endüstri kaynaklarından gelen bilgileri organize edip paylaşarak harika bir iş çıkardı. Ondan öğrenelim. Çünkü HP’nin kişisel sistemler için küresel güvenlik başkanı Ian Pratt’in açıkladığı gibi, siber suç örgütleri şimdi işletmeler gibi yönetiliyor. Hedeflerini ilerletmek için istihbarat, bilgi ve araçları paylaşmakta ustalaştılar.
Bir İnsan Sorunu
Bu, başka bir kritik noktaya değiniyor. bu sektör 2 milyondan fazla siber güvenlik uzmanına sahip değil küresel. Bu kriz anında, yetenek havuzumuzu büyüterek ve sektörümüze katılmanın önündeki engelleri kaldırarak çok daha büyük ve daha iyi bir şeyin başlangıcını beslemeliyiz.
Sektörün dışına bakarak siber güvenlik çadırını büyütme fırsatı var. Her rol için mutlaka üniversite diplomasına ihtiyacımız olmadığından, geleneksel olmayan eğitimli daha fazla insan getirebiliriz. Risk yönetimi veya iletişim gibi alanlarda zengin becerilere sahip, kariyerlerinin ortasından sonuna kadar olan çalışanları hedefleyebiliriz.
Çeşitlilik de önemlidir, ancak yapılması gereken çok iş vardır. Buna göre HP tarafından yaptırılan bir çalışmadaki bulgular, ABD’deki kadınların %30’u geçen yıl terfi için başvurdu. Ancak başvuranların sadece %40’ı, erkeklerin %52’si başarılı olmuştur. Siber güvenlik, bir bütün olarak teknoloji endüstrisi gibi, özellikle kadınları üst düzey rollere sokma konusunda bir çeşitlilik sorununa sahiptir. Kadınları ve kariyerlerini en iyi şekilde nasıl destekleyebileceğimizi anlamalıyız, çünkü bu, çeşitli bir işgücünü teşvik etmek ve yeni yetenekleri çekmek için anahtardır.
İşverenler, bu büyük kullanılmayan yetenek havuzunu kullanmakta daha iyisini yapmalıdır. Siemens ABD Siber Güvenlik Baş Sorumlusu Kurt John’un açıkladığı gibi, çeşitlilik 1 numaralı yoldur hepimizin karşılaştığı tehditlere yanıt olarak yaratıcılığı teşvik etmek.
İyi haber şu ki, yönetim kurulu odaları çeşitlilik ve siber güvenliğin önemini takdir etmeye başlıyor – tıpkı CISO’ların siber hakkında iş riski dilinde konuşmaya başlaması gibi. Bu iyimserlik için kesin nedenler sunuyor.
Siber güvenlik liderleri olarak, şirket için doğru kararları verme olasılığımızın çok daha fazla olduğunu giderek daha fazla anladım. etkili kurumsal yönetişim bağlamında siber görüntüleme. İşletmeye özel bir strateji oluşturmanın yolunun bu olduğuna inanıyorum. “G” yi yapalım çevresel, sosyal ve yönetişim (ESG) gerçekten siber güvenlik için bir anlam ifade ediyor ve kendimizi ön ayağa kaldırıyoruz.