Çeşitli kuruluşlar genelinde önyargı, performans ve etik uyumlulukla ilgili yapay zeka modellerini denetlemek için kapsamlı yöntemleri araştırmak amacıyla yönetici liderlerle işbirliği yapmak üzere 5 Haziran’da New York’a dönerken bize katılın. Nasıl yapabileceğinizi öğrenin buraya katıl.
2024 şimdiden en iyilerden biri olmaya hazırlanıyor CISO’lar için henüz stresli yıllar. Hız ve karmaşıklık arttıkça artan sayıda tehdide karşı kuruluşlarını korumaya çalışıyorlar. gelişen teknolojiler üretken yapay zeka gibi. Siber bütçelerin daralması ve CISO’ların artık bir ihlalden kişisel olarak sorumlu tutulabilmesi, buna karşı emsal teşkil eden kararda da görüldüğü gibi, yardımcı olmuyor. eski Uber CISO’su.
Buna ek olarak, CISO’ların %61’i bir siber saldırıya hazırlıksız hissediyor ve %68’i kuruluşlarının bir saldırı riski altında olduğunu düşünüyor. Kanıt noktası. Modern CISO’nun çoğu zaman günah keçisi gibi hissetmesi şaşırtıcı değil, çünkü ihtimaller aleyhine.
Dünyanın önde gelen Fortune 100 şirketlerindeki yüzlerce CISO ile çalışırken, onların değer yaratıcısı ve güvenilir ortak rolüne geçmelerine yardımcı olurken onların en büyük zorluklarını anlıyorum. Sihirli bir çözüm olmasa da CISO’ların siber güvenlik programlarının değerini yükseltmek ve hareketli bir hedefe karşı kendilerini başarıya hazırlamak için atabilecekleri adımlar var.
Geminizi gemiye getirin
Kurullar genellikle operasyon, finans, satış ve diğer sektörlerde deneyime sahip deneyimli yöneticilerden oluşur, ancak bunlar hakkında ayrıntılı, teknik bir anlayışa sahip olmayabilirler. siber güvenlik. Ancak CISO’lar, siber güvenlik programlarının etkinliğini savunurken kurullarının giderek artan incelemeleriyle karşı karşıya kalıyor.
Programlarının değerini göstermek ve etkinliğini göstermek için CISO’ların açık bir iletişim kurması ve yönetim kurulu ile ekipleri arasındaki kopukluğun üstesinden gelmesi gerekir. Yönetim kurulunun, kuruluşlarının karşı karşıya olduğu siber risk düzeyini ve kuruluşlarının siber dayanıklılığını artırmak için neye ihtiyaç duyduklarını anlamasını sağlamak CISO’nun sorumluluğundadır. Siber risk seviyelerini parasal açıdan ve eyleme geçirilebilir sonraki adımlarla sunmak, yönetim kurulunu aynı noktada buluşturmak ve dürüst bir iletişim hattı açarken siber güvenlik ekibini değer yaratıcısı rolüne yükseltmek için gereklidir.
Siber riski artırmadan dürüst bir SEC 10K dosyası hazırlayın (aslında hayır!)
Menkul Kıymetler ve Borsa Komisyonu (SEC) ve diğer düzenleyici kurumların getirdiği yeni açıklama gereklilikleri, CISO’ların maddi riskleri konusunda sağlam bir anlayışa sahip olmalarını ve siber güvenlik programlarını nasıl yönetip olgunlaştırdıklarını açıklamalarını gerektiriyor. Henüz, son analiz 2024’ün başlarında sunulan SEC 10K’ların %31’inin siber güvenlikle ilgili herhangi bir açıklamasının olmadığını ve %23’ünün siber risklerinin nasıl yönetildiğini ölçmediğini veya açıklamadığını gösteriyor.
CISO’lar, kuruluşlarını siber saldırılara maruz bırakmanın gereksiz ve önlenebilir riski nedeniyle siber güvenlik duruşlarıyla ilgili çok fazla ayrıntıyı kamuya açık alanda paylaşma konusunda son derece ihtiyatlı davranıyorlar. 10,5 trilyon dolar 2025 yılına kadar hasarlar.
Kuruluşunuzun siber savunmasını korurken dürüst bir 10 bin ödemek hassas bir denge gerektirir. Zaten gördük Clorox kurbanı oldu denge bozulduğunda.
Dürüst ama dengeli bir SEC 10K’ya iyi bir örnek: Lockheed Martin’in 2024 SEC 10K başvurusubetimleyici bir yaklaşım benimsemiştir. Şirket, güvenlik stratejisinden CISO’yu sorumlu olarak atadı. Kuruluşun siber güvenlik programının olgunluğunu gösteren belirli siber güvenlik politikalarının, çerçevelerinin ve uyması gereken gereksinimlerin ana hatlarını çizdi. Siber risk modellerini proaktif bir şekilde tanımladılar ve tedarikçi ve üçüncü taraf risk yönetimine ilişkin metodolojiyi netleştirdiler. Lockheed Martin ayrıca kontrollerin tasarımını ve etkinliğini test etmek için üçüncü taraf değerlendirmeleri, sızma testleri, denetimler ve tehdit istihbaratı gibi tekniklerin kullanıldığına da değindi. Bunların tümü, sağlam bir risk yönetimi programına sahip olmanın ve dengeli ve dürüst bir SEC 10K başvurusunda bulunmanın hayati bileşenleridir.
Siber riski azaltmak için yapay zekayı benimseyin
Gelen verilere göre Gartner’ınmevcut talebin yalnızca %70’ini karşılamaya yetecek kadar nitelikli siber güvenlik uzmanı mevcut. Tehdit ortamı hızla gelişmeye devam ettikçe doğru yeteneğe olan ihtiyaç şüphesiz artacaktır.
Siber güvenlik riskini etkili bir şekilde yönetmek, kritik güvenlik açıklarını belirlemeyi ve güvenlik kontrollerinizin etkinliğini değerlendirmeyi gerektirir. Bununla birlikte, farklı kaynaklardan gelen petabaytlarca veri ve durağan ekip büyüklüğü, bu risklere ilişkin tam görünürlük elde etmeyi CISO’lar için zorlu hale getiriyor.
Çoğu zaman, güvenlik ekiplerinin önündeki temel engel, ham verileri eyleme geçirilebilir içgörülere dönüştürmektir; bu, tüm kuruluş için sindirilebilir bir şekilde etkili risk azaltımını kolaylaştırmak için gereklidir. Milyonlarca varlığı ve güvenlik açığı örneğini analiz etmek için üretken yapay zeka, derin öğrenme ve diğer özel makine öğrenimi teknikleri gibi gelişmiş teknolojilerden yararlanan güvenlik ekipleri, gerçek zamanlı, eyleme geçirilebilir içgörülere erişebilir ve siber riski hızla azaltabilir.
Dahası, bu, güvenlik liderlerinin güvenlik programlarının etkinliğini anlamalarına ve siber güvenlik girişimlerinin yatırım getirisini göstermelerine olanak sağlayabilir. Sonuçta bu, yönetim kuruluyla daha kolay ve daha verimli bir görüşmeyi de kolaylaştırır.
Siber güvenlik ortamının gelişmeye devam ettiği hız göz önüne alındığında, CISO’nun işi daha da zorlaşıyor. Yalnızca kuruluşlarını tehditlere karşı başarılı bir şekilde savunmakla değil, aynı zamanda etkinliklerinin kanıtını kurula sunmak ve bunu SEC’e raporlamakla da sorumludurlar. En son teknolojiye ayak uydurmak ve siber güvenlik dışı paydaşlarla açık ve dürüst iletişim sağlamak, bir kuruluşta değer yaratıcısı rolünü tam olarak benimsemek için zorunludur.
Gaurav Banga CEO’su ve kurucusudur. BalbixYapay zeka destekli bir siber güvenlik risk yönetimi platformu.
Veri Karar Vericileri
VentureBeat topluluğuna hoş geldiniz!
DataDecisionMakers, veri çalışması yapan teknik kişiler de dahil olmak üzere uzmanların veriyle ilgili içgörüleri ve yenilikleri paylaşabileceği yerdir.
En son fikirleri ve güncel bilgileri, en iyi uygulamaları ve veri ile veri teknolojisinin geleceğini okumak istiyorsanız DataDecisionMakers’ta bize katılın.
Hatta düşünebilirsiniz bir makaleye katkıda bulunmak kendinin!
Kaynak: https://venturebeat.com/security/the-modern-ciso-scapegoat-or-value-creator/