CISO ‘nun siber saldırı sırasındaki rolü nedir?

CISO, bir siber saldırı sırasında olay yönetiminde önemli bir rol oynar, kontrol altına alma ve elimine etme önlemlerinin uygulanmasından sorumludur. Bununla birlikte, tehditleri önceden tespit etmek ve önlemek de onların görevidir. Bir siber olay sırasında ve sonrasında CISO’nun sorumlulukları hakkında daha fazla bilgi edinin.

Ponemon Enstitüsü tarafından hazırlanan bir rapora göre, bir siber saldırıyı önlemenin maliyeti, tehdidin türüne bağlı olarak 396.000 $ ile 1 milyon $ arasında değişebilmektedir. Ayrıca aynı rapor, bu kaynakların %80’inden fazlasının olayları düzeltmeye, %20’sinden azının ise önlemeye ayrıldığını belirtmektedir.

Bu bağlamda, siber güvenlik kuruluşlar için temel kaygılardan biri haline gelmekte ve CISO şirketin bilgi ve itibarının korunmasında temel bir rol oynamaktadır.

Bu makalede, CISO’nun işlevlerini ve bu profesyonelin kurumları siber güvenlik tehditlerine karşı savunmak için alabileceği önlemleri ayrıntılı olarak inceleyeceğiz. 

CISO ‘nun işlevi ve sorumlulukları nelerdir?

Baş Bilgi Güvenliği Yöneticisi (CISO), kuruluşlarda bilgi güvenliğinden sorumlu profesyoneldir ve siber saldırı tehdidinin arttığı günümüzde işlevleri ve sorumlulukları oldukça önemlidir.

Görevleri arasında güvenlik açığı yönetimi, felaket kurtarma, iş sürekliliği, veri sızıntısı, olaylara müdahale, kriz yönetimi ve siber güvenlik operasyonları bulunmaktadır. Ayrıca, bilgi güvenliği politikalarına uyulmasını sağlamalı ve ekibi potansiyel ve gerçek tehditler karşısında yönetmelidir.

Bir olay sırasında CISO ‘nun rolü nedir?

CISO, siber güvenlik ekibinin ve kurum içindeki diğer ilgili departmanları koordine ederek savunma eylemlerine öncülük etmelidir.

Siber saldırıyı kontrol altına almak ve ortadan kaldırmak için önlemler almalı, olayın kapsamını tanımlamalı, etkisini ve ciddiyetini değerlendirmeli ve hasarı en aza indirmek ve felaket kurtarma sürecine devam etmek için gerekli kararları almalıdır.

CISO ‘nun temel işlevlerinden bazıları:

• Olay tanımlama: İlk adım, sistem günlüklerinin, güvenlik uyarılarının veya kullanıcı raporlarının analiz edilmesini içerebilecek olayın niteliğini belirlemektir. Olay tanımlandıktan sonra, kuruluş üzerindeki etkisine göre sınıflandırılmalı ve önceliklendirilmelidir.
• Müdahale koordinasyonu: CISO olay müdahalesini koordine etmekten ve ilgili tüm tarafların bilgilendirilmesini ve sürece dahil edilmesini sağlamaktan sorumludur. Buna bilgi güvenliği ekibi, BT, hukuk ve kurumun diğer kilit üyeleri dahildir.
• Risk değerlendirmesi: Uzman ayrıca olayla ilişkili riskleri değerlendirmeli ve en uygun eylem planını belirlemelidir. Bu, etkilenen sistemlerin engellenmesi veya düzenleyici makamların bilgilendirilmesi gibi risk azaltma önlemlerinin uygulanmasını içerebilir.
• Olay hafifletme: CISO olayın etkilerini en aza indirmek için önlemler almalıdır; bu önlemler arasında güvenlik yamalarının uygulanması, şifrelerin sıfırlanması, yedeklerin geri yüklenmesi ve diğer eylemler yer alabilir.
• Paydaşlarla iletişim: CISO, paydaşları olay ve savunma eylemlerinin ilerleyişi hakkında bilgilendirmekten sorumludur. Buna yönetici ekip, müşteriler ve hissedar grupları dahil olabilir.
• Soruşturma ve raporlama: CISO olayın kapsamlı bir şekilde araştırılmasına öncülük etmeli ve olayın nedenlerini, etkisini ve alınan önlemleri açıklayan ayrıntılı bir rapor hazırlamalıdır. Bu rapor kurumun siber güvenlik süreçlerini iyileştirmek ve gelecekteki olayları önlemek için kullanılabilir.

Olayı yönetirken sakinliğini ve etkinliğini koruması, zararları en aza indirmesi ve kuruluş için iş sürekliliğini sağlaması da önemlidir.

Bir CISO veri ihlalinden sonra ne yapmalıdır?

Bir veri ihlalinden sonra CISO, ihlalin nasıl gerçekleştiğini ve hangi bilgilerin tehlikeye atıldığını anlamak için bir araştırma süreci başlatmalıdır.

Ekipleriyle birlikte, istismar edilen güvenlik açıklarını gidermek için önlemler almalı, ilgili makamları ve olaydan etkilenen kişileri bilgilendirmeli ve krizi yönetirken gelecekteki olayları önlemek için gerekli adımları atmalıdır.

CISO ‘nun veri ihlalleri durumunda atması gereken adımlar:

• Veri ihlalinin niteliğinin belirlenmesi: Hangi bilgilerin etkilendiğini, hangi sistemlerin tehlikeye girdiğini ve veri sızıntısının nasıl gerçekleştiğini anlamak için ihlalin niteliğini derhal belirlemek çok önemlidir. Bu bilgiler, uygun önlemlerin alınması için çok önemli olacaktır.
• Olayın izole edilmesi: İhlalin nedenini belirledikten sonra CISO, saldırının yayılmasını ve daha fazla hasara neden olmasını önlemek için olayı izole etmelidir. Olayın izole edilmesi, tehlikeye giren sistemlerin devre dışı bırakılmasını, ağ bağlantılarının engellenmesini veya belirli kaynaklara erişimin kısıtlanmasını içerebilir.
• İlgili makamların bilgilendirilmesi: Bazı durumlarda, veri ihlalleri yasaların ihlali anlamına gelir. Bu nedenle profesyonel, ülkenin yürürlükteki yasalarının gerektirdiği şekilde polis veya gizlilik düzenleyicileri gibi yetkilileri bilgilendirmelidir.
• Etkinin değerlendirilmesi: CISO, ihlalin kuruluş, müşterileri ve ortakları üzerindeki etkisini değerlendirmelidir. Bu, etkilenen bilgi türünün ve miktarının, olayın sonuçlarının, şirketin itibarının ve yasal işlem olasılığının belirlenmesini içerir.
• Hafifletici önlemlerin belirlenmesi: Sorumlu taraf olarak, zararı hafifletmek ve gelecekteki ihlalleri önlemek için önlemleri belirlemek onların görevidir. Bu, ek kontrollerin uygulanmasını, sistemlerin güncellenmesini ve güvenlik politikaları ile prosedürlerinin gözden geçirilmesini içerebilir.
• Dahili olarak iletişim kurulması: Bilgi güvenliğinden sorumlu kişi, herkesin ne olduğundan ve sorunu çözmek için alınan önlemlerden haberdar olmasını sağlamak için olaya karışan ekip üyeleri ve diğer paydaşlarla iletişim kurmalıdır.
• Dışarısı ile iletişim kurulması: CISO’nun ayrıca müşteriler, satıcılar, iş ortakları ve diğer etkilenen paydaşlarla da iletişim kurması gerekir. İletişim açık ve şeffaf olmalı, faydalı ve eyleme geçirilebilir bilgiler sağlamalıdır.
• Soruşturma yürütülmesi: İhlalin nedenlerini belirlemek ve gelecekteki olayları önlemek için adımlar atmak için kapsamlı bir soruşturma gereklidir.
• Bilgi güvenliği politikasının gözden geçirilip ve güncellenmesi: Bilgi güvenliğinden sorumlu kişi, siber güvenlikle ilgili en iyi uygulamalarla uyumlu olduğundan ve risklerin uygun şekilde yönetildiğinden emin olmak için kurumun politikasını gözden geçirmeli ve güncellemelidir.

Son olarak, CISO’nun kurumun güvenlik duruşunu iyileştirmek ve çalışanları siber güvenlikle ilgili en iyi uygulamalar ve tehdit yanıtları konusunda eğitmek için proaktif bir yaklaşıma sahip olması önemlidir.

Sonuç

• CISO, sorumluluğu siber tehditleri ve veri ihlallerini iddialı ve etkili bir şekilde savunmak, önlemek ve azaltmak olan bir profesyoneldir.
• Bir olay sırasında, CISO savunmaya, karşı saldırıya liderlik etmekten ve olayın niteliğini belirlemekten sorumludur.
• İhlal durumunda, CISO soruşturma başlatmalı, hangi bilgilerin tehlikeye atıldığını belirlemeli ve zararı azaltmalıdır.
• Doğrudan kendi komutası altındaki ekiplerle ve şirketteki hukuk ve iletişim gibi diğer departmanlarla yakın bir şekilde çalışır.
• Meydana gelen olaylar hakkında yetkilileri ve hissedarlar ve müşteriler gibi diğer paydaşları bilgilendirmek CISO’nun görevidir.
• Kurumun siber güvenlik politikalarının gözden geçirilmesi ve güncellenmesi CISO’nun sorumluluğundadır.