Bu Help Net Security röportajında DomainTools’un CISO’su Daniel Schwalbe, CISO’nun hesap verebilirliğini ve günlük karar alma sürecini yeniden şekillendiren yoğunlaşan düzenleyici talepleri tartışıyor. Gelecekteki CISO’ların ihtiyaç duyacağı beceri gruplarını, 2025 için temel önceliklerini ve artan baskının rolün çekiciliğini ve elde tutulmasını nasıl etkilediğini özetliyor.
Hangi spesifik düzenleyici talepler CISO’nun hesap verebilirliğini artırdı ve bu onların günlük karar alma süreçlerini nasıl etkiledi?
Halka açık şirketler tarafından istihdam edilen CISO’ları doğrudan etkileyen ve hesap verebilirliklerini artıran düzenleme ortamındaki son değişiklik, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından Siber Güvenlik Risk Yönetimi, Strateji, Yönetişim ve Olay Açıklamasını kapsayan yeni kuralların kabul edilmesiydi. Halka Açık Şirketler. SEC artık şirketlerin önemli siber güvenlik olaylarını dört iş günü içinde mali bildirimler yoluyla açıklamasını zorunlu kılıyor. Olayın niteliği, zamanlaması ve şirketin mali sağlığı üzerindeki etkisi hakkında ayrıntılı bilgi içermelidir.
Ayrıca yeni kurallar, şirketlerin yıllık mali açıklamalarına siber güvenlik risk değerlendirmelerini ve yönetim süreçlerini dahil etmelerini gerektiriyor. Yeni kurallar aynı zamanda CISO’lara ve C-Suite’in diğer üyelerine özel kişisel hesap verme sorumluluğu da getiriyor ve yöneticilerin, şirketlerinin mali beyanlarının doğruluğunu sağlama konusundaki bireysel sorumluluklarını anlamalarının beklendiği gerçeğine vurgu yapıyor.
Wall Street’te iş yapan herhangi bir banka veya aracı kurumu içeren, New York Finansal Hizmetler Departmanı (NYDFS) tarafından denetlenen finansal kurumları etkileyen bir başka düzenleme güncellemesi, CISO’ların kişisel sorumluluğunu artırıyor. Kural değişiklikleri, CISO’ların ve kuruluşun en üst düzey yöneticisinin, kuruluşlarının eyaletin Siber Güvenlik Yönetmeliklerine uygunluğunu yıllık bazda kişisel olarak onaylamasını gerektiriyor.
Düzenleme taleplerinde yapılan bu değişiklikler, yeni kurallara tabi bir şirkette çalışan bir CISO’nun günlük karar verme sürecini muhtemelen aşağıdaki şekillerde etkileyecektir:
CISO’lar, siber güvenlik risklerini izleme ve yönetme konusunda daha dikkatli olmaya ve tüm olayların hızlı ve doğru bir şekilde rapor edilmesini sağlamaya zorlanacak.
Siber güvenlik olaylarının doğru ve kapsamlı bir şekilde raporlanmasını sağlamak için CISO’lar ve diğer yöneticiler, özellikle de CFO’lar arasında işbirliğine daha fazla ihtiyaç duyulacak.
CISO’ların stratejik karar alma süreçlerine daha fazla dahil olmaları, siber güvenlik önlemlerini iş hedefleriyle uyumlu hale getirmeleri ve yönetim kurulunun siber güvenlik riskleri ve stratejileri hakkında iyi bilgilendirilmesini sağlamaları gerekecek.
CISO’ların, risk yönetimi ve uyumluluk çabalarına yaklaşımlarını etkileyebilecek kişisel sorumluluklarını dikkate almaları gerekecektir.
Yasal uyumluluk ve risk yönetimine ilişkin beklentiler de dahil olmak üzere CISO rolünün getirdiği baskılar, pozisyonun üst düzey yetenekler açısından çekiciliğini nasıl etkiledi?
SEC ve NYDFS gibi düzenleyici kurumlar daha katı uyumluluk gereklilikleri uyguladığında CISO’lar daha fazla kişisel sorumlulukla karşı karşıya kalır. Buna siber güvenlik olaylarının olası yasal ve mali sonuçları da dahildir. Kişisel sorumluluk riski, üst düzey yetenekleri bu rolleri sürdürmekten veya bu rollerde kalmaktan caydırabilir.
Ayrıca siber tehditlerin hızlı gelişimi, CISO’ların becerilerini ve stratejilerini sürekli olarak güncellemelerini gerektirmektedir. Bu sürekli uyum ihtiyacı bunaltıcı olabilir ve daha istikrarlı rolleri tercih eden potansiyel adayların cesaretini kırabilir.
CISO rolünün kapsamı son 10-15 yılda önemli ölçüde genişledi ve temel olarak teknik gözetimden stratejik liderliğe, risk yönetimine ve mevzuat uyumluluğuna geçti. İhlalleri önlemeye ve olayları yönetmeye yönelik sürekli baskı, yüksek strese ve tükenmişliğe yol açarak rolü daha az çekici hale getirebilir.
Bu aynı zamanda modern CISO’ların teknik uzmanlık, stratejik düşünme ve güçlü kişilerarası becerilerin bir karışımına sahip olması gerektiği anlamına da gelir. Tüm siber güvenlik profesyonelleri gerekli beceri kombinasyonuna sahip olmadığından, bu kadar çeşitli beceri grubuna duyulan gereksinim, nitelikli aday havuzunu sınırlayabilir.
Siber güvenlik mesleği zaten yetenek sıkıntısı çekiyor ve CISO rolünün zorlu doğası bu sorunu daha da kötüleştirerek yüksek personel değişim oranlarına yol açıyor. Kuruluşlar, pozisyonla ilgili kapsamlı sorumlulukları ve riskleri üstlenmeye istekli, yetenekli profesyonelleri çekmek ve elde tutmak için mücadele ediyor.
CISO rolü giderek yönetim kurulu düzeyinde raporlamayı gerektirdiğinden, CISO’ların 2025’te daha önce gerekli olmayan hangi becerilere veya deneyimlere ihtiyaç duyacağını düşünüyorsunuz?
CISO’ların karmaşık siber güvenlik sorunlarını teknik olmayan yönetim kurulu üyelerine ve yöneticilere etkili bir şekilde aktarabilmeleri gerekecektir. Bu, teknik jargonun iş diline çevrilmesini ve siber güvenlik risklerinin kuruluşun genel iş stratejisi üzerindeki etkisinin açıkça ifade edilmesini içerir. Siber güvenlik iş stratejisinin ayrılmaz bir parçası haline geldikçe, CISO’ların acil tehditlerin ötesini düşünebilmesi ve uzun vadeli stratejik planlamaya odaklanabilmesi gerekiyor. Bu, siber güvenlik girişimlerinin iş hedefleriyle nasıl uyumlu olduğunu ve rekabet avantajına nasıl katkıda bulunduğunu anlamayı içerir.
İş operasyonları ve finansal ilkeler hakkında derinlemesine bir anlayış gerekli olacaktır. CISO’lar, kuruluşun hedeflerini destekleyen bilinçli kararlar almak için finans, tedarik zinciri yönetimi ve mevzuata uygunluk gibi alanlardaki bilgi birikiminden yararlanacak. Siber tehditlerin karmaşıklığı arttıkça CISO’ların risk ölçümü ve yönetimi konusunda ileri becerilere ihtiyacı olacak.
CISO’ların günlük operasyonel talepleri uzun vadeli hedeflere stratejik odaklanma ile dengelemeleri gerekecektir. Bu, ortaya çıkan tehditler ve fırsatlar hakkında eleştirel düşünme ve kuruluşun siber dayanıklılığını sağlayacak stratejiler geliştirme becerisini gerektirir.
Son olarak, yapay zeka ve diğer gelişen teknolojilerin derinlemesine anlaşılması çok önemli olacaktır. CISO’ların bu teknolojilerin siber güvenlik için nasıl kullanılabileceğini ve bunların getirdiği yeni riskleri anlaması gerekecek. Bütçeler sıkılaştıkça ve uygun maliyetli çözümlere olan ihtiyaç arttıkça, CISO’ların en iyi siber güvenlik araçlarını ve hizmetlerini rekabetçi fiyatlarla güvence altına almak için güçlü müzakere becerilerine ihtiyacı olacak.
CISO rolünün genişleyen kapsamı ve baskıları göz önüne alındığında, tükenmişlik ve işten ayrılma daha önemli endişeler haline mi geliyor? Kuruluşlar bu riskleri azaltmak için ne yapabilir?
Gartner, 2023 yılında birçok siber güvenlik liderinin işle ilgili stres nedeniyle 2025 yılına kadar işini değiştireceğini öngörmüştü. Bu tahminin tam olarak gerçekleşmemiş olması muhtemelen makroekonomik faktörlerden kaynaklanmaktadır. Doğru olan şey, CISO rolünün çoğu zaman zımni bir “günah keçisi” bileşeniyle birlikte gelmesidir; burada, oldukça kamuoyuna duyurulan bir ihlal meydana gelirse, olaydan kişisel olarak sorumlu olsun ya da olmasın, CISO suçu üstlenecektir. Ancak genel olarak güvenlik ekipleri 2023’te genel bir küçülme gördü ve bu 2024’te de devam etti. Bu özellikle tehdit istihbaratı ekipleri ve üst düzey liderlik rolleri için geçerli, dolayısıyla CISO’lar açık rollerin sayısı azaldıkça yeni işler arama konusunda muhtemelen daha tereddütlüydü. .
Bu hipotez, CISO rolleri için personel değişiminin daha düşük olduğunu belirten yakın tarihli bir CSO Çevrimiçi raporuyla desteklenmektedir. Bu muhtemelen bir CISO’nun mevcut pozisyonunu stresli bulsa ve başka bir kuruluşa yatay geçiş yapmak istese bile şu anda şanssız olabileceği anlamına gelir.
CISO’ların 2025’e yönelik ilk üç önceliğini ne olarak görüyorsunuz?
Yıllar boyunca birçok kuruluş çok çeşitli güvenlik araçları biriktirdi. Daha sıkı bütçeler ışığında, CISO’ların artık karmaşıklığı ve maliyetleri azaltmak için bu mevcut yatırımları optimize etmeye odaklanması gerekiyor. Bu, araçların birleştirilmesini ve geri kalanların güvenlik açıklarını gidermek için tam potansiyelleriyle kullanılmasını sağlamayı içerir.
Birçok CISO için, üretken yapay zeka teknolojisinden tam olarak yararlanan yeni siber tehditlerin ortaya çıkması önemli bir endişe kaynağıdır. Sonuç olarak CISO’lar, savunmalarını geliştirebilecek ve görünürlük boşluklarını kapatabilecek güvenlik araçlarına yatırım yapmaya öncelik veriyor. Çelişkili bir şekilde bu, tehdit algılama ve yanıt yeteneklerini geliştirmek için bazı yapay zeka çözümlerinin kullanılmasını içerebilir.
Hibrit ve çoklu bulut ortamlarının karmaşıklığı arttıkça CISO’ların, tehditlerin hızlı bir şekilde azaltılmasına ve kuruluş üzerindeki potansiyel etkinin azaltılmasına yardımcı olabilecek, bulut ortamlarına özel gelişmiş algılama ve yanıt yeteneklerine yatırım yapmayı düşünmesi gerekecektir.