Replicated’de Güvenlik Başkan Yardımcısı Andrew Storms, otuz yılı siber güvenliğin ön cephelerinde geçirdi. 90’lı yılların başlarında UNIX sistemleri oluşturmaktan bugün önde gelen olay yanıtı ve AI güvenlik stratejilerine kadar, CISO rolünün arka ofis işlevinden toplantı odasına dayanarak geliştiğini gördü. Bu spot ışığında, düşüncesini şekillendiren dersleri, hikaye anlatımının neden kritik bir CISO becerisi olduğunu ve API güvenliğinin artık nasıl isteğe bağlı olmadığını paylaşıyor.
Reaktif savunmadan stratejik ilhama kadar
Andrew’un kariyeri, Carmen Sandiego gibi klasik video oyunlarını test ederek Broderbund Software’de kalite güvencesinde başladı. Ama sonra, yeni başlayan bir UNIX ekibine katılmak için kendiliğinden bir davet, kariyerini başka bir yönde acıyordu.
Andrew, “Şirketi çevrimiçi almak ve güvenlik oluşturmakla görevlendirildik” diye hatırlıyor. “Bir satranç oyunu gibi roleplay teftiş ederdik. Güvenlik hakkında düşünme şeklimi değiştirdi – dokunduğu her şeye pişirildi.”
Bu erken deneyim, Andrew’a odağını reaktif savunmadan stratejik ilhama kaydırmaya ilham verdi ve hayat boyu siber güvenlik tutkusuna ilham verdi.
Siber Güvenliği Blokerden Etkinleştiriciye Dönüştürücüye Dönüştür
Birçok erken güvenlik uzmanı gibi, Andrew bir zamanlar kontrollerin uygulayıcısı olan “şerif” rolünü gördü. Ancak bu zihniyetin kusurlu olduğunu itiraf ediyor.
“Birisi ‘Müşterileriniz kimler?’ Diye sorduğunda dönüm noktası geldi. ‘Ürünlerimizi satın alan insanlar’ dedim. Çalışanlar. Onları desteklemek için buradasın. ‘ Bu her şeyi değiştirdi. ”
Bu vahiy, rolünü yeniden şekillendirdi ve bir engelleyici olarak değil, kolaylaştırıcı olarak çalışmasını istedi. “Şimdi, güvenliği bir satış aracı olarak görüyorum. Satışların daha hızlı hareket etmesine veya mühendislik gemisini daha hızlı hareket ettirmesine yardımcı olabilirsem, işimi doğru yapıyorum.”
Cisos iyimser ve hikaye anlatıcıları olmalı
CISO rolü olgunlaştıkça Andrew, yumuşak becerilerin teknik pirzola kadar kritik olduğunu savunuyor. İyimserliğin en önemlilerinden biri olduğuna inanıyor.
“Dünyanın yandığını söyleyerek yürürseniz, kimse dinlemez. Ama iş hedeflerini anlarsanız, güvenlik zorluklarını fırsatlara dönüştürebilirsiniz.”
Ayrıca hikaye anlatımının gücüne inanıyor. “Bir zamanlar 10 dakikalık hikaye anlatımı ve 5 dakikalık demo olduğu bir konuşma yaptım. İnsanlar onu sevdi.
Mükemmellik üzerine pratik yapmak
Olay yanıtı söz konusu olduğunda, Andrew masa üstü matkaplara karşı gerçekçiliği destekliyor. “Masa üstü egzersizlerinden nefret ediyoruz. Bunun yerine, uyarıları taklit ediyor, gevşekliğe bırakıyoruz ve ne olacağını görüyoruz. Birisi cevap verdi mi? Ne yaptılar?”
Bununla birlikte, Andrew için teknik matkaplar denklemin sadece bir parçasıdır. Kültür de önemlidir.
“’Bilmiyorum’ demeyi iyi yapmalısın. Bu bir olgunluk işareti, zayıflık değil.
API güvenlik zorunluluğu
Andrew için API işlevselliği bir özellik değildir; Bu bir anlaşma.
“Ürününüzde API yoksa, satın almayacağım” diyor.
Bu künt gelebilir, ancak beklentilerde daha geniş bir değişimi yansıtır. Güvenlik ekipleri bugün otomasyon, düzenleme ve AI güdümlü iş akışlarına güvenmektedir-ve API’ler onları mümkün kılan şeydir.
Andrew, “Modern ortamlar hızlı hareket etmek için üretilmiştir. Görevleri otomatikleştiremez, sistemleri bağlayamazsam veya bir AI ajanının araçlarınızla etkileşime girmesini sağlayamazsam, o zaman ölü ağırlıktır” diye açıklıyor Andrew.
Ancak bu esneklik ile risk gelir. API’ler hassas verilere makine hız erişimi sunar ve teminatsız bırakılırsa büyük bir saldırı yüzeyi sunar. Bu nedenle API güvenliğinin sürekli olması ve temel operasyonlara gömülmesi gerektiğini savunuyor.
“Artık bir kerelik taramalara güvenemezsiniz” diyor. “API tehdidi taramasının 7/24 olması gerekiyor.”
Andrew katmanlı bir yaklaşım için savunuyor: güçlü kimlik doğrulama, uygun sır yönetimi, web uygulaması güvenlik duvarları, hız sınırlama, günlük kaydı ve giriş/çıkış doğrulaması.
“Bu tekerleği yeniden icat etmekle ilgili değil. Her zaman kullandığımız aynı güvenlik temellerini sadece farklı bir yüzeyde uyguluyor.”
AI: Fırsatı kucaklayın, riske saygı gösterin
Replicated’daki şu anki rolünde Andrew, AI’yı özellikle uyum için bir oyun değiştirici olarak görüyor. Ancak aynı zamanda veri yönetişimi hakkında acil sorular da gündeme getiriyor.
“Birisi, ‘Bir AI aracına destek günlükleri koyabilir miyim?’ Diye sorabilir. Ve diyelim ki, ‘Sorduğunuz için teşekkürler, riski birlikte değerlendirelim’. Bunlar öğretilebilir anlar.
Onun tavsiyesi? “Şimdiye kadar olmayan” bir şirket olmayın. Ama AI’nın da gölge olmasına izin vermeyin. “Takımlarla çalışın, riskleri, veri akışlarını ve eleştirel düşünüleceklerini anlamalarına yardımcı olun. Güven bu şekilde inşa edersiniz.”
CISO’nun geleceği: Güven, Dayanıklılık ve AI Yönetim
Önümüzdeki beş yıl içinde Andrew, CISO’nun müşterilerin ve ortakların kendilerini güvende hissetmelerine yardımcı olan görünür bir lider olan bir şirketin “güven varlığı” olmasını bekliyor.
Bu, savunmanın ötesinde gelişmek anlamına gelir. “Bu sadece saldırıları durdurmakla ilgili değil. Ne olursa olsun, işi çalıştıran esnek ürünler ve sistemler oluşturmakla ilgili.”
Ayrıca AI odaklı bir kurumsal dünyada artan veri etiği ihtiyacını vurgulamaktadır. “AI verilere güveniyor. Bu nedenle, veri yönetimini temel bir güvenlik işlevi olarak ele almamız gerekiyor.”
Son kelime
Andrew basit bir kişisel dilekle kapanıyor: Montana’da bir hafta süren sinek balıkçılığı tatili. Ancak o zamana kadar, güvenlik ekiplerinin ve işletmelerin empati, fırsat ve güven yoluyla gelişmesine yardımcı olmak için lazer odaklı.
“Bir CISO’nun söyleyebileceği en güçlü şey mi? ‘Daha hızlı hareket etmenize yardımcı olmak için buradayım; ve daha güvenli. İşte böyle kazanıyoruz.’
Wallarm’ın platformunun Andrew’un API güvenlik görüşüyle nasıl uyumlu olduğunu öğrenmek ister misiniz? Bugün bir ürün turuna çıkın.