663 güvenlik yöneticisiyle yapılan yeni bir anket, CISO’lardan normalde üst düzey bir rol olarak kabul edilecek sorumlulukları üstlenmelerinin giderek daha fazla istendiğini, ancak birçok kuruluşta bu şekilde kabul edilmediğini veya bu şekilde muamele görmediğini gösterdi.
Anket, IANS tarafından Artico Search ile işbirliği içinde gerçekleştirildi ve CISO’lara işleri, sorumlulukları, yönetim desteği ve diğer konularla ilgili çeşitli konularda anket yapıldı.
Bunların yüzde 75’i iş değişikliği aradığını söyledi.
CISO Rolüne İlişkin Beklentiler Değişti
Yanıtlar, kamu ve özel sektör kuruluşlarında CISO rolüne ilişkin beklentilerin dramatik biçimde değiştiğini gösterdi; bunun nedeni, diğer şeylerin yanı sıra, düzenleyici kurumların artan incelemeleri ve güvenlik ihlallerine ilişkin artan hesap verme talepleridir.
Örnek olarak, Araştırma raporu tarafından benimsenen kurallara benzer kurallara dikkat çekti. Menkul Kıymetler ve Borsa Komisyonu (SEC) geçen Temmuz ayında, halka açık şirketlerin tüm önemli güvenlik olaylarını olayın meydana gelmesinden sonraki dört gün içinde raporlamasını zorunlu kılmıştı. Bir başka örnek de New York Eyaleti Finansal Hizmetler Departmanı’nın (NYDFS) yeni siber güvenlik gereksinimleri finansal hizmet şirketleri için.
IANS ve Artico raporunda, “Düzenleyiciler artık CISO’ları kuruluşları adına şeffaflık ve hatta dolandırıcılık konusunda sorumlu tutuyor.” ifadesine yer verildi. CISO’nun, yönetici liderlik toplantılarında net bir söz sahibi olması ve CEO ve üst düzey yöneticilerle doğrudan iletişim kurması sayesinde öncelikle bir iş risk yönetimi işlevi olarak hizmet edeceğine dair artan bir beklenti var. Ancak “rol beklentilerinin C-Seviyesine yükseltilmesine rağmen, CISO’lar bu şekilde görülme konusunda zorluk yaşıyor ve CISO rolü sıklıkla üst düzey liderlik ekibinin bir parçası değil.”
Anket, örneğin CISO’ların %63’ünden fazlasının başkan yardımcısı veya direktör düzeyinde bir pozisyona sahip olduğunu, unvanlarında “şef” olmasına rağmen yalnızca %20’sinin üst düzey yönetici seviyesinde olduğunu gösterdi. Geliri 1 milyar doların üzerinde olan kuruluşlar söz konusu olduğunda bu rakam %15 ile daha da azdır. Raporlama açısından bakıldığında, CISO’ların %90’ının rahatsız edici bir kısmı, CEO ve üst düzey yöneticilerden en az iki veya daha fazla organizasyonel düzeydedir. Sadece %50’si üç ayda bir şirketlerinin yönetim kuruluyla etkileşime geçiyor. Dörtte biri yönetim kuruluyla yılda yalnızca bir veya iki kez görüşüyor, %12’si kurulla yalnızca geçici olarak buluşuyor ve %13’ü kurulla hiçbir temasının olmadığını bildiriyor.
CISO Sorumluluğuna İlişkin Rehberlik Eksikliği
Çoğu durumda, yönetim kurullarından net bir risk rehberliği isteyen CISO’lar bunu anlayamıyor. Üçte birinden fazlası (%36) yönetim kurullarının, kuruluşlarının risk toleransı seviyelerine ilişkin harekete geçmeleri için yeterince açık fikir sunduğunu belirtti.
IANS araştırma direktörü Nick Kakolowski, “CISO rolünün son birkaç yılda gelişimi dramatik bir şekilde hızlandı” diyor. Kuruluşların operasyonlarının daha fazlasını dijitalleştirmesiyle birlikte CISO’ların daha fazla sorumluluk aldığını ve dijital riskin fiilen sahibi haline geldiğini söylüyor. “[But] Kuruluşlar, rolün kapsamı büyüdükçe onları nasıl destekleyip güçlendireceklerini çözemediler.”
Son yıllarda CISO topluluğu içinde, bu beklentileri karşılama yetenekleri büyük ölçüde değişmemiş olsa da, pozisyonla ilgili artan beklentilerle ilgili endişeler artıyor. Geçen Ekim ayında SEC’in SolarWinds CISO’su Tim Brown’ı suçladığı gibi olaylar dolandırıcılık ve iç kontrol başarısızlıkları 2020’de şirketteki ihlalle ilgili olarak ve bir yargıcın eski Uber CISO Joe Sullivan’ı mahkum etti 2016’daki bir ihlal nedeniyle üç yıllık denetimli serbestlik bu endişeleri artırdı. Bu olaylarda güvenlik yöneticilerine karşı yapılan eylemlerin haklı olup olmadığı konusunda bazı tartışmalar olsa da birçok kişi, ihlallerden onları tek başına sorumlu tutmanın adil olmadığını savundu.
C Düzeyinde Bir İşlev Olarak Güvenliğe Karşı Tarihsel Önyargı
Kakolowski, birçok kuruluşun CISO’ların rolünü hâlâ üst düzey yöneticilere ait olarak algılamamasının nedenlerinden birinin tarihsel önyargı olduğunu söylüyor. “CISO’lar – çoğu zaman haksız bir şekilde – işin dilini konuşamayan teknoloji uzmanları olarak algılanıyor” diyor ve konu beceri geliştirme olduğunda çoğu zaman susturulmaya eğilimli olduklarını ekliyor. Buradaki çabalar genellikle yönetici becerilerinin geliştirilmesinden ziyade teknik yeteneklere ve ekip liderliğine odaklanma eğilimindedir.
Bazıları aynı zamanda atalettir. Büyük, karmaşık organizasyonların yeni zorluklara ve organizasyonel değişimlere uyum sağlaması zaman alır.
Kakolowski, “En büyük zorluk, CISO’lar ile üst düzey yöneticilerin geri kalanı arasında uyum sağlama mücadelesidir” diyor. “İş dünyası liderleri, şirket yöneticileri olarak CISO’lardan gereğinden fazla yararlanma riskinin farkına varmaya başlıyor ve CISO’lar için, kuruluşa arka ofisin ötesinde değer sunma yeteneklerini gösterme fırsatı var.”
Kakolowski, CISO rolünü ait olduğu yere, yani üst düzey yöneticilere yükseltmenin birçok faydası olabileceğini savunuyor. Üst yönetimin bir parçası olmak, CISO’ya kuruluşun nereye gittiği konusunda daha iyi farkındalık ve görünürlük sağlar ve dijital risk yönetimi konusunda diğer paydaşlarla işbirliği yapmasını kolaylaştırır.
“CISO’yu riskin önüne geçecek şekilde konumlandırıyor, böylece riskleri azaltırken ortaya çıkabilecek sürtüşmeleri azaltıyor” diye belirtiyor.