Yıllar boyunca, Baş Bilgi Güvenlik Görevlisi (CISO) rolünün ne kadar dramatik bir şekilde geliştiğini ve birçok yönetim kurulu odasında bu evrimin hala nasıl yetiştiğini gördüm. Siber güvenlik gündemin zirvesine taşındı ve haklı olarak. Yine de, artan aciliyete rağmen, hala bir CISO’da ne aramaları gerektiğinden emin değilim.
Bu sadece doğru kimlik bilgilerine veya teknik soyağacına sahip birini işe almakla ilgili değildir. Doğru güvenlik liderini seçmek, bir kurulun verebileceği en önemli stratejik kararlardan biridir. Bugünkü CISO sadece yangınları söndürmek için orada değil, onların olmalarını önlemek ve büyümesini sağlayarak işi koruyacak şekilde yapmak için oradalar.
Soru şu: Büyük bir ciso, tahtanın bakış açısından neye benziyor?
Rol iş tanımını aştı
Çok uzun zaman önce CISO’ların altyapı veya mühendislik sıralamasından çıktı. Rol oldukça teknikti, çoğunlukla içe bakıcıydı ve sistemlerin arka planda güvenli bir şekilde çalışmasını sağlamaya odaklandı. Bu değişti.
Bugünün CISO’larından güvenlik mimarlarından çok daha fazlası olması isteniyor. Marka riskini anlamaları, karmaşık düzenlemeleri yorumlamaları, yatırımcılarla akıcı bir şekilde konuşmaları ve küresel tehdit manzaralarında gezinmeleri beklenirken, ekiplerinin bir şeyler ters gittiğinde hız ve ölçekte yanıt verebilmelerini sağlar. Bazı durumlarda, finansal dosyalarda oturum açıyorlar ve olaylar için yasal sorumluluk alıyorlar.
Bu büyük bir iş. Ve teknik beceriden daha fazlasını gerektirir. İş zekası, iletişim incelik ve ortaklık ve hesap verebilirlikten kaynaklanan bir zihniyet gerektirir.
Risk çevirmen, sadece risk muhabiri değil
Bir CISO’nun masaya getirebileceği en değerli becerilerden biri, riski tahtanın anladığı dile çevirme yeteneğidir. Bu, şeyleri şaşırtmakla ilgili değil. Kararları iş öncelikleriyle uyumlu bir şekilde çerçevelemekle ilgilidir.
CISO sunduğunda, sadece tehdit ve güvenlik açıklarını mı listeliyorlar? Yoksa bu risklerin iş için ne anlama geldiğini açıkça ifade ediyorlar mı? Bir sistemin yamalamanın gecikmesinin müşteri güvenini, gelirini veya düzenleyici duruşunu nasıl etkileyebileceğini açıklayabilirler mi?
Büyük cisos sadece risk bildirmez. Kurulların hangi riskleri kabul edeceği, hangisinin hafifletileceği ve nereye yatırım yapacağı konusunda bilinçli seçimler yapmalarına yardımcı olurlar. Bu netlik seviyesi, belirsizlik karşısında bile güven yaratır.
Büyüme zihniyeti ile stratejik ortak
Güçlü bir CISO, sadece çalıştığı güvenlik araçlarını değil, işletmenin nasıl çalıştığını anlayan biridir. Hangi sistemlerin gelir sağladığını, verilerin nerede aktığını ve müşterilerin ürün veya platformla nasıl etkileşime girdiğini biliyorlar.
Güvenlik bir engelleyici olmamalıdır. Bir kolaylaştırıcı olmalı. Kurullar, “Bunu nasıl güvence altına alabiliriz Ve Takımlarımızın hızlı hareket etmesini kolaylaştırıyor mu? ” Bu, onu geri tutmak yerine inovasyona katkıda bulunan bir liderdir.
Benim için işe yarayan, güvenliği ayrı bir alan değil, bir iş fonksiyonu olarak ele almak. Güvenlik en başından itibaren stratejik konuşmalara dokunduğunda, hizalama çok daha kolay hale gelir ve aslında bu şekilde yapışan momentum oluşturursunuz.
Belirsizlikte rahat
Savunmalarınız ne kadar iyi olursa olsun, siber güvenliğin doğası her zaman bir dereceye kadar belirsizlik olduğu anlamına gelir. En iyi cisos bunun tarafından felç edilmez, içinde gelişirler. Eksik bilgilerle nasıl karar verileceğini, bir takıma çelişkili sinyallerden oluşan bir sisle nasıl rehberlik edileceğini ve baskı en yüksek olduğunda nasıl sakin kalacağınızı biliyorlar.
Bu tür esneklik her zaman bir CV’de yakalanamaz. Kurulların krizde nasıl çalıştıklarını hissetmek için doğrudan adaylarla etkileşime girmesi gerekir. Çünkü bir ihlal gerçekleştiğinde veya bir düzenleme bir gecede değiştiğinde – panik değil, istikrar getiren birini istersiniz.
Kurul akıcılığı ve kültürel uyum
Teknik bilgi önemlidir. Ancak yönetim kurulu düzeyinde, iletişim ve liderlik tarzı genellikle daha önemlidir.
Bu kişi tecrübeli yöneticilerle dolu bir toplantı odasında kendi tutabilir mi? Güven mi aşındırıyorlar? Sadece güvenlik kontrol listeleri değil, varsayımlara yapıcı bir şekilde meydan okuyabilir ve girdilerini kurumsal risk etrafında çerçeveleyebilirler mi?
Ve en önemlisi, kendinize iyi bir kültürel uyum mu olduğunu sor? Her organizasyonun farklı bir ritmi vardır. Bazıları hızlı hareket eden ve agresif. Diğerleri fikir birliğine dayalıdır. Doğru Ciso, önemli olanı hala tutarken bu ritime uyum sağlayabilen bir kişidir.
Kurulların yanlış yapıldığı yer
Kurulların bu alanda iyi sınırlı yanlış adımlar yaptığını gördüm. En yaygın olanlardan biri, logo soyağacına veya sadece teknik sertifikalara dayalı işe alımdır. Bu şeyler etkileyici görünebilir, ancak liderlik yeteneğinin garantisi yoktur.
Başka bir tuzak, CISO’nun riskin tamamen “sahip olduğunu” varsayıyor. Gerçekte, risk ortak bir sorumluluktur. İyi bir CISO, yönetici ekibindeki konuşmaları kolaylaştırır. Tek taraflı kararlar vermezler ve hizalama ve yüzey sonuçlarını artırırlar.
Ve son olarak, geçmiş olayları otomatik kırmızı bayrak olarak görme eğilimi var. Güvenlik sürekli iyileştirme ile ilgilidir. Önemli olan bir ihlalin olup olmadığı değil. Lider böyle cevap verdi, öğrendikleri ve sonuç olarak ne değiştirdikleri.
Masanın her iki tarafından dersler
Kurullarda kendim hizmet ettikten sonra, bir şirketin CISO rolünü gerçekten anladığında ve değer verdiğinde ne kadar dönüştürücü olduğunu gördüm. Konuşmalar değişiyor. Yatırımlar daha stratejik hale geliyor. Güvenlik işlevi sadece koruma değil, ilerlemeyi de artırmaya başlar.
Aynı zamanda iki yönlü bir sokak. Cisos’un kurulun dilini anlaması gerekiyor. Bu, maddi risk, iş etkisi ve uzun vadeli esneklik ile konuşabilmek anlamına gelir.
Ciso’nuz bu boşluğu kapatabilirse, sadece bir koruyucusu değil. Onlar bir ortak.
Güvenli liderlik zirvede başlar
Doğru CISO’yu seçmek sadece bir güvenlik kararı değildir. Bu bir iş liderliği kararı. Ve şirketinizin geleceğini hemen hemen diğer tüm yönetici kiralamalardan daha fazla şekillendirebilecek.
Yani bir tahtada oturuyorsanız ve güvenlik liderliğini değerlendiriyorsanız, iş tanımının ötesinde düşünmenizi öneririm. CISO’nuzun işi nasıl gördüğünü sorun. Değişimi nasıl etkilediklerini sorun. Onlara başarılı olmaları için neye ihtiyaç duyduklarını sorduğunuzu sorun.
Çünkü doğru CISO’yu geri döndürdüğünüzde, sadece riski azaltmakla kalmazsınız. Daha akıllı, daha güçlü bir şirket inşa ediyorsunuz.
Rinki Sethi, Whind Security’de Güvenlik Görevlisi, Bir Bay Area Bulut Güvenlik Uzmanı.