Birleşik Krallık ve İrlanda’daki BT liderleri, kendini adamış bilgi güvenliği yöneticilerinin (CISO’lar) kuruluşlarına sunabileceği değerin giderek daha fazla farkına varıyor ve %73’ü artık bu rolü üstlendiklerini söylüyor; bu, bir önceki yıla göre %35 artışla %15’lik bir artış anlamına geliyor. şu an ile 2026 arasında işe alım yapmayı planlıyorum.
Ancak uç bulut platformu operatörü Fastly tarafından bugün yayınlanan yeni verilere göre, BT liderleri CISO’nun rolünü hâlâ tam olarak anlayamıyor. Yüzde 35’i artık CISO’ların işletmeleri siber tehditlerden korumak için çok önemli olduğuna inanırken, yüzde 27’si esasen zor durumlarda günah keçisi olarak hareket etmek için orada olduklarını söyledi.
Benzer bir oran (yüzde 23), CISO’lara çok fazla hukuki ve operasyonel sorumluluk verildiğini ve bu durumun potansiyel olarak diğer departmanlarla çatışmaya yol açtığını hissetti ve yüzde 39’u sadece siber değil, BT’nin tüm alanları hakkında derinlemesine bir anlayışa sahip olmaları gerektiğine inanıyordu. güvenlik, ancak bu 2022’den düşüktü.
Ek olarak, %24’ü CISO’ların hem fazla çalıştığına hem de az maaş aldığına inanıyordu, ancak %18’i bu rolün paranın karşılığının düşük olduğuna inanıyordu.
Fastly CISO’su Marshall Erwin, “2024’te benzeri görülmemiş siber güvenlik sorunlarıyla karşı karşıya kalan ve bunlara yönelik plan yapmaya çalışan Birleşik Krallık’taki işletmeler, siber güvenlik stratejisinin sorumluluğunu üstlenebilecek bir profesyoneli işe alma çabalarını pekiştirdi” dedi. “Ancak verilerimiz CISO’nun rolünün gerçekte neleri gerektirdiği konusunda hala kafa karışıklığının olduğunu gösteriyor. Bu fikir ayrılığı, özellikle kuruluşların güvenlik duruşlarındaki zorluklar ve artan tehdit ortamıyla birlikte, rolün son yıllarda nasıl geliştiğini gösteriyor.”
Geleneksel olarak CISO’ların BT ve risk yönetimi ile sınırlı olduğunu, ancak güvenlik liderlerinin iş siber stratejilerinin stratejik yönünden sorumlu iş liderleri olarak görülmesiyle birlikte rol algısının artık bozulduğunu söyledi. anlayış eksikliği ortaya çıkar.
Erwin, “İki yıl içinde Birleşik Krallık ve İrlanda işletmelerinin çoğunluğu CISO rolünü üstlenmiş olacak” dedi. “Etkili bir şekilde çalışabilmeleri için kuruluşların BT departmanları arasındaki rol konusunda daha iyi bir anlayış geliştirmelerine açıkça ihtiyaç var.”
Çok yıllık sayı
Güvenlik liderleri ile işin daha az bilgili diğer bölümleri (özellikle şirket yönetim kurulları) arasındaki iletişim, daha fazlasının engellenmesine neden olduğundan, rolün önemi arttıkça, CISO’ların gerçekte yaptıkları ile kuruluşlarının onlardan ne beklediği arasındaki bağlantı sürekli bir sorun haline geldi. anlayış.
Siber eğitim, test ve raporlama uzmanı Ninjio tarafından derlenen yeni bir raporda, CISO’ların inisiyatifi ele geçirmeleri ve güvenlik eğitimini geliştirerek bu açığı kapatmaya çalışmaları için atmaları gereken üç temel adım ortaya konuldu.
Ninjio’nun verileri, CISO’ların %58’inin teknik dili üst düzey liderlerin anlayabileceği şekilde iletme konusunda zorluk yaşadığını ortaya çıkardı; bu nedenle, bunu düzeltmenin ilk adımı, temel siber kavramları anlaşılır bir dilde sunmaktır. Özellikle CISO’lar siber saldırıların gerçek dünyadaki sonuçlarına, finansal maliyetlere, müşteri kaybı tehdidine, marka itibarının zarar görmesine vb. dayanabilir.
Başarılı ihlallerin neredeyse %75’inin insan unsurunu içerdiği göz önüne alındığında, CISO’lar ayrıca siber güvenlik değerlendirme araçlarından (CSAT’ler) yararlanmaya çalışmalı ve bunları iş liderlerine ve aynı zamanda sıradan çalışanlara hangi taktiklerin kullanılabileceğini göstermek için stratejik olarak dağıtmalıdır. Tehdit aktörlerini güçlendirin ve onları kendi başlarına daha fazlasını yapmaları için güçlendirin.
Üçüncü adım, kuruluşta güvenliğe yönelik sürdürülebilir destek oluşturmak için hesap verebilirliğe öncelik vermektir. Tehdit ortamı sürekli olarak geliştiği için, güvenlik farkındalığı bir kutu işaretleme uygulaması olarak ele alınamaz ve tehditlerin karşı tarafındaki birçok kişi öğrendiklerini hızla unutmaya eğilimlidir. Sürekli takviye ve testler bu sorunu çözmeye yardımcı olabilir.
Ninjio CEO’su Shaun McAlmont, “Herhangi bir siber güvenlik farkındalık programının nihai hedefi bir siber güvenlik kültürü oluşturmaktır” dedi. “Eğitim ve güvenlik sektörlerindeki yönetici lider olarak deneyimlerimden, yönetim kurulu düzeyinde destek almanın iki önemli yönünü öğrendim: Nihai hedefi açıkça ifade edin, ardından ilerlemenin ve başarının nasıl ölçüldüğünü açıklayın.
“Şirketlerinin genel güvenliğine öncelik veren yönetim kurullarında yakın zamanda bir artış gördük; Siber güvenliğe yatırımlarını artırdıkça kaynakları mümkün olan en iyi şekilde kullanmalarına yardımcı olmak CISO’nun görevidir” dedi.