Bir zamanlar öncelikli olarak teknik bir rol olan CISO’lar artık kendilerini kurumsal riskten, mevzuat uyumluluğundan ve hatta tüm organizasyon genelindeki yasal yükümlülüklerden sorumlu buluyor. Ancak siber tehditler yoğunlaştıkça, siber güvenlik operasyonlarını kurum çapında denetlemenin tek bir kişi için mümkün olmadığı açıktır.
2025’te CISO’nun sorumluluklarında bir değişim öngörüyorum.
Güvenlik iş çapında bir sorumluluk olacak
Güvenlik, organizasyonun her yönüne dokunduğu ve etkilediği için, önümüzdeki yıl bunun iş çapında bir sorumluluk olarak görülmesinin giderek artması şaşırtıcı değil. CISO’lar artık siber güvenlik ihlallerinin günah keçisi haline gelirken, kuruluşlar CISO’ları koruyacak ve yeterli siber güvenlik süreçlerini sürdürme sorumluluğunu tanımlayacak ortak sorumluluk modelleri oluşturmaya başlayacak. Microsoft gibi büyük markalar, her çalışanın güvenliğini sağlayarak ortak sorumluluk modelleri için standardı zaten belirliyor; diğerlerinin de bunu takip etmesinin zamanı geldi.
Bu yeni işbirlikçi modelle, üst düzey yöneticiler, baş hukuk müşaviri ve yönetim kurulu, hangi departmanın hangi güvenlik yönünden sorumlu olduğuna dair net ve doğru tanımların oluşturulmasında önemli bir rol oynayacak.
Örneğin, BT departmanları altyapıdan sorumlu olacak ve teknik savunmaların uygulanmasına ve sürdürülmesine odaklanacak. Buna karşılık İK ekipleri, kapsamlı eğitim programları vb. ile çalışanlar arasında bir güvenlik farkındalığı kültürünün geliştirilmesine odaklanır.
CISO’ları, önümüzdeki yıl başarıya ulaşacak ekipler oluşturmak için üst düzey yöneticilerle bu görüşmeleri şimdiden yapmaya başlamaya teşvik ediyorum.
CISO rolü daha işbirlikçi ve tavsiye niteliğinde olacak
Paylaşılan bir sorumluluk modeliyle CISO’lar ekiplerle daha fazla iş birliği yapacak ve her departmanla riski değerlendirmek, önceliklendirmek, hafifletmek ve/veya kabul etmek için güvenlik uzmanlıklarından yararlanarak daha danışmanlık rolüne yönelecek.
Araştırmalar, yönetici liderlerin ve siber güvenlik profesyonellerinin %72’sinin, güvenlik ve BT verilerinin kuruluşlarında depolandığını, bunun da kurumsal uyumsuzluğa ve yüksek güvenlik riskine katkıda bulunduğunu bildirdiğini gösteriyor. CISO’ların gözetiminde siloları yıkar, bilgi paylaşımını kolaylaştırır ve tehditlere karşı tepkileri koordine ederler.
CISO’lar ve departmanlar arasındaki iş birliği aynı zamanda tüm çalışanların süreçleri boyunca siber güvenlik önlemleri hakkında düşünmesini sağlayacak, güvenlik açıklarını azaltacak ve sonuçta CISO’ların üzerindeki baskıyı ortadan kaldıracak. Örneğin, çalışanları kimlik avı girişimlerini belirleme, güvenli dosya paylaşım uygulamalarını takip etme veya şüpheli etkinlikleri işaretleme konusunda eğiterek kuruluşun savunma stratejisinin aktif katılımcıları haline gelmelerini sağlayın. Dahası, departmanlar arası iletişim, normalde fark edilmeden kalabilecek potansiyel güvenlik açıklarının veya risklerin, tırmanıncaya ve artık çok geç olana kadar erken tanımlanmasına yol açabilir.
CISO’lar masaya oturacak
CISO, üst düzey yönetici olarak kabul edilse de araştırmalar, birçok CISO’nun bu şekilde görülmek için mücadele etmeye devam ettiğini ve/veya CISO’ların yalnızca %20’sinin ve 1 Milyar Doların üzerindeki şirketlerin %15’inin bu seviyeye yükseltilemediğini ortaya çıkardı. CISO’lar C düzeyindedir. Ancak 2025’te CISO’lar, güvenlik kararlarının ilgili iş hedefleriyle uyumlu olarak yukarıdan aşağıya alınmasını sağlamak için masada giderek daha fazla koltuğa sahip olacak.
Ek olarak, günümüzde birçok güvenlik programının odağının hala reaktif olduğu göz önüne alındığında, CISO’lar fırsat verildiğinde proaktif risk yönetimine daha fazla odaklanılmasını da sağlayabilirler. Proaktif güvenliğin kuruluş geneline entegre edilmesi, ekiplerin duruş yönetimi, yama ve güvenlik açığı yönetimi, algılama kontrolleri değerlendirmeleri ve ayarlamaları desteklemesi ve bunlara odaklanması ve kırmızı ekip oluşturma anlamına gelir; bu da ekipleri tehditlere yanıt vermek yerine tehditlerin önünde kalabilecek bir konumda bırakır.
Kuruluşlar, güvenlik çerçevelerini gelişen yetkilerle uyumlu hale getirmekle boğuşurken, CISO’nun rolüne ilişkin netlik son derece önemli hale geliyor. Son yıllardaki yüksek profilli veri ihlalleriyle birlikte SEC’in olay raporlama gereklilikleri, CISO rolüne ve onların repertuarına neyin girip girmediğine dikkat çekti.
Genişleyen sorumluluk, teknik zayıf noktaların ele alınmasından departman stratejilerinin şekillendirilmesine ve yasal maruziyetin yönetilmesine kadar sorumlulukların ayrıntılı bir şekilde anlaşılmasını gerektirir. Önümüzdeki yıl, kuruluşlar için CISO’nun rolünün kapsamını açıkça tanımlama ve kuruluş genelinde etkili güvenlik girişimlerini yürütmek için gerekli yetki ve desteğe sahip olmalarını sağlama fırsatıdır.