Bir sektörde en üst pozisyona gelmek beraberinde yeni baskıları da getirir; sonuçta, büyük güç büyük sorumluluk getirir.
Bilgi güvenliği sorumlusu (CISO) durumunda, bu pek çok kişinin arzu edeceği nihai rol gibi görünüyor: Bütçe kontrolü, politika ve stratejiler oluşturma, insan yönetimi ve potansiyel olarak yönetim kurulunda bir koltuk sağlayabilir.
Ancak oraya vardığınızda, kimden yardım istersiniz? Sizi en üst role kim yönlendirir ve oraya vardığınızda size kim tavsiyede bulunur? Özellikle bir olay durumunda ne yapacağınız konusunda kimin tavsiyesine başvurursunuz?
Bu sorular, eski Uber CISO’su Joe Sullivan’ın geçen Aralık ayında Black Hat Avrupa konferansında konuşmasını izlerken aklıma geldi. Sullivan, iş başvurularında istekli profesyonellerin kendisine başvurarak rehberlik istediğini söyledi.
Sonuçta, Federal Ticaret Komisyonu ile uğraşmak ve CEO tarafından işten atılmak gibi tarihin en büyük ihlallerinden birinde deneyime sahip bir güvenlik uzmanı, neyin işe yarayıp neyin yaramadığı konusunda iyi bir fikir verebilir.
Taraftarların küçük siyah defteri
Ancak, her hevesli CISO’nun Sullivan’ın cep telefonu numarası yok; peki, en üst düzey işe adım atanlara yeterli destek ve hatta mentorluk fırsatları sağlıyor muyuz?
Deloitte CISO’su Jitender Arora, LinkedIn’de paylaştığı bir dizi gönderide kariyer gelişimiyle ilgili düşüncelerini paylaştı ve finansal hizmetler sektöründe güvenlik liderliği kariyerine sahip olduğunu, ayrıca CISO olmak isteyen kişilerin kendisine başvurduğunu da sözlerine ekledi.
Computer Weekly’ye konuşan Arora, CISO rolünü, bir yarışmada başarılı olmak için gereken becerileri, gücü ve zihinsel dayanıklılığı kazanmak için tüm yıl boyunca antrenman yaptığınız bir atlet olmaya benzetiyor.
“Bir CISO işinde bu test yarın veya iki yıl sonra gerçekleşebilir, ancak insanları ve işlevi yönetmeye hazır olmalısınız, ancak bununla birlikte gelen stresle de başa çıkabilmelisiniz” diyor.
Sonuç olarak, bir güvenlik lideri olmak sadece güvenlik becerilerini öğrenmekle ilgili değil, aynı zamanda yaşam becerilerini ve “hiçbir günün birbirine benzememesi ve bunun çok fazla stres getirmesi” gerçeğini de öğrenmekle ilgilidir.
Arora, bunun hazırlıkla, nasıl olacağınız (fiziksel ve zihinsel olarak) ve etrafınızdaki herkesle ilgilenebilmek için kendinize nasıl bakacağınızla ilgili olduğunu söylüyor.
Bu, işler yolunda gitmediğinde ve tavsiye almanız gerektiğinde kime soracağınız noktasına götürür. Arora, çalıştığı yerlerdeki insanlardan ilham aldığını ve konuşma biçimleri ve bir şeyi açıklama biçimleriyle size ilham veren liderler bulabileceğinizi söylüyor.
“İlham her yerimizde ve ilhamı fark etmeliyiz,” diyor. Bir şeyin söylendiğini duyacağınızı veya bir deneyim yaşayacağınızı – iyi veya kötü – ve sonrasında bunu parçalara ayırıp ne yapıldığını ve söylendiğini anlayıp bundan ne çıkarıldığını anlayıp harekete geçebileceğinizi belirtiyor.
İlişkiler kurmak
PPRO’da CISO olan Bronwyn Boyle, bir dizi finansal hizmet risk ve güvenlik rolünde çalışırken “çok şanslı” olduğunu kabul ediyor ve bunu yakın çalıştığı insanlarla ilişkiler kurabilmesine bağlıyor. “Sizden önce gelenlerden her zaman bir şeyler öğreniyorsunuz. Bu seçeneğin mevcut olması çok güven verici,” diyor ve ayrıca bilgisini aktarmaya istekli olduğunu da itiraf ediyor.
Boyle, siber güvenlik sektöründe bugüne kadar elde ettiği en olumlu başarılardan birinin CISO topluluğunun kendisine çok destek olması ve kendisine yardımcı olan birkaç mentordan bahsetmesi olduğunu söylüyor.
Sizden önce gelenlerden her zaman bir şeyler öğreniyorsunuz. Bu seçeneğin mevcut olması çok güven verici
Bronwyn Boyle, Halkla İlişkiler Sorumlusu
“Yeni CISO’ların kafalarında canlandırması gereken çok fazla şey olduğunu düşünüyorum ve size destek vermeye istekli, rehberlik edecek bir dayanak noktası olacak ve fikir alışverişinde bulunacak kişilerin olması kesinlikle paha biçilemez,” diyor. “Ben de başkalarına yardım etmek konusunda çok istekliyim, bu yüzden yeni CISO’lara benim için neyin işe yarayıp neyin yaramadığı konusunda yardımcı oldum.”
Boyle, her insanın kendine özgü deneyimleri olduğunu kabul ediyor, ancak seslerin, görüşlerin ve bakış açılarının duyulmasının gerçekten yararlı olduğu tematik konular da var.
Arora’nın söylediği gibi, hazırlıklı olamayacağınız durumlar olacak ve Boyle, daha önceki CISO rolünde siber saldırılarla başa çıkmaktan bahsediyor: Önceden ne planlamaya çalışırsanız çalışın, hazırlıklı olduğunuz durumlarda ve aynı anda olayların gerçekleşebileceği, bunun da oldukça bunaltıcı olabileceği durumlarda kendinizi bulabilirsiniz.
Deneyimli CISO’lar
Bunu akılda tutarak, işler ters gittiğinde kime başvuracağınızı düşünmeniz önemlidir; tabii CISO pozisyonuna geldiğinizde, hem liderlik perspektifinden hem de yardıma ihtiyaç duyduğunuzda kime başvuracağınız açısından, size bir iletişim listesi verilmediğini varsayarsak.
Kadrolarda yükselerek ilerleyen ve daha deneyimli CISO’larla çalışma şansı yakalayan liderler, en deneyimli olanlar olacak ve bir olaydan sağ çıkabileceklerdir.
Cyber Security Unity’nin kurucusu Lisa Ventura, deneyimli bir CISO’nun mentor olarak olmasının, deneyim ve bilgi açısından bir altın madeni olduğu için kazanç sağlayabileceğini söylüyor: “Birçok CISO’nun genellikle bir yönetici koçu da vardır ve bir koça sahip olmak, liderlik ve iletişim becerilerini geliştirmelerine yardımcı olabilir. Bunlar, yönetim kurulunda gezinmek ve üst düzey yönetimle etkileşim kurabilmek için çok önemlidir.”
Ventura, başarılı bir CISO’nun güvenilir danışmanlardan oluşan bir ağ oluşturacağını ve akıl hocalarının, akranlarının ve sektör uzmanlarının deneyimlerinden yararlanacağını ekliyor: “Bu, onların rollerinin karmaşıklıkları arasında yol almalarına ve kuruluşlarının güvenliğini sağlayacak bilinçli kararlar almalarına yardımcı olacaktır.”
Boyle, mentorların ilk pozisyonlarınızda karşılaşacağınız yaygın sorulara yanıt bulmanıza yardımcı olabileceğini söylüyor.
Sonuç olarak, insanların tavsiyeye ihtiyaç duyduğu bir boşluk varsa ve yardım isterken görülmenin bir zayıflık işareti olduğu hissi varsa, bunu mentorluk ve destek sağlayarak azaltmamız gerekir. Boyle, konuşmaların yapılabileceği ve sektörlerine yeni giren kişilerin yeni bağlantılar kurabileceği ve tavsiye alabileceği CISO sosyal gruplarından bahsetti.
“Birden fazla kuruluşu etkileyen siber olaylar için, güvenlik topluluğu genellikle paha biçilmez bir tavsiye ve destek kaynağıdır,” diyor. “Bunu Log4Shell sırasında ve yakın zamandaki ThreatViewer ihlali sırasında gördüm.”
Rehberlik ve mentorluğun elde edilebileceği bir diğer yer ise güvenli alanlardır. Thomas Odams, Chatham House Rule etkinlikleri sunan RANT Communities’in yönetici direktörüdür. Siber güvenlikte çalışmanın, özellikle liderlik pozisyonunda çalışmanın birçok işletmede yalnız bir görev olduğunu söylüyor.
“Taç mücevherlerini güvende tutma ve güvenlik açıkları ile risklerin farkında olma, en iyi uygulamaları paylaşmak için güvenli bir alan bulma ve daha da önemlisi, birlik ruhu “Benzer rollerdeki diğer kuruluşlardaki kişilerle birlikte çalışmak, bu sektörde hayatta kalmak ve gelişmek için çok önemlidir” diyor.
Bu deneyimi paylaştıktan sonra, bu sorunu yaşayan tek kişinin siz olmadığınızı bilmenin verdiği rahatlama hissinin de yaygın bir tepki olduğunu ekliyor.
Odams, “Üyelerimiz arasında dürüst, açık ve resmi olmayan paylaşımın” her zaman savunulduğunu ve etkinliklerinin genellikle CISO topluluğumuzun desteğiyle kutsandığını, bu topluluğun, ekip üyelerine mevcut projeleriyle ilgili konularda belirli etkinliklere katılmalarını önerdiğini ve böylece deneyimli meslektaşlarının kolektif bilgeliğinden yararlanmalarını sağladığını söylüyor.
Hiçbir zayıflık belirtisi gösterme
Arora, kendisine tavsiye sorulduğunda “hayır diyen tek bir kişiyle bile karşılaşmadığını”, “bilgeliklerini paylaşmaktan çok mutlu olduklarını, çok geniş bir bakış açısına ve çeşitli görüşlere sahip olduklarını ve iyinin nasıl göründüğünü bildiklerini” söylüyor.
Arora, yardım istemenin bir zayıflık işareti olarak görüldüğünü ve yardım istenirse “sahtekarlık sendromunun ortaya çıkmasıyla ifşa olunacağı” korkusunun sürekli var olduğunu kabul ediyor.
Tavsiye ve yardım istemenin onurlu bir çaba olması gerektiğini ve insanların geri bildirim istemekten korktukları kadar yardım istemekten de korktuklarını, ancak bunun bir CISO olmanın bir parçası olduğunu söylüyor. Bilmemek değil, öğrenmekle ilgili.
LinkedIn’de tavsiye paylaşmaya yönlendirilmesinin sebebinin bu olduğunu ekliyor, çünkü insanlar temel şeyler hakkında konuşmuyor. “Herkes mücadele ediyor – bana Fortune 500 şirketinin CEO’sunun zayıflık belirtileri göstermediğini ve ‘Umarım bu şirkete önemli miktarda paraya mal olacak bir karar alıp hata yapmamışımdır’ demediğini söylemeyin.”
Ağ kurmak her kariyerin çok önemli bir parçasıdır ve desteğin sunulması ve toplulukların açık ve misafirperver olması önemlidir. Bu insan faktörü açık ve tavsiye vermeye hazır olduğunda, siber güvenlik stratejisindeki en yaygın sorunlardan bazılarının üstesinden gelebiliriz – en kötüsü olduğunda ne yaparsınız?