YORUM
Bilgi güvenliği şefi için büyük bir evrim dönemindeyiz. Bir zamanlar her şeyin kesik ve kuru olduğu bir dönemde, bir CISO’nun rolleri ve sorumlulukları artık hareketli bir hedef gibi görünüyor ve siber güvenlik sektörü liderlerinin bu sorumlulukları yerine getirmeye başlaması veya sonuçlarla yüzleşmesi çok önemli.
CISO’lar işe alındığında genellikle kuruluşlarında etkili güvenlik, bilgi güvenliği ve risk yönetimi çerçevelerinin uygulanmasından sorumlu olarak tanımlanırlar. Ancak Menkul Kıymetler ve Borsa Komisyonu (SEC) ışığında SolarWinds CISO’suna yönelik suçlamalarBazıları CISO’nun iş tanımının “Siber bir olayla karşı karşıya kalan adam” ifadesini içermesi gerektiğini söyleyebilir.
Bu davanın kişisel hukuki sorumluluk konusunda oluşturduğu emsal, davacılar açısından caydırıcı olmuştur. CISO rolü halka açık şirketlerde. Bu yeni sorumluluğu akılda tutarak, iyi bir CISO olmanın neleri gerektirdiğini ve işin tanımın ötesine geçtiği yerleri konuşmanın tam zamanı.
SolarWinds Vakasının Sonuçlarını Anlayın
SEC’in suçlamaları doğru yönde atılmış bir adım; çünkü para cezalarının şirketlerin siber güvenlik konusunda doğru yolda kalmalarını sağlamada etkisiz olduğu kanıtlandı. Ancak SEC doğru olanı yapıyor olsa da bunu mutlaka doğru şekilde yaptığı anlamına gelmiyor.
Daha fazla hesap verebilirlik yaratmak kritik bir hamle, ancak şu an bulunduğumuz yol, bu sorumluluğun büyük ölçüde, bu faaliyetleri denetleyen ancak bunları gerçekten yürütmek için yeterli kontrole sahip olmayabilen CISO’lara ait olduğunu gösteriyor. Bu tepkiden duyulan korku CISO’ları gerginleştiriyor. Örneğin, Clorox’un CISO’su şirketten ayrılıyor Aralık ayındaki büyük bir siber saldırının ardından toparlanırken.
SolarWinds davasının sonucundan kaçınmak için: SolarWinds vakasından ders alın. Genellikle CISO’lar siber güvenlik operasyonlarının en ince noktalarından çıkarılır. Yüksek düzeyde, kuruluşun siber güvenlik gündemini savunur ve ilerletirler. Ancak büyük kararlara son onayı vermekle yetinemezler; tehdit ortamı hakkında bilgi sahibi olmaları ve kuruluşlarındaki bireysel güvenlik ekipleriyle sürekli işbirliği yapmaları gerekir. Etkili güvenliğin uygulanmasının gözetmeni olarak bu, gerçekten de bir CISO’nun yolun her adımında yer alması gerektiği anlamına gelir. Hiçbir taş çevrilmeden bırakılmamalı ve hiçbir hassasiyet göz ardı edilmemelidir.
Dürüstlüğü Yüksek Bir Organizasyonda Çalıştığınızdan Emin Olun
Kontrolün yanı sıra CISO’yu çevreleyen güçlü bir ekibe sahip olma meselesi de geliyor. Küresel siber olaylar artmaya devam ettikçe ve ifşa ve gizlilik düzenlemeleri geliştikçe güvenlik, uyumluluk ve risk yönetimi işlevlerinin uyumlu olmasını sağlamaya yönelik artan bir ihtiyaç var.
Bu, CISO’ların kuruluşlarındaki hukuk, uyumluluk ve kıdemli iş ortaklarıyla sürekli iletişim halinde olmaları gerektiği anlamına gelir. Rollerinde tanımlandığı gibi, CISO’lar genellikle baş hukuk ve uyum görevlilerine rapor verirler ve bunlar, dolaylı olarak güvenebilecekleri meslektaşlar ve ortaklar olmalıdır. Herhangi bir şey şüpheli görünüyorsa veya bu güven mevcut değilse, CISO’lar bunu uzaklaşmanın bir işareti olarak kabul etmelidir.
Sorumlulukla ilgili pek çok korkunun döndüğü bir ortamda, kişisel riskleri en aza indirmenin ve olası cezai suçlamalardan kaçınmanın bir yolu olarak, güvenli olmayan uygulamaların bir sonucu olarak meydana gelen bir güvenlik olayına kadar, gelecek yıl güvenli olmayan siber güvenlik uygulamalarıyla ilgili ihbarda bulunanların sayısında artış göreceğiz. Bu durum CISO’ları rahatsız bir duruma sokuyor. Dürüstlük düzeyi yüksek bir iş yerindeki bir CISO’nun bu tür sızıntılar konusunda endişesi olmayacaktır, ancak başka bir yerdeki bir CISO’nun endişelenmesi gerekir.
Sorumluluk Kurallarının Her An Değişebileceğini Öngörmek
Bir iş tanımı her şeyi açıklayamasa da CISO’ların temel becerisi ileriye dönük olmak ve sektörün nereye gidebileceğini anlamaktır. Sorumluluk şu anda ağırlıklı olarak CISO’ların omuzlarına yükleniyor, ancak yakında bu sorumluluk şemsiyesinin daha da genişlediğini görebiliriz.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA’lar) Taslak Güvenli Yazılım Geliştirme Onay Formu CEO’ları ve COO’ları ateş hattına koyuyor ve bu girişim yazılımın ötesinde de devam edebilir. Her ne kadar yazılım üreticileri büyük olasılıkla bu rollerin siber güvenlik anlayışını fazlasıyla soyutladığını iddia ederek bu konuda geri adım atacak olsa da, bu durum, düzenleyici kurumların sorumluluğu en üst noktaya taşımak için ortak bir çaba gösterdiğinin sinyalini veriyor.
Şimdilik suçu CISO’lar üstleniyor, ancak gelecek yıl CEO’lar da olabilir. Siber güvenlik, üst düzey yöneticiler ve yönetim kurulu düzeyinde bir tartışma konusu haline geldi; ancak sektördeki bu değişimler, CISO’lara, siber güvenliği iş tartışmalarında birinci öncelik haline getirmeleri ve her türlü bireysel sorumluluktan kaçınmaları için ihtiyaç duydukları desteği sağlayabilir.
Her Zaman Açık Olmanın Rolün Bir Parçası Olduğunu Bilin
Bir CISO her siber saldırıyı tahmin edemese de bir saldırıya karşı hazırlıklı olmak için ellerinden gelen her şeyi yapabilir ve yapmalıdır. Artık uyumlu kalmak ve bunu bir gün olarak adlandırmak yeterli değil; CISO’lar daha ilgili ve proaktif olmalı, kuruluşlarının güvenlik duruşunu etkileyebilecek yeni riskleri ve küresel çatışmaları her zaman anlamaya çalışmalıdır. Başlamanın en iyi yolu, iş tanımını derinlemesine incelemek ve her kutunun işaretlendiğinden, her görevin hesaba katıldığından ve her ekip üyesinin güvenilir olduğundan emin olmaktır.
CISO bir figür değil, bir kuruluştaki her güvenlik meselesiyle ilgili önemli bir karar vericidir. Günümüzün ağırlıklı olarak hesap verebilirliğe odaklandığı göz önüne alındığında, şirketlerin bu zamanı, her üst düzey yöneticinin bir rol oynaması gereken potansiyel bir gelecek için siber güvenlikle ilgili her konuda uyum sağlamaya ayırması çok önemlidir.