Siber güvenlik, son birkaç yılda ticari operasyonların en riskli yönlerinden biri haline geldi. Bir zamanlar esas olarak teknik gözetime odaklanan bir arka ofis işlevi olan bilgi güvenliği şefi (CISO) rolü, doğrudan yönetimin ilgi odağı haline geldi.
CISO’lar artık yalnızca şirket verilerinin ve varlıklarının korunmasında değil, aynı zamanda kuruluşa olan güvenin korunmasında da büyük sorumluluk taşıyor. Her yüksek profilli ihlalde baskı artıyor ve birçok CISO kendilerini rahatsız edici bir soruyla karşı karşıya buluyor: “Eğer ihlale uğrarsak işimi kaybeder miyim?”
Veriler hikayeyi anlatıyor: Wakefield Research ile birlikte yürüttüğümüz 200 CISO ile yakın zamanda yaptığımız bir ankete göre, neredeyse tüm CISO’lar (%99) bir güvenlik ihlali durumunda iş güvenlikleri konusunda endişe duyuyor ve %77’si çok veya son derece endişeli.
Bu korku yersiz değil; CISO’lar başarılı bir siber saldırının mali kayıplardan düzenleyici cezalara, marka hasarına ve hissedar davalarına kadar olası sonuçlarını çoğu kişiden daha iyi biliyor. Siber güvenliğin karmaşıklığı arttıkça riskler de artıyor.
CISO’nun değişen rolü
CISO’nun rolü önemli ölçüde değişti. Günümüzün CISO’ları artık sadece bekçi değil; strateji uzmanları, risk yöneticileri ve (çoğunlukla) kriz zamanlarının sözcüleridirler. Karmaşık tehditleri azaltmaları, genişleyen düzenlemeler listesine uyumu sağlamaları ve siber güvenlik stratejilerini, siber riskin tüm sonuçlarını anlamakta hala zorluk çeken yönetim kurulu üyelerine hitap edecek iş terimleriyle açıklamaları bekleniyor.
Bu genişletilmiş kapsam, işi çok daha zorlu hale getirdi. Onlardan yalnızca bir kuruluşu gelişmiş tehditlere karşı korumaları istenmiyor, aynı zamanda bütçelerini haklı çıkarmaları, yatırım getirisini kanıtlamaları ve güvenlik ile kullanıcı deneyimi arasında denge kurmaları konusunda da baskı altındalar. Gerginlik bunaltıcı olabilir ve riskler varoluşsal hissedilebilir. Böyle bir kaderden kaçınmaya yönelik yoğun baskı, üzerlerine ağır bir yük bindiriyor ve rolün günlük taleplerini çok daha korkutucu hale getiriyor.
İhlal endişesi neden tüm zamanların en yüksek seviyesinde?
CISO’ların iş güvenliğiyle ilgili korkuları yalnızca kişisel sorumlulukla ilgili değil; aynı zamanda işin artan zorluğuyla da bağlantılı.
Siber saldırıların giderek sıklaştığı ve karmaşıklaştığı bir ortamla karşı karşıyayız. Siber suçlular daha iyi finanse ediliyor, daha organize ve son derece bilgili. Fidye yazılımı saldırıları, tehdit aktörleri için kazançlı bir iş modeli haline geldi ve bu saldırıların hem sayısı hem de şiddeti artıyor.
Pek çok kuruluşun artık ağırlıklı olarak üçüncü taraf satıcılara ve uzak iş gücüne bağımlı olması nedeniyle saldırı yüzeyleri önemli ölçüde genişledi. IoT cihazları, bulut uygulamaları ve uzaktan erişim çözümleri, her biri dikkatli bir gözetim gerektiren yeni güvenlik açıklarını ortaya çıkardı.
Talihsiz gerçek şu ki hiçbir sistem kusursuz değildir. Çoğu durumda CISO’lar, “mükemmel” güvenliği neredeyse imkansız hale getiren bütçe, teknoloji veya yetenek kısıtlamaları dahilinde çalışmak zorunda kalıyor. Bu nedenle CISO’lar baskıyı hissediyor: bir hata, bir güvenlik açığının gözden kaçması ve bunun sonucunda ortaya çıkan ihlal, onların yalnızca güvenilirliğine değil aynı zamanda işlerine de mal olabilir.
Sorumlulukta bir değişim
Bugün CISO’ların hissettiği kırılganlık duygusu, yönetim kurulu odasındaki değişen hesap verebilirlik modeliyle daha da artıyor. Siber güvenlik olayları ön sayfa haberlerini daha sık hale getirdiğinden, yönetim kurulları ve yönetim ekipleri bu konuya daha fazla dikkat ediyor. Bu artan inceleme iki ucu keskin bir kılıçtır: Bir yandan daha fazla destek ve kaynak anlamına gelebilir; diğer taraftan bu genellikle CISO’ların meşhur sıcak koltukta olduğu anlamına gelir.
Dahası, siber güvenlik hâlâ hızla gelişen bir alandır ve uzun süredir devam eden çok az sayıda en iyi uygulama bulunmaktadır. Bu, belirli bir derecede deneme yanılma getiren, sürekli adaptasyonla işaretlenmiş bir alandır. Bir hata meydana geldiğinde (özellikle ihlale yol açan bir hata), CISO’nun rolü incelenir. Tüm kuruluşun siber güvenlik konusunda bir rolü olsa da, genellikle CISO’ların sorumluluğun yükünü taşıması beklenir. Bu dinamik, pozisyondaki birçok kişi için rahatsız edicidir ve bir ihlal durumunda iş güvenliklerinden korkan CISO’ların %99’u bu noktayı açıkça göstermektedir.
İş güvenliği korkularının temel nedenlerini ele almak
Peki ne yapılabilir? Hem kuruluşlar hem de CISO’lar beklentileri yeniden ayarlamaktan ve bu yaygın iş güvenliği korkularının temel nedenlerini ele almaktan sorumludur.
Kuruluşlar için başlangıç noktası, siber güvenliği reaktif bir duruştan proaktif bir duruşa geçirmektir. Sürekli iyileştirmeye yatırım yapmakİster gelişmiş güvenlik teknolojileri, ister çalışan eğitimi, ister siber sigorta yoluyla olsun, bu çok önemlidir.
Ancak yatırım tek başına yeterli değildir. Yönetim kurulları ve yönetici ekipleri CISO’larıyla birlikte çalışmalıdır. gerçekçi beklentiler oluşturmak ve en iyi savunmaların bile ihlal edilebileceğini anlayın. Düzenli ve şeffaf iletişim, CISO’ların bir ihlal durumunda kendilerini yalnızca sorumlu hissetmemelerini ve ortak sorumluluk kültürünün kuruluşa nüfuz etmesini sağlamaya yardımcı olabilir.
CISO’lar için şunlara odaklanmak önemlidir: dayanıklılığı teşvik etmek. Bu, yalnızca savunmayı güçlendirmek değil, aynı zamanda güçlü olay müdahale yetenekleri oluşturmak, işlevler arası işbirliğini teşvik etmek ve işi etkili bir şekilde yapmak için gereken araç ve kaynakları savunmak anlamına da gelir.
Belki de en önemlisi şunları içerir: Siber güvenliği departmanlar arasında ortak bir sorumluluk haline getirmek. Tüm çalışanların katılımını sağlayan eğitim ve öğretim girişimleri, bir savunma hattı oluşturabilir ve saldırganlar için ortak bir giriş noktası olan insan hatasının etkisinin azaltılmasına yardımcı olabilir.
CISO iş güvenliğinin geleceği
İleriye giden yol zorlu ama aynı zamanda fırsatlarla da dolu. Siber güvenlik tüm sektörlerdeki kuruluşlar için en önemli öncelik olmaya devam ettikçe CISO’nun rolü daha da etkili hale gelecektir.
Güvenlik liderlerinin önemini kabul eden ve onların karşılaştıkları benzersiz baskıları kabul eden bir kültür üzerinde çalışmamız gerekiyor. CISO’ların işleriyle ilgili sürekli korku duymadan organizasyonu güvence altına almaya odaklanabilecekleri bir ortam oluşturmak, yalnızca bu rolde olanlara değil, hizmet verdikleri şirketlere de fayda sağlayacaktır.
Bugün hiç kimse ihlallerin olmadığı bir geleceği garanti edemez. Ancak gerçekçi beklentiler oluşturarak, dayanıklılığa yatırım yaparak ve ortak sorumluluk kültürünü teşvik ederek CISO’ların yükü tek başına taşımamalarını sağlayabiliriz. Siber güvenlik alanındaki bizler için bu bizim ortak misyonumuz olmalıdır: Güvenlik liderlerinin güçlendirildiği, desteklendiği ve bizi güvende tutmadaki önemli rolleri nedeniyle değer verildiği bir sektör yaratmak.