Yıllarca iş liderliği ve risk yönetimi ahlakını öğrenmeye yöneldikten sonra, baş bilgi güvenliği görevlileri (CISO’lar) yönetim kurulu masasında yerlerini ve karar alma yetkisini aldılar. Ancak yine de birçok kişi işlerinin her zamankinden daha zorlu olduğunu ve olması gerekenin bu olmadığını söylüyor.
Tam olarak %82’si Yanıt veren CISO’lar Splunk tarafından yakın zamanda yapılan bir ankete göre, doğrudan CEO’ya rapor verdiklerini söyledi; bu oran 2023’te yalnızca %47’ydi. Ayrıca %83, yönetim kurulu toplantılarına düzenli olarak katıldıklarını söyledi. Kendi açılarından CISO’lar da aynı şekilde beceri kazanmak zorunda kaldılar. iletişim becerilerini geliştirmek Ve toplantı odası dilini öğrenmek KPI’lar ve yatırım getirisi hakkında daha fazla bilgi edinmenin yanı sıra yasal Ve uyumluluk endişeler. Başka bir deyişle, kapsamı CISO’nun rolü genişletildi BT güvenliğinin çok ötesinde.
Kaynak: Splunk, CISO Raporu 2025
Bu büyük bir değişiklik; Yıllarca CISO’lar küme düştü organizasyon şemasının daha aşağılarındaişe bağlam sağlama fırsatı olmadan yetkiler almak. Onlar da oldular Büyük ihlallerin suçunu üstlenmekbiraz içeri inmek hukuki karışıklıklar. Ve bu statüko büyük bir olaya yol açıyordu tükenmişlik, ile ortalama CISO görev süresi 2020’de sadece iki ila dört yıl kaldı. 2023’e gelindiğinde, bu konuda yaygın bir fikir birliği vardı. CISO rolünün yeniden düşünülmesi gerekiyordu.
Bu nedenle, daha fazla CISO üst düzey yöneticiler arasında yer alıyor. Ve teorik olarak, üst düzey karar verme sürecinin ortasına bir CISO koymak, daha fazla siber yatırım yapılmasına yardımcı olacaktır. Ancak tahta satın almanın hala zor olduğunu düşünen pek çok kişi için bu deneyim olmadı. Aslında, CISO anketine katılanların yalnızca %29’u mevcut tehdit ortamına ayak uydurmak için gerekli bütçeye sahip olduklarını bildirdi; Buna karşılık, CISO üyesi olmayan yönetim kurulu üyelerinin %41’i siber güvenlik yatırım seviyelerinden memnun olduklarını söyledi.
Toplamda, Splunk anketine katılan CISO katılımcılarının %53’ü, masada otursalar da oturmasalar da işlerinin aslında “işi aldıklarından beri daha da zorlaştığını” söyledi.
Yönetim Kurulu Tarafından Satın Alınan CISO’lar Daha İyi Yapar
Veriler aynı zamanda net bir çözüme de işaret ediyor: Siber güvenlik geçmişine sahip üyelerin bulunduğu kurullar büyük bir fark yaratıyor. CISO deneyimine sahip yönetim kurulu üyeleri, strateji belirleme, hedef belirleme ve daha da önemlisi bütçeleme konularında siber güvenlik ekipleriyle daha iyi çalışır.
Bu sonuçlar Weave yazılım şirketinin CISO’su Jessica Sica’nın deneyimini yansıtıyor. Rolünün CEO yerine baş hukuk yetkilisine bağlı olduğunu söylese de, yönetim kurulu ve denetim ekiplerinin yanı sıra tüm C ekibiyle “düzenli olarak” buluşuyor. Ancak Sica, kendisini çıkmaza sokmak yerine, liderlikle olan ilişkisinin işini kolaylaştırdığını söylüyor. Ancak Weave’in yönetim kurulunun siber güvenlik konusunda bilgili olduğunu da ekliyor.
Sica, “Güvenlik bilincine sahip bir patronum var ve güvenlikle ilgilenen bir yönetim kurulumuz var” diyor. “Onların desteğine ve sesine sahip olmak işimi yapmamı kolaylaştırıyor.”
Ancak deneyimi azınlıkta: Anket, CISO’ların yalnızca %29’unun en az bir siber uzmanın bulunduğu bir yönetim kuruluna sahip olduğunu gösterdi.
Splunk’un CISO’su Michael Fanning’e göre ilerleme, CISO’ların siberi üst düzey görüşmelere dahil etmeye devam etmesini ve yönetim kurullarının da saflarına daha fazla siber güvenlik uzmanı ekleme ihtiyacını kabul etmesini gerektiriyor.
Fanning, yaptığı açıklamada, “Siber güvenlik iş başarısını artırmada giderek daha merkezi hale geldikçe, CISO’lar ve yönetim kurulları boşlukları kapatmak, daha iyi uyum sağlamak ve dijital dayanıklılığı artırmak için birbirlerini daha iyi anlamak için daha fazla fırsata sahip oluyor.” dedi. “Bu grupları bir araya getirmek, kurulların siber güvenliğin ayrıntıları konusunda eğitilmesini ve CISO’ların işin dilini ve ihtiyaçlarını anlamasını ve aynı zamanda güvenliği iş kolaylaştırıcı hale getirmesini gerektiriyor.”