CISO’nun rolü, dijital varlıkları korumaya, veri bütünlüğünü korumaya ve siber tehditleri azaltmaya yönelik birçok sorumluluğu kapsayan kritik bir konuma evrildi. Özünde, CISO’nun rolü, teknik uzmanlık, stratejik zeka ve liderlik becerileri dengesi gerektiren karmaşık ve sürekli gelişen bir roldür.
Bu Help Net Security röportajında, Uptycs CISO’su Kevin Paige, teknik uzmanlık, etkili iletişim, risk yönetimi ve uyarlanabilir liderlik arasında bir denge kurarak karmaşık siber güvenlik ortamında nasıl gezindiğine dair içgörüler sunuyor.
Bir CISO olarak, karmaşık sorunları paydaşlara basit terimlerle iletme ihtiyacı ile teknik becerinizi korumayı nasıl dengelersiniz?
Her zaman şöyle düşünmüşümdür: “Nasıl çalıştığını anlamazsanız, bir şeyi nasıl güvence altına alacağınızı asla anlayamayacaksınız.” Bu düşünce süreci beni yeni teknoloji trendlerini okumaya ve bunlar hakkında eğitmeye, etrafımı diğer güvenlik teknologlarıyla çevrelemeye ve ekiplerimle derinlere inerek teknolojiye bağlı kalmaya itti.
Bir CISO olarak, karmaşık sorunları açıklamanın en iyi yolunun basit metaforlar kullanmak olduğunu öğrendim. Güçlü teknik arka plan, bana kavramları ve konuları insanların sindirebileceği daha kolay şekillerde açıklama yeteneği sağladı.
Her zaman mevcut olan bir siber kriz riskine rağmen, birçok işletme cesurca ilerliyor ve daha fazla riske maruz kalıyor. Böyle bir bağlamda kuruluş genelinde siber dayanıklılık çabalarını nasıl yönetir ve entegre edersiniz?
İyi risk vardır ve kötü risk vardır… ve tıpkı kolesterolünüz gibi onu da dengede tutmanız gerekir. İyi bir risk örneği, yeni pazarlara giren veya yeni yenilikçi teknoloji üzerinde çalışan bir işletmedir. İşletmenizin bu yeni pazara bir planla girmesini sağlamamak veya yeni, yenilikçi bir teknolojinin temel güvenlik hijyenini kapsamlı bir şekilde test etmemek ve sağlamamak, kötü riske bir örnektir.
İşletmeler hızlı hareket etmek istedikleri için bu dünyaları dengede tutmak çok zor bir iştir, ancak yönsüz hızlı hareket etmek işletmeye istediği hızı vermez ve güveni yok eder. Bu güven dengesini korumak, kuruluş genelinde iyi ilişkiler ve sürekli iletişim gerektirir.
Dijital girişimler ve dijital dönüşümün hızla benimsenmesi, bir CISO olarak rolünüzü nasıl etkiledi? Şirket ve müşteri verilerinin güvenliğini sağlamadaki ilgili zorluk artışını nasıl yönetiyorsunuz?
İşleri daha otomatik, belgelenmiş veya daha iyi anlaşılır hale getirmek için dahili dijital dönüşüm girişimlerinin birçoğunun verimliliğe odaklandığını gördüm. Bu, riski azaltmaya ve kurumun verimliliğini artırmaya yardımcı olur. Bununla birlikte, işlerin zorlaştığı nokta, bu dijital dönüşümlerin mevcut yetenekler bağlamında nasıl çalıştığını kimsenin anlamadığı bulut veya SaaS hizmetlerini içermesidir.
Sektör, teknoloji satıcıları ve siber güvenlik şirketleriyle yakın işbirliği içinde çalışarak, artan zorluktaki açığı toplu olarak kapatmaya başlayabilir. Ancak gerçek şu ki, teknoloji ürünleri güvenlik ön planda tutularak üretiliyor. Sadece CISO’nun değil, teknoloji liderliği ekiplerinin de bundan emin olduğu bir yere gitmemiz gerekiyor.
Kurumsal dayanıklılığı test eden sürekli dış olaylar karşısında, zorluklara rağmen ayak uydurmak için hangi stratejileri kullanıyorsunuz?
Bugünün dünyasında liderler olarak, 4 temel ilkeye odaklanan liderlik, planlama ve operasyonel tarzlara sahip olmalıyız. Bu ilkeler şunlardır:
- İletişim: Herkesin mevcut durumu anlaması için sürekli olarak iletişim akışını sağlamamız gerekiyor.
- Çeviklik: Bu, ne yapılması gerektiğini bilmek için yapıya sahip olma yeteneğidir ve mevcut duruma göre gerektiğinde geçiş yapmak çok önemlidir.
- sürekli öğrenme: Hatalar yapacağız ve bazı büyük galibiyetler de alacağız. İyi ya da kötü her deneyimden ders almak önemlidir.
- Uyarlanabilirlik: Genellikle hayattaki tek değişmeyen şeyin değişim olduğu söylenir, ancak çoğu kuruluş değişimi kötü idare eder. Yol haritası ve liderlik tarzı gibi planlamanıza uyarlanabilirlik eklemek, diğerlerinin değişimle başa çıkmasına yardımcı olur, böylece bu bir kırbaç gibi hissetmez.
Karmaşık siber düzenlemeleri kurula açıklaması gereken yeni atanmış bir CISO’ya ne tavsiye edersiniz? Bu ayrıntıları özlü ve etkili bir şekilde iletmek için hangi stratejileri kullanıyorsunuz?
Yönetim kurulu üyelerinizi araştırmalarını söylerdim. Geçmişlerine ve çalıştıkları sektörlere bir bakın. Teknoloji şirketlerinin CFO’ları mı? Finans şirketlerinin CEO’ları? Bu bilgileri, açıklamanızı sektörler genelindeki veya önemli haber olaylarına özgü benzer düzenlemelerin karşılaştırmalarıyla uyarlamak için kullanın. Bu, kurulun ödevinizi yaptığınızı bilmesini ve eldeki sorunları gerçekten anlamasını sağlar.