Halen Yeni Yıl için bazı profesyonel hedefler belirlemeyi veya önceden derledikleri bir listeyi genişletmeyi amaçlayan bilgi güvenliği yöneticileri (CISO’lar) için, kuruluşunuzun hukuk birimiyle olan ilişkiyi güçlendirmeyi düşünün.
Şirket avukatlarıyla köprüler kurmak için zaten çok fazla zaman harcamış olabilirsiniz. Sonuçta, yönetici işe alım şirketi Heidrick & Struggles’ın dünya çapında 400’den fazla CISO ile yaptığı bir anket olan 2024 Küresel CISO Organizasyonu ve Ücretlendirme Anketi’ne göre, bu artık modern CISO rolünün önemli bir yönü haline geldi.
En çok hangi fonksiyonlarda çalışarak ve danışmanlık yaparak vakit geçirdikleri sorulduğunda, katılımcılar tarafından verilen ilk iki yanıt arasında diğer BT profesyonelleri yer aldı; ağ, bulut ve mühendislik grupları ilk sırada yer alırken, yazılım geliştirme ve ürün geliştirme/mühendislik ikinci sırada yer aldı. Üçüncü sırada ise hukuk, uyumluluk ve risk yer alıyor; finans, İK veya yönetim kurulunun çok önünde yer alıyor.
2025 yılında siber güvenlik ve hukuk ekipleri arasındaki bağlantıların her zamankinden daha yakın olması gerekiyor çünkü dünya çapında BT güvenlik fonksiyonu ve onu yöneten kişiler giderek daha fazla yeni düzenlemelerin ve keskin hükümet incelemelerinin hedefi haline geliyor.
Yasal zorluklar
Düzenleyici değişiklikler ve belirsizlik, siber profesyoneller üzerinde büyük bir stres yaratıyor. Kuralların açık olduğu durumlarda bile hacim artıyor ve uyumun yükü daha da ağırlaşıyor. Uluslararası bazda faaliyet gösteren herhangi bir şirket, birbiriyle çelişebilecek veya en azından açıkça uyum sağlamayan gereklilikler içerebilecek çok çeşitli ülkeye özgü düzenlemelerle karşı karşıyadır.
AB’de şirketler AB Yapay Zeka Yasası, NIS2 ve Dijital Operasyonel Dayanıklılık Yasası (DORA) ile karşı karşıyadır. ABD’de yeni gelen yönetim, mevcut düzenlemelerde de önemli değişiklikler önerebilir. Müşterilerin, tedarikçilerin ve ortakların kişisel bilgilerinin nasıl saklandığı ve yönetildiği konusunda her kuruluş halihazırda katı PII zorunluluklarıyla karşı karşıyadır.
Tüm bunlar, BT güvenlik ekiplerinin organizasyonlarında düzenlemeleri en iyi şekilde nasıl uygulayacaklarını bulmalarını gerçek bir mücadeleye dönüştürüyor. Hukuk departmanındaki meslektaşları, bu mayın tarlasında ilerlemelerine yardımcı olacak en iyi müttefikleri olacak.
Avukatlar, bir CISO’nun ve ekibinin, kuralların kendi kuruluşlarına nasıl ve nerede uygulanacağı ve nerede uygulanmayacağı konusunda daha güçlü ve daha derin bir anlayış geliştirmelerine yardımcı olabilir. Bir düzenlemenin kapsamı oldukça incelikli bir konu olabilir ve onu etkili ve doğru bir şekilde analiz etmek için genellikle hukuki uzmanlığa ihtiyaç duyulur.
Bir diğer önemli görev ve farklı düzenlemeler arasındaki potansiyel çatışmanın başka bir alanı da iletişim ve raporlama gerekliliklerinin belirlenmesi ve raporlanması gereken farklı programların ve bilgi türlerinin belirlenmesidir. Burada BT güvenliği ve hukuk fonksiyonlarının etkili prosedürler üzerinde çalışması ve bunların uygun personele açık bir şekilde iletilmesini sağlaması gerekir.
Karşılıklı faydalar
Ancak bu tek yönlü bir yol değil. Hukuki fonksiyon, siber güvenlik danışmanı olarak önemli bir role sahip olabilir, ancak CISO yalnızca sunulan bilgilerin pasif bir tüketicisi değildir. Düzenlemeler genellikle iyi niyetli olsa da bazen ifadeler veya önerilen uygulama olması gerektiği kadar etkili olmayabilir. CISO, boşlukları ve çelişkileri tespit edebilmeli ve bunlarla en iyi nasıl başa çıkılacağı konusunda hukuk ekiplerine danışabilmelidir.
Siber güvenlik ve hukuk ekipleri birlikte çalışarak en iyi uygulamaları tanımlayabilir ve uygulayabilir; örneğin, en yaygın olarak finansal hizmetler sektöründe görülen ‘üç savunma hattı’ modelini benimseyebilirler.
Bu modelde Birinci Seviye savunma, günlük işleri yapan ön saflardaki çalışanlar tarafından sağlanır. İkinci Seviye, bu ekiplerden sorumlu yöneticiler tarafından sağlanır ve onların çalışmalarını önceden tanımlanmış standartları karşıladığından emin olmak için izler. Son olarak, Üçüncü Seviye savunma, ‘izleyicileri izlemekten’ sorumlu olan iç ve dış denetçiler tarafından sağlanır. Kaynakları bu üç savunma hattına yönlendirerek, herhangi bir endüstri sektöründeki kuruluşlar yeni görünürlük ve hesap verebilirlik düzeylerine ulaşabilirler.
CISO’nun yasal meslektaşlarına büyük yardım sağlayabileceği bir diğer alan ise teknolojik anlayıştır. Teknolojinin, düzenlemelerin yazılması, bunların kabul edilmesi ve uygulanması için gereken süreden çok daha hızlı geliştiği bir sır değil. Sonuç olarak, yeni teknolojilerle nasıl başa çıkılacağını bilmeyen düzenlemelerin yürürlüğe konduğunu görmek alışılmadık bir durum değil. Bu kesinlikle bulut teknolojisi için geçerliydi ve yapay zeka (AI) yaklaşımları için de durum giderek artıyor. Burada bir CISO’nun, kuruluşunun baş hukuk müşavirine tavsiye olarak sunabileceği çok şey var.
Bu son derece değerli bir ilişki olabilir. Sonuçta CISO ve baş hukuk müşaviri pek çok ortak noktaya sahiptir. Her ikisi de, amacı kuruluşlarını tehditlerden korumak olan çok önemli ve karmaşık bir işlevi yerine getiriyor. Her ikisi de politikalar, prosedürler ve çalışanların eğitimi yoluyla dayanıklılık oluşturma konusuyla derinden ilgileniyor. Ve her ikisinin de organizasyonlarına yönelik yeni riskleri hafifletmeye gelince önceden plan yapması gerekiyor. Her şeyden önce, her ikisi de iyi kurumsal yönetim ve sorunsuz işleyen operasyonlar için çok önemlidir.
2025 yılında CISO’lara tavsiyem bu sağlam temeller üzerine inşa etmeye devam etmeleridir.