Netskope’a göre siber tehdit ortamındaki değişimler, günümüz CISO’larının işletmelerinin risk iştahını değerlendirme biçimini değiştirdi.
CISO risk iştahı seviyeleri
Özellikle CISO’ların %92’si bu değişikliklerin CEO’ları ve üst düzey yöneticilerle gerginlik yarattığını bildirirken, %66’sı ise işletmenin istekleri ile güvenlik açısından mantıklı olan arasında “içi dolu” bir çizgide yürüdüklerini söylüyor.
CISO’nun doğası gereği riskten kaçınan olduğu yönündeki eski stereotiplerle çelişen bir şekilde, bugünün CISO’larının yalnızca %16’sı mevcut risk iştahını düşük olarak sınıflandırdı. Aslında, CISO’lar CEO’larını kendilerinden çok daha fazla riskten kaçınan olarak görüyor ve iki kat daha fazla katılımcı (%32) CEO’larının düşük risk iştahına sahip olduğunu düşünüyor.
Araştırmaya katılan CISO’ların %57’si son beş yılda risk iştahlarının arttığını söyledi. Bu, siber tehditlerin artan hacmine ve karmaşıklığına rağmen veya bundan kaynaklanıyor olabilir: %74’ü, bir siber güvenlik olayıyla ilgili ilk elden deneyimin, risk konfor düzeylerini etkilemede önemli olduğunu belirtiyor.
Verilere ve analitiklere daha iyi erişim (%76), risk iştahındaki değişimin en önemli nedeni oldu. CISO’ların %65’i artık sorumluluklarını siber riski yönetmek yerine iş dayanıklılığını artırmak olarak tanımlıyor.
Ancak katılımcı CISO’ların %23’ü, üst düzey yöneticilerin diğer üyelerinin şu anda CISO rolünün yeniliği mümkün kıldığını göremedikleri konusunda kesinlikle hemfikir.
Netskope’ta CISO olan James Robinson, “Araştırma, CISO’ların genellikle inovasyonu mümkün kılan ve aynı zamanda işletmeyi koruyan daha proaktif bir rol oynamaya aç olduğunu açıkça ortaya koyuyor. Deneyimime göre, CISO’ları C-suite genelinde daha proaktif ortaklar haline getirmenin en iyi yolu, C-suite meslektaşlarının çözmeye odaklandığı iş zorluklarını derinlemesine anlamak ve bunları güvenlik stratejileriyle uyumlu hale getirmektir; güvenlik stratejisini veya bireysel teknoloji tercihlerini C-suite risk iştahı olarak algılanan şeye dayandırmaya çalışmaktan ziyade,” dedi.
“Bu uyum, kurumsal ekipler arasında çok sık gerçekleşmez. Ancak C-suite meslektaşlarının yeni gelirler elde etmelerine, verimlilikleri artırmalarına ve düzenleyici gereklilikleri yönetmelerine yardımcı olma yollarını tanımlayabilen CISO’lar, en üst düzeylerde değerli katkıda bulunanlar olarak tanınacaktır,” diye ekledi Robinson.
CISO rolü hızla değişiyor
Ankete katılan CISO’ların %65’i, CISO rolünün hızla değiştiğine inanıyor ve yeni inovasyon ve iş etkisini yönlendirmek için yeni olanaklar yaratan modern teknolojinin benimsenmesiyle yönlendirilen bir eğilim olan daha proaktif ve ilerici hale geldiklerini bildiriyorlar.
CISO’ların yalnızca %36’sı kendilerini öncelikle organizasyonu savunmaya odaklanan bir “koruyucu” rol oynarken görüyor. Buna karşılık, CISO’ların %59’u artık kendilerini iş kolaylaştırıcı olarak görüyor; %67’si gelecekte daha da aktif bir rol oynamak istediklerini belirtiyor ve %66’sı işe daha sık “evet” diyebilmeyi diliyor.
Netskope’ta Saha CTO’su olan Steve Riley, “İş teknolojisi ve siber tehditler her zamankinden daha hızlı bir şekilde gelişirken, CISO’ların düşüncelerinde giderek daha ilerici olduklarını görmek cesaret verici. CISO’lar artık işletmenin zararına olacaksa erişimi tamamen kilitlemeye ihtiyaç duymuyor” dedi.
“Ancak bulgularımız, üst düzey yöneticilerin, CISO’ların işin koruyucusu olarak geleneksel rollerinden kurtulmalarına her zaman hazır olmadığını gösteriyor. Güvenli inovasyonu ve iş dönüşümünü gerçek anlamda mümkün kılmak için, güvenlik liderlerinin meslektaşlarını da bu yolculuğa yanlarında getirmeleri ve sıfır güven gibi popüler ifadelerin aslında güvende kalma ile işleri halletme arasında bir denge kuran stratejilere nasıl katkıda bulunduğunu anlamalarına yardımcı olmaları gerekiyor.” Riley.
Araştırma kapsamında, yönetici ekibinin stratejik bir üyesi olarak CISO rolünün evrimini incelemek amacıyla dünya çapında 1.000’den fazla CISO’ya anket uygulandı.