YORUM
Bilgi güvenliği sorumlusunun (CISO) bugünkü rolü şu şekildedir: CISO’nun geçmişteki rolü değil. Sürekli gelişen tehdit ortamı, yeni teknolojilerin benimsenmesi üretken yapay zeka (GenAI), artan düzenleme temposu, devam eden çalışan eğitim ve öğretim programları ve operasyonel esnekliğin sürdürülmesi, CISO’ları artan baskı ve stres altında buldu. Bunun üzerine, CISO’ların %49’u Şimdi kendi kurullarına rapor vermek en azından haftada bir, onlara uzmanlaşmaları gereken yeni bir beceriyi sunmak: iletişim sanatı.
Geçmişte yönetim kurulu desteği ancak bir siber saldırı sonrasında arttı ve CISO’ları proaktif olmaktan ziyade reaktif bir rol üstlendi. Ancak günümüzde ihlallerin, ürün arızalarının ve medya tarafından güçlendirilen yasal sonuçların görünürlüğünün artmasıyla birlikte, her kuruluştaki siber güvenlik uygulamalarına ilişkin bir mikroskop var. Yönetim kurulları artık kuruluşlarının güvenlik durumunu ve en üst düzeyde alınan güvenlik kararlarını anlamakla ilgileniyor. Bu artan arzu gerektirir yönetim kuruluyla genişletilmiş katılımBu aynı zamanda CISO’nun şirket içindeki konumunu ve görünürlüğünü de artırdı.
Günümüzün CISO’ları, siber güvenlik risk yönetimi, değerlendirme ve azaltma planları, üst düzey stratejik genel bakışlar, planlama ve uyum ile mevzuata uygunluk ve denetim sonuçlarını kapsayan konularda yönetim kuruluna rapor vermektedir. Bu bilgi, yönetim kurullarının kuruluşun genel hazırlık durumunu ve en son düzenleyici rehberlik ve tehditlere ilişkin durumunu, ayrıca geleceğe yönelik planlamayı ve genel iş stratejisiyle uyumunu anlamalarına yardımcı olur.
CISO’lar yönetim kurulu katılımının siber güvenlik stratejilerinde olumlu değişiklikler sağlamaya yardımcı olduğu konusunda hemfikir olsa da iletişim ve bilgi engelleri hâlâ mevcut. İş dilini konuşmak, birçok CISO’nun yönetim kurullarıyla uyum sağlamak ve programları için ek bütçe ve kaynak sağlamayı başarmak için hâlâ geliştirmesi gereken bir beceridir.
İşte CISO’ların yönetim kurullarına rapor verirken akılda tutmaları gereken birkaç ipucu ve benim başarılı bulduğum ipuçları:
1. Hazırlık Önemlidir
Bu toplantılara yüksek derecede hazırlık ve anlayışla, rakamlar konusunda net bir şekilde girin. Üst düzey yöneticilerinizle önceden işbirliği yapın ve belirli stratejiler üzerinde uyum sağlayın; bu, girişimlerinizi inovasyonun yanında konumlandırmanıza yardımcı olacaktır.
2. Bir Müttefik Bulun
Önceden yönetim kurulunda anlayışlı bir kulak bulmaya çalışın; bu kişiye eğilmek ve siber güvenliği biraz daha iyi anlamak isteyen biri. Doğru düzeyde içerik sunduğunuzdan emin olmak için sunumunuzu önceden onlara göre yapın.
3. Daha Az Daha Fazladır
Deste üst düzey bir genel bakışla başlamalıdır. Söylemek istediğiniz daha çok şey olduğunu anlayın, ancak yönetim kurulunun alacağı çok şey var. Daha az önemli olan şeyleri özetleyin, böylece onların dikkatini gerçekten önemli olan öğelere çekebilirsiniz. Gerekli olmayan tüm öğeleri eke yapıştırın.
4. Konudan Ayrılmayın
Sunumunuzu yapmadan önce her kurul üyesine sunumunuzun kopyalarını dağıtın ve slaytlarınızı okumaktan kaçının. Slaytlar sonuçta odada gerçekleşen tartışmanın bir eki haline gelir; ancak en önemli konuları ele almaya yeterli zaman olduğundan emin olmak için her tartışmayı kısa ve öz bir şekilde ilerletmeniz önemlidir.
5. Siber Güvenlik Hedeflerinizi İş Hedefleriyle Uyumlu Hale Getirin
Girişimlerinizi iş hedefleriyle uyumlu hale getirin ve bunları iş değeri açısından çerçeveleyin; büyümeyi sağlayın, marka itibarını koruyun ve mali kayıpları önleyin. Hepsi olmasa da yönetim kurulu üyelerinin çoğu sizin siber güvenlik uzmanlığınıza veya teknik geçmişinize sahip değil ve teknoloji jargonunu anlamayacaklar. Mesajlarınızı yükseltin ve temel iş hedefleriyle uyumlu hale getirin. Bu, departmanı yönetmek için neye ihtiyacınız olduğu ile ilgili değil; işi yürütmek için neye ihtiyaç duyduklarıyla ilgili.
6. Risk Açısından İletişim Kurun
İş hedeflerine uyum sağlamak ve riskleri finansal açıdan iletmek, bilgi açığını kapatmanıza ve sizi masada değerli bir koltuk olarak konumlandırmanıza yardımcı olacaktır. İnsanlar sayıları anlıyor; etkisi olanlara odaklanın. Programınız bir yatırımdır; peki sonuçları nelerdir? Daha fazla veya daha az yatırıma ihtiyaç duyan alanlar var mı?
7. Sektör İçgörülerini Dahil Edin
Sektörünüzdeki başka bir şirkette şu anda veya yakın zamanda meydana gelen bir olaya ve bunun sizin için ne anlama gelebileceğine dair bilgiler ekleyin. Aynı şey sizin başınıza gelse, etkisi önemli olur mu? Cevabını bulmanız gereken soru bu. İş ve operasyonel dayanıklılığın yanı sıra kriz iletişimine hazırlıklı olmaya odaklanın.
Yönetim kurulu raporlama sıklığının artmasıyla birlikte CISO’ların etkileşimlerinin kısa, üretken ve değerli olmasını sağlamaları gerekiyor. Bu genişletilmiş rolde başarılı olacak CISO’lar, daha iş odaklı bir bakış açısı benimseyecek ve hikaye anlatma sanatında ustalaşacak şekilde teknik zekanın ötesine geçebilen kişilerdir.