Kurumsal kademelerde yükselen ve baş bilgi güvenliği görevlileri (CISO’lar) haline gelen güvenlik profesyonelleri, genellikle kariyerlerinin zirvesine ulaştıklarına inanırlar. Ancak bazıları için CISO rolü tüm BT’yi denetlemenin yoludur.
Renee Guttmann-Stark’ın danışmanlığını yaptığı birçok CISO, örneğin bilgi sorumlusu (CIO) veya teknolojiden sorumlu başkan (CTO) rolüne ilerlemeyi arzuluyor. Gutmann-Stark, görev yapacak dört eski CISO arasında yer alıyor kurumsal güvenlik organizasyonuna liderlik etmenin geleceğini tartışmak Perşembe günü San Francisco’da bu haftaki RSA Konferansının kapanış oturumunda.
Oturum öncesinde yapılan bir röportajda, CISO’lar ZincirsizGutmann-Stark, hiçbir zaman CISO’nun üzerine çıkmayı amaçlamadığını kabul ederek, CISO’yu tercih ettiğini belirtti. siber güvenliğe odaklanmak. “Bu çok heyecan verici” diyor. “Gerçekten başka bir şey yapmayı keşfetme ihtiyacını hissetmedim.”
Ancak Guttmann-Stark daha fazlasını gördüğünü söylüyor CISO’lar CTO rollerini üstleniyorEquifax’tan Jamil Farschi gibi. Altı yıl boyunca Equifax’ın CISO’su olarak görev yaptıktan sonra Farschi, geçen ay CTO’luğa terfi etti. Farschi, “İş dünyasında yeni bir trend var: CISO’lar teknolojiye doğru genişliyor.” LinkedIn’de duyuruldu.
Farschi, First Third Bank’tan Brian Minick ve Bank of America’dan Craig Froelich gibi aynı zamanda CTO olan diğer CISO’lara dikkat çekti. CISO gibi CTO’ların da işin tamamıyla ilgilendiklerini, riski yönettiklerini ve teknik ekiplere liderlik edebildiklerini belirtti.
CISO’nun Geleceği?
Şu anda danışmanlık firması CisoHive’ın müdürü olan Guttmann-Stark, bazı CISO’ların sıralamalarda yükselmesine rağmen çoğunun zorluklarla karşı karşıya olduğunu söylüyor. Guttmann-Stark, CisoHive’ı başlatmadan önce Royal Caribbean, Time Warner ve Coca-Cola gibi şirketlerde çeşitli CISO görevlerinde bulundu.
Bu zorluklar arasında devam eden iş pozisyonlarızorluklar sorumluluk sigortası almakve tüm temel araçları tek bir satıcıdan satın almanın zorluğu. İnsanlar ayrıca CISO rolünün nasıl gelişeceğini ve saldırı yağmuruyla nasıl başa çıkılacağını bilmek istiyor.
Guttmann-Stark, siber güvenlik alanında geçirdiği 30 yıl boyunca, çok sayıda rutin olay olmasına rağmen hiçbir zaman manşetlere konu olacak büyük bir saldırı veya ihlal yaşamadığını söylüyor.
“Gerçek şu ki her zaman bir şeyler oluyor veya bir olay oluyor” diyor. “Ve insanlara işimin çöp kutusunda yangın olup olmadığını görmek ve binayı yakıp kül etmeyeceğinden emin olmak olduğunu söylerdim.”
Guttmann-Stark’ın hatırlayabildiği en dikkate değer olay, kendisinin Coca-Cola’nın CISO’su olduğu ve tamamı kendisine ait olmayan bir bölümün hizmet masası çalışanının, tamamen şifrelenmemiş veriler içeren bir dizüstü bilgisayarı eve götürdüğü sırada meydana geldi. Şirket, Noel tatili sırasında kuruluşunun tüm dizüstü bilgisayarları kontrol etmesini sağlamak zorunda kaldı.
“Şirket dışında tartışılması gerekebilecek ilgi çekici bir konu olup olmadığını görmek için bu dizüstü bilgisayarları inceleyerek neredeyse gece gündüz çalıştık” diye anımsıyor.
Yapay zekanın etkisi
Bugün CISO’lar için en önemli fırsat, yapay zeka (AI) kullanarak görevleri otomatikleştiren teknolojinin dağıtımına ve yönetimine liderlik etmek olabilir.
“Sanırım bir şey var AI’ya pek çok değerGuttmann-Stark, “özellikle insanın aklını uyuşturacak kadar sıkıcı olan veya tekrarlanabilir görevleri herhangi bir kişinin yapabileceğinden çok daha hızlı yapabileceği şeyler üzerinde çalışmasını sağlamak” diyor.
Yakın zamanda beş CIO’nun yapay zekanın önemini tartıştığı bir panele katıldığını belirtiyor. “Temel olarak, satıcı kendi çözümlerinde yapay zekayı kullanmayı düşünmediği sürece bir satıcıyla konuşmaktan bile keyif almayacaklarını söylediler” diyor.
Benzer şekilde, mentorluk yaptığı CISO’lar da yapay zeka konusunda nerede daha fazla yeterlilik kazanabileceklerini soruyor. Guttmann-Stark, Ulusal Kurumsal Direktörler Birliği tarafından sunulan iki günlük siber risk derslerini aldığını söylüyor.
Özellikle yeni koşullar göz önüne alındığında, CISO’ların yönetim kurullarının bildiklerinin farkında olması gerektiğini söylüyor. SEC veri ihlali raporlama kuralları.