Splunk’a göre CISO’nun üst düzey yöneticilere yükselişi, yönetim kurulu odasıyla daha fazla etkileşim, CEO ile bir izleyici kitlesi ve iş için stratejik kararlar alma gücüyle birlikte geliyor.
CISO’lar üst düzey yöneticilere rapor verir (Kaynak: Splunk)
Ankete katılan CISO’ların %82’si artık doğrudan CEO’ya rapor veriyor; bu oran 2023’teki %47’ye kıyasla önemli bir artış. Ayrıca, CISO’ların %83’ü yönetim kurulu toplantılarına biraz sık veya çoğu zaman katılıyor. %60’ı siber güvenlik geçmişine sahip yönetim kurulu üyelerinin güvenlik kararlarını daha fazla etkilediğini kabul ederken, CISO’ların yalnızca %29’u yönetim kurullarında siber güvenlik uzmanlığına sahip en az bir üyenin bulunduğunu söylüyor.
Splunk’un CISO’su Michael Fanning şunları söyledi: “Siber güvenlik iş başarısını artırmada giderek daha merkezi hale geldikçe, CISO’lar ve yönetim kurulları boşlukları kapatmak, daha fazla uyum sağlamak ve dijital dayanıklılığı artırmak için birbirlerini daha iyi anlamak için daha fazla fırsata sahip oluyor.”
“CISO’lar için bu, işi BT ortamlarının ötesinde anlamak ve güvenlik girişimlerinin yatırım getirisini yönetim kurullarına aktarmanın yeni yollarını bulmak anlamına geliyor. Yönetim kurulu üyeleri için bu, önce güvenlik kültürüne bağlı kalmak ve kurumsal risk ve yönetişimi etkileyen kararlarda birincil paydaş olarak CISO’ya danışmak anlamına gelir. Bu grupları bir araya getirmek, kurulların siber güvenliğin ayrıntıları konusunda eğitilmesini ve CISO’ların işin dilini ve ihtiyaçlarını anlamasını ve aynı zamanda güvenliği iş kolaylaştırıcı hale getirmesini gerektiriyor” diye ekledi Fanning.
Shefali Mookencherry, “Bir yüksek öğretim kurumunda siber güvenlik ve gizlilik programlarını yönetmek ve yönetmek, güvenliğin kuruluşun tüm yönlerine entegre edilmesini sağlamak için yönetim kurulu üyelerinden gizlilik liderlerine, personele, öğretim üyelerine ve öğrencilere kadar herkesle güçlü bir işbirliği ve iletişim gerektirir” dedi. CISO, Illinois Üniversitesi Chicago.
“CISO’nun rolü kuruluşlar için daha karmaşık ve kritik hale geldikçe, CISO’ların güvenlik ihtiyaçlarını iş hedefleri ve kültürle dengeleyebilmesi ve güvenlik yatırımlarının değerini ifade edebilmesi gerekiyor. CISO’lar, çeşitli departmanlar ve paydaşlar arasında güçlü ilişkiler kurarak siber güvenlik ve gizlilik programlarını ilerletmek için rehberlik ve liderlik sağlayabilirler” diye ekledi Mookencherry.
CISO deneyimine sahip kurulların güvenlik ekibiyle ilişkileri daha güçlüdür
CISO geçmişine sahip yönetim kurulu üyeleri, güvenlik ekipleriyle daha güçlü ilişkiler kurduğunu ve kuruluşun güvenlik duruşu konusunda kendilerini daha güvende hissettiklerini bildiriyor. Kuruluşu korumak için yeterince çaba göstermedikleri konusunda endişelerini diğer yönetim kurulu üyelerine göre daha az dile getiriyorlar (%37’ye karşılık %62 anket ortalaması). Kurul katılımcıları, CISO’lar ve yönetim kurulu arasında aşağıdaki alanlarda mükemmel veya çok iyi çalışma ilişkileri olduğunu bildirdi:
- Stratejik siber güvenlik hedeflerinin belirlenmesi ve uyumlaştırılması (CISO üyesi olan kurullar için %80, CISO üyesi olmayan kurullar için %27)
-
Kilometre taşlarına, güvenlik hedefine ulaşılmasına ve kayıt planına ilişkin ilerlemenin iletilmesi (CISO üyesi olan kurullar için %60, CISO üyesi olmayan kurullar için %16)
- Hedeflere ulaşmak için yeterli bütçenin oluşturulması (CISO üyesi olan kurullar için %50, CISO üyesi olmayan kurullar için %24)
Yönetim kuruluyla sağlıklı ilişkileri olan CISO’lar aynı zamanda kuruluş genelinde daha iyi işbirliğine sahip olma eğilimindedir; BT operasyonları (diğer CISO’larda %82’ye karşı %69) ve mühendislik (diğer CISO’larda %74’e karşı %63) ile özellikle güçlü ortaklıklar olduğunu bildirmektedir.
Yönetim kuruluyla iyi ilişkilere sahip CISO’lara, tehdit tespit kuralları oluşturma (diğer CISO’ların %43’üne karşı %31’i), veri kaynaklarını analiz etme (diğerlerinin %45’ine karşılık %28’i) gibi üretken yapay zekaya yönelik kullanım örneklerini takip etme becerisinin verilmesi daha muhtemeldir. CISO’lar), olaylara müdahale ve adli soruşturmalar (diğer CISO’larda %42’ye karşılık %29) ve proaktif tehdit avcılığı (diğer CISO’larda %46’ya karşılık %28).
CISO yönetim kurulu arasındaki uçurumu kapatmak
CISO’lar ve kurullar güvenlik öncelikleri konusunda daha yakın bir uyum içinde olduklarını belirtirken, boşluklar hâlâ devam ediyor. CISO’lar ve yönetim kurulları arasındaki en önemli öncelikler arasındaki en büyük boşluklar şunları içerir:
- Gelişen teknolojilerle yenilik yapmak (CISO’ların %52’si bunu bir öncelik olarak görüyor, buna karşılık yönetim kurulu üyelerinin %33’ü)
- Güvenlik çalışanlarına beceri kazandırma veya yeniden beceri kazandırma (CISO’lar için %51, kurullar için %27)
- Gelir artırma girişimlerine katkıda bulunmak (CISO’lar için %36, yönetim kurulları için %24)
Yönetim kurullarının, CISO’ların daha iyi iş liderleri olmak için yeni beceriler geliştirmesi konusunda yüksek beklentileri var. Ancak yeni beceriler öğrenmek CISO’nun işini daha karmaşık hale getiriyor; %53’ü işi kabul ettiklerinden beri sorumluluklarının ve iş beklentilerinin daha zor hale geldiğini söylüyor. CISO’ların hangi becerileri geliştirmesi gerektiği sorulduğunda, önem açısından en büyük boşluklar şunlardır:
- İş zekası (yönetim kurulları için %55, CISO’lar için %40)
- Duygusal zeka (yönetim kurulları için %45, CISO’lar için %35)
- İletişim (Yönetim kurulları için %52, CISO’lar için %47)
- Mevzuat ve uyumluluk bilgisi (yönetim kurulları için %44, CISO’lar için %57)
Yönetim kurulları ve CISO’lar temel siber güvenlik KPI’ları konusunda hemfikir olsa da CISO’ların %79’u güvenlik ekiplerine yönelik KPI’ların son yıllarda önemli ölçüde değiştiğini söylüyor. CISO’ların %46’sı güvenlik kilometre taşlarına ulaşmanın başarılarının göstergesi olduğunu söylerken yönetim kurulu katılımcılarının yalnızca %19’u.
Uyumluluğun sürdürülmesi iş açısından kritik öneme sahiptir
Düzenleyici ortamlar daha karmaşık, kapsamlı ve cezalandırıcı hale geldi; olayların daha hızlı raporlanmasını gerektirdi ve doğrudan CISO’ların omuzlarına daha fazla sorumluluk yükledi. Uyumluluğu sürdürmek iş için hayati öneme sahip olsa da, CISO’ların yalnızca %15’i uyumluluk durumunu en üst performans ölçütü olarak değerlendirdi; bu, kurulların %45’iyle karşılaştırıldığında önemli bir kopukluk.
CISO’ların %21’i, bir uyumluluk sorununu bildirmemeleri konusunda baskı gördüklerini açıkladı; ancak %59’u, kuruluşlarının uyumluluk gerekliliklerini göz ardı etmesi durumunda ihbarcı olacaklarını söyledi.
Siber bütçeler tutarsız destek ve yanlış hizalamayı yansıtıyor; CISO’ların %29’u siber güvenlik girişimleri ve güvenlik hedeflerine ulaşmak için uygun bütçeyi aldıklarını söylerken, yönetim kurulu üyelerinin %41’i siber güvenlik bütçelerinin yeterli olduğunu düşünüyor.
CISO’ların %64’ü mevcut tehdit ve düzenleyici ortamın, kendilerini yeterince çaba göstermedikleri konusunda endişeye sevk ettiğini ortaya koyuyor. CISO’ların %18’i son 12 aydaki bütçe kesintileri nedeniyle bir iş girişimini destekleyemediklerini açıkladı ve %64’ü destek eksikliğinin bir siber saldırıya yol açtığını söyledi.
CISO’lar ayrıca güvenlik çözümlerinin ve araçlarının azaltılmasını (%50), güvenlik işe alımlarının dondurulmasını (%40) ve güvenlik eğitiminin azaltılmasını veya ortadan kaldırılmasını (%36) en önemli maliyet tasarrufu önlemleri olarak bildirdi. CISO’ların %94’ü yıkıcı bir siber saldırının kurbanı olduklarını bildiriyor; %55’i bu saldırıları en az birkaç kez, %27’si ise birçok kez deneyimliyor.