Trellix’e göre CISO’ların %84’ü, güvenliği ve organizasyonel esnekliği en üst düzeye çıkarmak için rolün biri teknik diğeri iş odaklı olmak üzere iki fonksiyona bölünmesi gerektiğine inanıyor.
Düzenleyici talepler CISO’lar için giderek artan bir zorluk teşkil ediyor
Araştırma, dünya çapında 500’den fazla CISO’nun siber güvenlik düzenlemeleri, CISO rolü ve bunların kuruluşlarının yönetim kuruluna rapor verirken etkileşimleri ve karşılaştıkları zorluklar hakkındaki görüşlerini ortaya koyuyor.
Trellix’in CISO’su Harold Rivas, “CISO dualite çağına girdik” dedi. “CISO’ların hem teknik hem de iş odaklı bir merceğe ihtiyacı var ve bizim de stratejik iletişimciler olmamız gerekiyor. Rol artık yalnızca siber hijyeni korumakla ilgili değil. Riski yönetmek, düzenlemelerin ve uyumluluğun zirvesinde ve ilerisinde olmak, liderlik ve yönetim kuruluyla uyum sağlamak ve bir yandan da gelişmiş tehditlere karşı savunma yapmaktır. CISO’lar kilit paydaşlar, iş hedefleri ve siber dayanıklılık arasındaki köprüdür.”
Siber güvenlik duruşunu proaktif bir şekilde sürdürmek, fidye yazılımlarının önlenmesine ve hafifletilmesine öncelik vermek, devlet destekli saldırılara karşı savunma yapmak ve küresel BT olaylarına yanıt vermek, bu yıl CISO’lar için en önemli öncelikler arasında yer alıyor. Bunun da ötesinde, CISO’ların sınırlı kaynaklarla karmaşık düzenleyici gereklilikleri ve artan paydaş ilgi ve beklentilerini de yönetmesi gerekiyor. Artan bu sorumlulukların etkisi herkes tarafından hissediliyor.
CISO’ların %93’ü, siber güvenlik düzenlemelerinin bir CISO olarak kariyerlerine yardımcı olduğunu kabul ediyor (örneğin, stratejik kararlarda daha fazla etkiye sahip olmak veya yönetim kurulu düzeyindeki tartışmalara katılmak gibi), ancak %79’u, düzenleyici değişime ayak uydurmak için gereken zaman ve çabanın sürdürülebilir olmadığına inanıyor .
CISO’lar raporlama becerilerini geliştirmeli
Yönetim kuruluna raporlama yapmak CISO’ların geliştirmesi gereken bir beceridir; %49’u yönetim kuruluna haftalık (veya daha sık) olarak rapor vermekte ve bu da aşırı iş yüklerini artırmaktadır. Birçoğu hala yönetim kurulu ve C düzeyindeki anlayış ve uyum konusunda zorluk yaşıyor; %66’sı yönetim kurulunun siber güvenlik sorunlarını tam olarak kavrayacak teknik bilgi veya uzmanlığa sahip olmadığını söylüyor ve CISO’ların %59’u görüşlerinin CIO veya CEO’larıyla uyuşmadığını söylüyor.
Sonuç olarak, CISO’ların %91’i bu genişleyen sorumlulukların rolde daha yüksek ciroya yol açacağını kabul ediyor ve %49’u bir CISO olarak gelecek görmüyor. Artan bu sorumlulukları daha iyi yönetmek için CISO’ların %84’ü, rolün teknik (CISO) ve iş odaklı (BISO) rollere bölünmesi gerektiğine inanıyor.
Bu rolün geleceğini güvence altına almak için CISO’ların düzenleyicilerden, kuruluşlarından ve meslektaşlarından ek desteğe ihtiyacı var. CISO’ların %87’si siber güvenlik düzenlemelerini meslektaşlarıyla tartışmanın kendi araştırmalarını yapmaktan daha değerli olduğu konusunda hemfikir.
Trellix CISO Konseyi üyesi Vantage West Credit Union Başkan Yardımcısı ve Bilgi Güvenliği Sorumlusu Jim Jenkins, “CISO’lar için başarının bir unsuru güçlü bir işbirlikçi topluluktur” dedi. “Kaynakların ve desteğin yetersiz olduğu durumlarda bu zorlu bir rol. Meslektaşlardan öğrenmek ve bilgileri geniş anlamda paylaşmak, CISO’ların daha verimli olmasını ve çabalarını stratejik girişimlere yeniden odaklamasını sağlıyor.”
Liderlik ve düzenleyicilerin yanı sıra işbirlikçi bir akran topluluğunun açık rehberliği ve desteği ile rol sorumlulukları ve beklentiler konusunda netlik, CISO rolünün gelecekteki başarısını sağlamak için hayati öneme sahiptir.