BSS’e göre CISO’ların %70’inden fazlası bilgi güvenliğinin öneminin üst düzey liderlik tarafından tanınmadığını düşünüyor.
CISO’lar, 2023’teki en büyük dört yatırım önceliğinin değişim yönetimi (%35), bilgi güvenliği esnekliği (%34), veri güvenliği (%32) ve bilgi güvenliği güvencesi ve testi (%32) olduğunu söyledi. Bu bulgular, her büyüklükteki kuruluşun belli bir düzeyde bilgi güvenliği olgunluğuna sahip olduğunu gösteriyor; ancak temel hususlar hiçbir zaman hafife alınmamalı ve çok sayıda zorluk, ilerlemeyi sekteye uğratıyor.
Bilgi güvenliğine yönelik zayıf tutum
Ankete katılan 150 bilgi güvenliği karar vericisinden CISO’ların %28’i, rollerinin değerinin yönetim kurulu tarafından kabul edildiğini kabul etti. %22’si daha geniş iş stratejisi ve karar alma sürecine aktif olarak dahil olduklarını belirtti.
%9’u, bilgi güvenliğinin her zaman yönetim kurulu toplantı gündeminde ilk üç öncelik arasında yer aldığını ve bunun temel iş operasyonları açısından öneminin endişe verici bir şekilde desteklenmediğini belirtti.
Buna ek olarak, %49’u bilgi güvenliği rolüne C düzeyinde katılım eksikliği olduğunu kabul ederken, %32’si C düzeyinde katılım olmadığını söyleyecek kadar ileri gitti. Bilgi güvenliğine yönelik bu zayıf tutum, ankete katılanların %78’inin yüksek profilli güvenlik olaylarının bütçe tahsisi ve desteğinin artmasına yol açtığını belirtmesiyle vurgulanıyor; bu da yanlış nedenlerle yapılan yatırımlara işaret ediyor.
Bütçede bildirilen artışa rağmen ankete katılan CISO’ların %55’i, bütçelerini gerçekten ihtiyaç duyulan yere değil, haber manşetlerine çıkan şeylere harcamalarının beklendiğini söylüyor. Etkili bilgi güvenliği yönetiminin anahtarının reaksiyon değil, önleme olduğu göz önüne alındığında, bu sorunlu bir durumdur. Artan bütçelerin harcandığı yerlerde CISO’ların girdilerinin değeri kabul edilmiyor.
CISO’lar yeniliğe ayak uydurmalı
CISO’ların gelişen tehdit ortamının yanı sıra teknolojik yenilik derecesine ayak uydurması kritik önem taşıyor. Etkili bir şekilde uygulandığında, değişiklik yönetimi kuruluşların güvenlik mimarilerini ve süreçlerini planlamalarına ve geliştirmelerine yardımcı olarak bilgi güvenliği saldırı girişimlerine etkili bir şekilde yanıt vermelerini sağlar.
Bulut dönüşüm tasarımından bilgi güvenliği dayanıklılığı ve kurtarmaya yönelik çok kişili uluslararası değişim programlarına kadar, önerilen bir sistemi veya hizmet değişikliğini değerlendirmek için yapılandırılmış bir süreç çok önemlidir.
Bu kadar yüksek düzeyde organizasyon gerektiren değişim projeleri varken, CISO’ların %37’sinin bu projeleri yönetmeyi zor bulması şaşırtıcı değil. Bu sıkıntı, 500’den fazla çalışanı olan ve %51’inin değişim projelerini yönetmede zorluk yaşadığını bildiren kuruluşların CISO’ları için daha da arttı.
Ancak doğru çerçeveler uygulandığında, bilgi güvenliği ekibinin her değişiklik projesiyle başa çıkacağını varsayma tuzağı önlenebilir. Kısacası, mevcut güvenlik kaynaklarının gerekli tüm değişiklikleri desteklemek için gereken ek çabayı tüketebileceği varsayılmamalıdır.
Yeni araştırma hakkında konuşan BSS Direktörü Chris Wilkinson şunları söyledi: “CISO’ların masada bir koltuğa ihtiyacı var. Bilgi güvenliğine yönelik bu kadar düşük düzeyde bir önceliklendirme, önemli mali ve itibari cezalara yol açabilecek, gelişen tehditlerle dolu bir dünyada kabul edilemez.
“CISO’ların güçlü olmaları ve yönetim kurulu odasında ihtiyaç duydukları kaynak ve yatırımı alabilmeleri için onlara avantaj sağlayacak iş etkisini cephane olarak kullanmaları gerekiyor. Bilgi güvenliğinin her iş kararının bir parçası olduğu CISO’ların ticari operasyonlar için hayati bir kolaylaştırıcı olarak kabul edilmesinin tam zamanı.”