Bu Help Net Security röportajında Skillsoft’un CISO’su Okey Obudulu, CISO rolünün artan karmaşıklığından ve karşılaştıkları zorluklardan bahsediyor. İş ortamını, teknolojik yenilikleri, gelişen düzenleyici ortamı, sınırlı kaynakları ve bütçeleri tartışıyor.
Obudulu ayrıca CISO’lara öneriler sunarak birden fazla alanda sürekli öğrenmeyi benimseme ve şirket çapında bir güvenlik farkındalığı kültürünü aşılamak için kuruluş genelinde güçlü ortaklıklar kurma ihtiyacını vurguluyor.
CISO rolünün artan karmaşıklığıyla karşı karşıya olduklarını düşündüğünüz en önemli üç zorluk nelerdir ve bunları en iyi şekilde nasıl çözebilirler?
CISO’ların karşılaştığı ilk büyük zorluk, teknolojik yeniliklerin hızlı temposu ve gelişen düzenleyici ortamla daha da artan günümüz iş ortamının artan karmaşıklığıdır. Kuruluşların başarılı olmak için bu iş ortamında yön bulmaları gerekir; bu genellikle yeni teknolojileri benimsemek, yeni süreçler geliştirmek veya büyümeyi teşvik etmek için yeni pazarlara açılmak anlamına gelir.
Ancak tüm bu karmaşıklık daha büyük risklere yol açıyor; bu da CISO’ların, işi başarıya ulaştırmak konusunda giderek daha zorlu olsa da giderek daha hayati bir rol oynadığı anlamına geliyor. Bu, organizasyonun yeni ve ortaya çıkan tehditlerden korunmasını, düzenleme ve uyumluluk gerekliliklerinin karşılanmasını sağlamayı ve yeni ve mevcut müşterilerle güven oluşturmayı içerir; bunların hepsi günümüzde iş başarısı için hayati öneme sahiptir. Bu karmaşıklıkların üstesinden gelmek, CISO rolünü yalnızca daha zorlu hale getirmekle kalmıyor, aynı zamanda işletmenin genel başarısı için de daha önemli hale getiriyor.
Sınırlı kaynaklar ve bütçeler CISO’ların karşılaştığı bir diğer önemli zorluktur. Tehdit ortamı statik değildir ve saldırganlar hedeflerine ulaşmak için sürekli olarak yeni ve yenilikçi yollar arayacaktır. Aynı zamanda teknolojinin kendisi de gelişmeye devam ediyor; bu da bir şirketin teknoloji yığınının da zamanla değişeceği anlamına geliyor. Hem tehdit ortamına hem de teknolojik inovasyon hızına ayak uydurmak için kuruluşların, kaynak ve bütçe açısından zorlu hale gelen güvenliğe sürekli yatırım yapmaları gerekiyor.
Son olarak, CISO’lar becerilerini ve bilgilerini güncel tutma konusunda zorlanırlar. Güvenlik alanında çalışmak, teknoloji ve uyumluluk genelinde birden fazla alanı kapsayan hem geniş hem de derin bir uzmanlık oluşturma ihtiyacı anlamına gelir. Herhangi bir kişinin tüm bu bilgilere sahip olması zordur; bu da CISO’ların ekiplerinin aynı zamanda yeni beceriler ve uzmanlıklar geliştirdiğinden emin olmaları gerektiği anlamına gelir. İş ve teknoloji ortamı değiştikçe, siber güvenlik alanında çalışırken hem bireysel hem de ekip düzeyinde öğrenmenin sürekli olması gerekiyor.
CISO’ların ‘müşteri verilerinin koruyucuları’ olarak vurgulanmasıyla birlikte, bir ihlal durumunda farklı paydaşlara açıklama yapmanın yasal ve ahlaki görevi arasındaki dengeyi nasıl görüyorsunuz?
Bir CISO’nun hukuki ve ahlaki görevleri aynı olmalıdır. Etik olarak bir CISO, liderlik ekibiyle yakın işbirliği içinde çalışmak ve kuruluşun müşterilerinin gizliliğini korumak için elinden gelen her şeyi yaptığından emin olmak için tüm adımları atmalıdır. Kuruluşların bu adımları atmasını sağlamak için yürürlükte olan yasa ve düzenlemeler olsa da, bu, CISO’ların yasal zorunluluktan bağımsız olarak çabalaması gereken bir şeydir.
Bireysel düzeyde, yalnızca CISO’lar değil, hepimiz diğer teknolojilerin ve işletmelerin tüketicisiyiz, bu nedenle müşteri gizliliğinin ve korunmasının önemini ilk elden anlıyoruz. Ahlaki ve etik açıdan bakıldığında bu, müşteri verileri söz konusu olduğunda koruma ve şeffaflığı sağlamak için elimizden gelen her şeyi yapmak anlamına gelir.
Siber sigorta pazarının değişen dinamikleri göz önüne alındığında, CISO’ların siber sigorta sözleşmelerinde kişisel sorumluluk teminatına yer vermesi ne kadar önemli?
Günümüzde CISO olmanın kişisel ve mesleki riskleri hiç bu kadar yüksek olmamıştı. Direktörler ve Memurlar (D&O) Sorumluluk Sigortası gibi şeylere gelince, bu korumaların CISO’ya da sağlanması gerçekten önemlidir. CISO’lar genellikle kişisel sorumluluğa yol açabilecek kararları kuruluş adına aldıkları konumdadır; bu da onların üst düzey yöneticiler ve yönetim kurulunun geri kalanı kadar korumaya sahip olmaları gerektiği anlamına gelir.
‘Veriler nerede?’ gibi soruların kritik doğası göz önüne alındığında, ve ‘kim erişiyor?’ gibi konularda CISO’lara, gelişen tehdit ortamında bu temel unsurları net bir şekilde kavramalarını nasıl tavsiye edersiniz?
Veri haritalama ve veri yönetimi, herhangi bir siber güvenlik stratejisinin temel adımlarıdır. Sahip olduğunuzu bilmediğiniz şeyi koruyamazsınız diye bir ifade var, dolayısıyla her CISO’nun hangi verilerin toplandığını, nasıl ve neden toplandığını, verilere kimin eriştiğini, nasıl kullanıldığını net bir şekilde anlaması gerekiyor. , veriler nerede saklanıyor, şifreli mi yoksa şifresiz mi, vb.
Bu farkındalığa sahip olmak, CISO’ların veri yönetişimi geliştirmesine ve veri koruma stratejileri oluşturmasına olanak tanır. Bu, PII ile ilgili her şey dahil olmak üzere hangi verilerin en hassas olduğu ve nelerin daha zararsız kabul edilebileceğine ilişkin kararları içerebilir. Veri eşleme, veri yönetimi sürecinin önemli bir parçasıdır ve her siber güvenlik stratejisinin temelini oluşturur.
Tüm bu zorluklar ve gelişmeler karşısında CISO’nun rolünün önümüzdeki 5-10 yıl içinde nasıl gelişeceğini öngörüyorsunuz?
CISO rolünün gelişimi çok ilginçti. Şimdiye kadar birçok CISO, siber güvenliğe farklı yollardan geldi; organik olarak mühendisler, sistem yöneticileri ve diğer teknoloji uzmanları olarak ya da bu göreve atanan yöneticiler olarak. İleriye dönük olarak bu becerilerin bir araya geleceğini ve geleceğin CISO’larının teknoloji, liderlik ve risk yönetimi konularında çok daha kapsamlı olacağını tahmin ediyorum.
Temelde CISO’lar, kuruluş adına teknoloji ve uyumluluk risklerini yönetmekten sorumlu olan işletme yöneticileridir. Bu rol, güçlü teknik beceriler ve uzmanlığın yanı sıra, yönetici ve yönetim kurulu liderliği seviyelerinde görev yapmak için gereken iş becerilerini de gerektirir.
2024’e baktığımızda, teknoloji, liderlik ve risk arasındaki dansta yön değiştiren CISO’lara en önemli tavsiyeniz veya tavsiyeniz ne olurdu?
CISO rolünde hayatta kalmak için öğrenme şarttır. Bu rolde başarılı olmak için CISO’ların güvenlik, gizlilik, teknoloji, liderlik, iş ve risk yönetimi dahil olmak üzere birçok alanda sürekli öğrenmeyi benimsemesi gerekecek. Bu, yeni ve gelişmekte olan teknolojilere ayak uydurmayı, gizlilik, hukuk ve uyumluluk ortamını anlamayı ve mümkün olan en etkili lider olmak için iletişim ve işbirliği gibi güçlü “güç” becerilerini geliştirmeyi içerir. Sürekli olarak öğrenmeyen ve mesleki gelişime yatırım yapmayan CISO’lar, eninde sonunda mesaide bir düşüş görecektir.
CISO’lara diğer tavsiyem, organizasyon genelinde, özellikle de mühendislik, BT, hukuk ve yönetim ekipleri arasında güçlü ortaklıklar kurmalarıdır. Bu alanlardaki liderler, CISO’yu bir derebeyi değil, bir ortak olarak görmelidir; bu, sürtüşmeleri azaltacak ve başarı için doğru ortamı yaratacaktır. CISO’lar kuruluşun geri kalanıyla işbirliği yaptığında, şirket çapında bir güvenlik farkındalığı kültürünü aşılama olasılıkları daha yüksektir; bu, günümüzde başarılı siber güvenlik stratejileri için zorunludur.