Tüm bilgi güvenliği yetkilileri eşit yaratılmamıştır. Geri kalanımız gibi, her birinin kendi uzmanlık alanları ve kendi ilgi alanları vardır. Ve bu farklılıkların, isteğinize veya fikrinize nasıl yanıt vereceği üzerinde büyük bir etkisi olabilir.
Siber güvenlik bir teknoloji sorunu olarak kabul edildiğinde, CISO’lar BT geçmişine sahip olma eğilimindeydi. Bununla birlikte, işletmeler dijitalleştikçe ve güvenlik ihlallerinin yasal ve ticari sonuçları, bir kuruluşun operasyonlarının diğer alanları üzerinde muazzam bir etkiye sahip olabileceğinden, bu oldukça uzun bir süredir doğru değil.
Şirketinizin CISO’suna başvurmadan önce, yalnızca teklif ettiğiniz projeyle ilgili araştırma yapmak ve şirketin başka yerlerinden destek almak değil – her yeni girişimde başarı için kritiktir – aynı zamanda, özellikle hangi tür projeyi anlamak da önemlidir. Uğraştığınız CISO.
Çünkü CISO’nuzla etkili bir şekilde iletişim kurmak için onların dilini konuşmanız gerekir.
Farklı CISO Çalışanları İçin Farklı Vuruşlar
Neredeyse kesinlikle CISO sayısı kadar CISO türü olsa da, ben bunları üç kategoriye ayırdım:
1. İşletme CISO’su. Bu kişi, menkul kıymet alımlarının, kararlarının ve ihlallerinin tüm işletme üzerindeki etkilerini dikkate alır. Bu tür CISO, gelir, maliyet tasarrufu, itibar ve verimliliğe odaklanma eğilimindedir. Ayrıca, diğer üst düzey yöneticilerle uyum içinde çalışmaya ve talebinizi değerlendirirken onlara danışmaya daha yatkındırlar.
Sahip olabilecekleri sorular şunları içerebilir:
- Bahsettiğiniz tehditlerden biri başarılı bir saldırıya dönüşürse, bu gelirimizi nasıl etkiler? Arıza süremiz ne kadar olabilir ve bunun maliyeti ne olabilir?
- Şirketimizin itibarı üzerindeki etkileri neler olabilir?
- Önerdiğiniz şey, siber güvenlik iş gücümüzdeki eksiklikleri gidermemize veya iş yükümüzü azaltmamıza nasıl yardımcı olabilir? Şirketi genel olarak nasıl daha verimli, karlı ve güvenli hale getirebilir?
İş CISO’sunun dilini konuşmak için, projenizi bir iş kolaylaştırıcı olarak tartışarak başarılı olursunuz. Destek sağlamak için görüşmek isteyeceğiniz kişiler arasında diğer C-suite yöneticileri ve finans, pazarlama ve insan kaynakları gibi diğer işlevlerdeki yöneticiler yer alır.
2. Uyumluluk CISO’su. Bu CISO türü, yasal konulara ve yasalara, yönetmeliklere, gerekliliklere ve standartlara uyuma güçlü bir şekilde odaklanır. Uyumluluk CISO’suna başvurmadan önce, diğerlerinin yanı sıra hukuk ve denetim ekipleriniz ve baş risk yetkilinizle konuşmak isteyebilirsiniz.
Uyumluluk CISO’ları şu soruları sorma eğiliminde olabilir:
- Önerdiğiniz şey, bizim için geçerli olan düzenleyici ve yasal çerçevelere uyumlu olmamıza veya uyumlu kalmamıza nasıl yardımcı olacak?
- Gizliliği, özellikle veri gizliliğini nasıl etkileyecek?
- Teklifiniz, iş yaptığımız ülkelerdeki yasa ve yönetmeliklere ne kadar uygun?
3. Teknik CISO. Bu tür, özellikle teknik olarak düşünmüyorsanız, ele alınması en zor olan olabilir.
Teknik CISO, teknoloji tarafındaki sıralamalarda yükseldi. Belki bir mühendis veya güvenlik mühendisi olarak başladılar ve şirketin güvenlik altyapısının ve mimarilerinin ayrıntılarını biliyorlar.
Önerdiğiniz şey yeni bir çözümse, nasıl çalıştığıyla ilgileneceklerdir. Bakımı için neyin gerekli olduğunu, hangi kaynaklara ihtiyaç duyacaklarını ve bakımın ne kadara mal olacağını bilmek isteyeceklerdir.
Sorabilecekleri diğer sorular şunları içerir:
- Teklif ettiğiniz şeyi barındıracak teknik yeteneklere sahip miyiz – teknik uzmanlığın yanı sıra donanım ve diğer altyapı?
- Çözümü şirket içinde mi yoksa bulutta mı çalıştıracağız? Kurulumu ve çalıştırılması ne kadar zaman ve çaba gerektirecek?
Tüm bu CISO türleri, kesinlikle teklifinizin siber güvenliği iyileştirme konusunda ne durumda olduğunu soracaktır – bu onların işidir. Çeşitli CISO türlerinde değişen şey, söyleyeceklerinizin özü değil, onlarla konuştuğunuz dildir.
Örneğin, önerdiğiniz şey tehdit istihbaratıysa, tüm CISO türleri bunun nasıl çalıştığını, ne yapacağını, neye mal olacağını vb. bilmek ister.
Ancak teknik CISO, ince ayrıntıları istemeye daha yatkındır: Bu tehdit istihbaratı çözümü hangi tür tehditleri savuşturmamıza veya düzeltmemize yardımcı olabilir? Gördüğümüz tehditlerin riske veya saldırıya dönüşmesini önlemek için sistemlerimizde neye ihtiyacımız var? Önerdiğiniz çözüm, sürekli izleme ve bir olay meydana geldiğinde erken uyarılar sağlıyor mu?
Güvenlik Ördeklerinizi Arka arkaya Alın
Şirketinizde siber güvenliği yöneten CISO türü hangisi olursa olsun, muhtemelen çoğu zaman meşguldürler. Randevu almakta zorluk çekebilirsiniz. Neden bekleme süresini etkin bir şekilde kullanmıyorsunuz?
Öncelikle, yukarıda verdiğim sorulardan başlayarak, CISO’nuzun bir araya geldiğinizde soracağını tahmin ettiğiniz bir soru listesi yapın.
Ardından, karar vermeden önce CISO’nuzun hangi kişilerle konuşma olasılığının yüksek olduğunu düşünün ve bu kişilerle kendiniz konuşun. Önerdiğiniz gibi bir çözümde ne istediklerini veya neye ihtiyaç duyduklarını sorun. Onlarla fikriniz hakkında konuşun ve mümkünse desteklerini alın. Rebels at Work web sitesine göre, şirketinizde değişiklik yapmak için işletmenizdeki geri kalanların %10’unun onayına ihtiyacınız var.