Bu yardımda net güvenlik görüşmesinde Pragesh Parekh, VP, Pagerduty’de CISO, CISOS’un rollerinin algılarını nasıl değiştirebileceği, kuruluş genelinde etki yaratabileceği, iş açısından risk iletebileceği ve iş hedeflerini desteklemek için otomasyonu kullanabileceği hakkında konuşuyor.
İş liderleri en çok CISO’nun rolü hakkında neyi yanlış anlıyorlar ve güvenlik liderleri bu algıları nasıl düzeltebilir?
Çoğu zaman, iş liderleri siber güvenliği yalnızca gerçekte gelişen teknoloji ve değişen teknoloji manzarası ile şekillendirildiğinde yeniliği yavaşlatabilecek savunma işlevi olarak görüyorlar. Dünya bulut tabanlı büyüdükçe güvenlik gelişmek zorunda kaldı ve modern güvenlik artık hız ve iş büyümesini sağlamakla ilgili.
Güvenlik doğru yapıldığında, manuel kontrol noktalarını ortadan kaldırarak ve bunları otomatik korkuluklarla değiştirerek işi hızlandırıyoruz. Ekibim darboğazlar oluşturmak yerine yanıtları otomatikleştirmeye odaklanıyor. Geliştirme ve operasyonların daha hızlı hareket etmesine izin verirken otomatik güvenlik yanıtlarımızın iş aksaklıklarını nasıl önlediğini göstererek değerimizi gösteriyoruz.
Yanlış anlamaları düzeltmenin en güçlü yolu veriler, özellikle güvenlik programlarımızın riski nasıl azalttığını ve operasyonel verimliliği artırmayı gösteren metriklerdir. Yöneticiler işi daha çevik hale getirirken koruduğumuzu gördüklerinde, algıları önemli ölçüde değişiyor.
CEO, CFO ve hatta müşterilere güvenilir danışman olmak için BT departmanının ötesinde önde gelen CISOS binası etkisi nasıl etkiler?
Daha geniş bir etki yaratmanın anahtarı, güvenliği iş etkisi diline dönüştürmektir. Yöneticilerin ve müşterilerin gerçekten ne umursadığı konusunda konuşmalara rehberlik ederek başarı buldum: teknik uygulamalar değil, iş sonuçları.
CEO veya yönetim kurulu üyeleriyle konuştuğumda, güvenlik programımızın geliri nasıl koruduğunu, iş sürekliliğini sağladığını ve büyümeyi nasıl sağladığını tartışıyorum. Geçmişte birçok ihlalle, kuruluşlar tehdidi tespit etti, ancak zamanında harekete geçemedi ve bu da önemli iş etkisi ile sonuçlandı. Yaklaşımımızın bu sonuçları nasıl önlediğini vurgulayarak, onların dillerini konuşuyorum.
Ayrıca güvenliği temel iş operasyonlarına dahil etmenin doğal etki yarattığını da buldum. Güvenlik, harici bir kontrol noktası yerine mühendislik ve operasyonların entegre bir parçası haline geldiğinde, doğal olarak stratejik tartışmalar için masada oturursunuz.
Davalarını yönetim kuruluna veya yönetici ekibine yapmak isteyen CISO’lar için artık ne tür iletişim veya hikaye anlatma becerileri gereklidir?
En etkili cisos, teknik kavramları iş sonuçlarına çeviren somut senaryolar ve gerçek dünya örnekleri kullanır. Kurulumuzla konuştuğumda soyut tehditler sunmuyorum. Potansiyel iş etkisini vurgulayan belirli senaryolarda dolaşıyorum, örneğin “Geçen çeyreğin önleme süresi ve kaybı kaybı ile sonuçlanabilecek bir durum.” Ayrıca, diğer iş alanlarından analojiler kullanmanın yöneticilerin güvenlik kavramlarını kavramasına yardımcı olduğunu buldum.
Veri görselleştirme de kritiktir. Yöneticiler yoğun teknik raporları okumak istemiyorlar. Bir bakışta eğilimler, önceliklendirme ve iş etkisi gösteren net görselleştirmelere ihtiyaçları vardır.
“Hayır Departmanı” olarak görülmekten stratejik bir kolaylaştırıcıya başarılı bir şekilde değişen bir CISO örneğini paylaşabilir misiniz? Bu dönüşümü ne yaptı?
Bir güvenlik organizasyonunu başarıyla “NO Departmanı” olarak algılanmaktan stratejik bir kolaylaştırıcıya kaydırmak, zihniyet, katılım modeli ve iletişim tarzında temel bir değişiklik gerektirir. Güvenlik hedeflerini daha geniş iş stratejisine hizalamak, büyümeyi, müşteri güvenini ve operasyonel verimliliği neyin yönlendirdiğini anlamakla başlar. Güvenlik liderleri, işlevler arası erken ve sıklıkla etkileşime geçmeli, ekiplerini ürün geliştirme, BT ve piyasaya gitme işlevleri, gerçeklerden sonra kontrol uygulamak yerine güvenli çözümler oluşturmak için birleştirmelidir. Bu proaktif, ortaklık odaklı yaklaşım sürtünmeyi azaltır ve güvenilirlik yaratır.
Aynı derecede önemli olan, güvenliğin riski nasıl ilettiği, teknik jargon veya korku tabanlı mesajlaşma yerine iş etkisi, fırsat maliyeti ve müşteri deneyimi açısından çerçevelemesidir. İşe yankılanan metrikler yoluyla başarıyı ölçmek, piyasaya sürülme süresi, riske göre ayarlanmış inovasyon veya gelişmiş müşteri güveni gibi, değerin gösterilmesine yardımcı olur. Sonuçta, dönüşüm, güvenlik, işi korurken inovasyonu sağlayan güvenilir bir danışman olarak görüldüğünde başarılı olur.
Özellikle öncelikleriniz tam olarak hizalanamadığı zaman, diğer iş liderleriyle risk iştahı ve hoşgörü hakkındaki konuşmalara nasıl yaklaşıyorsunuz?
Etkili risk konuşmaları veri ve iş bağlamıyla başlar. İlk olarak her bir işlev için neyin değeri yönlendirdiğini anlayarak, daha sonra güvenlik risklerinin bu öncelikleri nasıl etkileyebileceğini ölçerek en başarıyı buldum.
Örneğin, otomatik yanıt sistemlerini müşteri deneyimi ile ilgili iş birimleriyle tartışırken, güvenlik otomasyonunun sadece ihlalleri önlemek yerine müşteriye dönük kesintileri nasıl önleyebileceğine odaklanıyorum. Anahtar, gelir etkisi, müşteri elde tutma veya operasyonel verimlilik olsun, güvenlik risklerini her paydaş için önemli olan metriklere dönüştürmektir.
Öncelikler hizalanmadığında, tek bir güvenli yol yerine açıkça eklemli ödünleşmelerle birden fazla seçenek sunuyorum. “İşte minimum riskle önerilen yaklaşımımız, ancak hız ve güvenliği farklı şekilde dengeleyen iki alternatif.” Diyebilirim. Bu, güvenliği bir engelden ziyade işbirlikçi bir sorun çözücü olarak konumlandırır ve farklı iş işlevlerinin farklı risk toleranslarına sahip olabileceğine saygı duyar.