2018’den bu yana Fortune 100 listesinde yer alan şirketlerin isimleri gibi pek çok şey değişti. Ancak bu övülen listenin o zamandan beri pek değişmeyen bir yönü, bu şirketlerden çok azının üst düzey yönetici kademelerinde herhangi bir güvenlik uzmanını listelemesidir.
Bir dahaki sefere, güvendiğiniz bir şirketin müşteri güvenliğine ve gizliliğine en yüksek önceliği verdiğini söyleyen bir ihlal bildirim mektubu aldığınızda, şunu göz önünde bulundurun: Şu anda Fortune 100 şirketlerinden yalnızca dördü, web sitelerinin yönetici liderlik sayfalarında bir güvenlik uzmanını listeliyor. Bu aslında, KrebsOnSecurity’nin bu analizi en son yaptığı 2018’de Fortune 100’ün beşinden düştü.
Fortune 100 şirketlerinin 2022 listesi tarafından yayınlanan yöneticilerin sayfalarına ilişkin bir incelemede yalnızca dört kişi bulundu — En iyi satın alım, Cigna, Coca ColaVe Walmart – Listelenen bir Güvenlik görevlisi şefi (CSO) veya Baş Bilgi Güvenliği Sorumlusu (CISO) en yüksek kurumsal derecelerinde.
Geçen yılın Fortune 100 şirketlerinin üçte biri, teknolojiden Sorumlu Başkan (CTO) yönetici ahırlarında; 40 listelendi Bilişim Kurulu Başkanı (CIO) rolleri, ancak yalnızca 21 tanesi bir Baş Risk Sorumlusu (CRO).
2018’de belirttiğim gibi, bu, Fortune 100 şirketlerinin yüzde 96’sının istihdam ettiği bir CISO veya CSO olmadığı anlamına gelmez: LinkedIn’e yapılan bir inceleme, çoğunun aslında Yapmak bu rollerde insanlara sahip olmak ve uzmanlar, en büyük çok uluslu şirketlerden bazılarının bu pozisyonlarda birden fazla kişiye sahip olacağını söylüyor.
Ancak, en iyi şirketlerin yönetici liderlik sayfalarında hangi yönetici pozisyonlarını yayınlamaya değer bulduklarını not etmek ilginçtir. Örneğin, yüzde 88’i bir İnsan Kaynakları Yöneticisi (veya “Baş Yetkili”) ve 100 kişiden 37’si bir Pazarlama Şefi.
Bu rollerin, kuruluş içindeki bir CISO/STK’nınkinden bir şekilde daha fazla veya daha az önemli olduğu söylenemez. Üç rol arasında ortalama ücret de çok farklı değil. Yine de, pazarlamanın (tüketici/müşteri verilerini düşünün) ve insan kaynaklarının (çalışanların kişisel/finansal verilerini düşünün) ortalama veri ihlalinizden ne kadar etkilendiği düşünüldüğünde, daha fazla şirketin yapma baş güvenlik personelini üst rütbeleri arasında sayın.
Pek çok şirketin neden güvenlik liderlerini en üst kademelerine dahil etmediğine dair olası bir açıklama, bu çalışanların doğrudan şirketin CEO’suna, yönetim kuruluna veya Baş Risk Sorumlusuna bağlı olmamasıdır.
CSO veya CISO pozisyonu, geleneksel olarak CTO veya CIO gibi teknik bir roldeki bir yöneticiye rapor verir. Ancak iş gücü uzmanları, CISO/CSO’yu kuruluşun üst düzey liderleriyle eşitsiz bir zemine oturtmanın, üretkenliği artırmak ve genel olarak işi büyütmek için tasarlanmış girişimlerde siber güvenlik ve risk endişelerinin arka planda kalma olasılığını artırdığını söylüyor.
“İster siber tehditler, ister çalışan dolandırıcılığı veya fiziksel hırsızlık hakkında konuşalım, görevlerin ayrılığı temel bir güvenlik kavramıdır” dedi. Tari Schreiderile bir analist Veri Bilgileri. “Ancak bu kritik ayrım, teknoloji liderlerine rapor veren CISO veya CSO ile her gün ihlal ediliyor.”
IANSCISO’lara/STK’lara ve onların ekiplerine yönelik bir kuruluş olan geçen yıl 500’den fazla kuruluşla anket yaptı ve CISO’ların kabaca yüzde 65’inin hala CTO veya CIO gibi bir teknik lidere rapor verdiğini tespit etti: IANS, CISO’ların yüzde 46’sının bir CIO’ya, yüzde 15’inin ise doğrudan bir CTO’ya rapor verdiğini buldu.
Geçen yıl IANS tarafından yapılan bir anket, CISO’ların yüzde 65’inin CTO veya CIO gibi kuruluşlar içindeki bir teknoloji işlevine rapor verdiğini ortaya koydu. Resim: IANS Araştırması.
Schreider, birçok CISO ve STK’nın büyük şirketlerdeki kurumsal yönetici biyografilerinde listelenmemesinin büyük bir nedeninin, bu pozisyonların genellikle şirket içindeki diğer memurlara sağlanan aynı yasal ve sigorta korumalarından yararlanmaması olduğunu söyledi.
Tipik olarak, daha büyük şirketler, kuruluşun üst düzey yöneticilerinden birinin, işverenleri tarafından bazı işlerde başarısızlığa uğraması nedeniyle kendilerini mahkemeye sürüklendiğini bulması durumunda, yasal masrafları karşılayan bir “Yöneticiler ve Memurlar” sorumluluk poliçesi satın alacaktır. Ancak Schreider, güvenlik liderlerine bu kapsamı sunmayan kuruluşların bu pozisyonları en üst sıralarda listelemelerinin pek olası olmadığını söyledi.
Schreider, Fortune 100 listesinden yalnızca dördünün üst düzey yönetici hiyerarşilerinde herhangi bir güvenlik personeli listelediğini duyunca, “Açıkçası şok edici,” dedi. “Şirket onlara yasal koruma sağlamıyorsa, güvenlik sorumluluğunu neden onlara veriyorsun? Özellikle CISO’lar ve STK’ların riski üstlenmemesi gerektiği halde, çoğunluğu sorumluluk kisvesine sahipken ve günah keçisi olma eğilimindeyken”, organizasyon sonunda saldırıya uğradığında, dedi.
Schreider, Datos Insights çoğunlukla finans ve sigorta sektörlerine odaklanırken, yakın tarihli bir Datos anketinin geçen yılki IANS bulgularını yansıttığını söyledi. Datos, varlık büyüklüğüne göre (ikisi artık mevcut değil) en büyük finansal kurumların 25’ini araştırdı ve STK’ların/CISO’ların yalnızca yüzde 22’sinin CEO’ya rapor verdiğini buldu. Çoğunluk – yüzde 65 – STK’ları/CISO’ları bir CTO’ya veya CIO’ya rapor veriyordu.
Schreider, “Yıllardır bu tür istatistiklere baktım ve hiç bu kadar değişmemişlerdi,” dedi. “CISO veya CSO, yönetim açısından teknik yığının kapsamı içindedir. Doğru, yanlış ya da kayıtsız, olan bu.”
Bu yılın başlarında, BT danışmanlık şirketi Accenture 14 ülkede 15 sektörden 3.000’den fazla katılımcıyla güvenlik olgunluk düzeyleri hakkında yapılan anketin sonuçlarını yayınladı. Accenture, anket yaptıkları kuruluşların yalnızca üçte birinin, güvenliği işletmelerinin neredeyse her yönüne entegre etmek için yeterli güvenlik olgunluğuna sahip olduğunu buldu – ve bu, CISO’ların veya STK’ların işletmenin bir bütün olarak riskini denetlemekten sorumlu birine rapor vermesini içerir.
Şaşırtıcı olmayan bir şekilde Accenture, genel kurumsal riski değerlendirirken, yanıt verenlerin yalnızca üçte birinin siber güvenlik riskini “büyük ölçüde” değerlendirdiğini de buldu.
Rapor, “Bu, siber güvenliği iş içinde proaktif, stratejik bir gereklilik haline getirmek için hala gidilecek bir yol olduğunu vurguluyor.”
Menkul kıymet olgunluğunun farklı aşamalarını tasvir etmenin bir yolu.
2022 Fortune 100 şirketlerinin yönetici sayfalarında güvenlik liderlerinin yaygınlığını takip eden bir elektronik tabloya buradan ulaşabilirsiniz.