Üç yıllık bir çalışmanın sonuçlarına göre, en iyi performans gösteren bilgi güvenliği yöneticilerinin (CISO’lar) %70’inden biraz azı, çalışma takvimlerinde mesleki gelişime yinelenen zaman ayırırken, en düşük performans gösteren meslektaşlarının yalnızca %38’i bu oranı daha da artırıyor. Gartner’daki analistler tarafından yürütülen 225’ten fazla CISO.
başlıklı raporda CISO etkinliğini artıran temel davranışlarGartner, en etkili CISO’ların ortak olduğuna inandığı beş alışkanlığı belirledi. Analistler, ortalama olarak bu davranışların her birinin, en iyi performans gösteren CISO’lar arasında, en düşük performans gösterenlere kıyasla en az bir buçuk kat daha yaygın olduğunu söyledi.
Gartner araştırma kıdemli müdürü Chiara Giradi, “CISO rolü hızla gelişmeye devam ettikçe, güvenlik ve risk liderlerinin mesleki gelişime zaman ayırması daha da kritik hale geliyor” dedi.
“Rol değiştikçe yeni beceriler ve bilgiler geliştirmek, yeni CISO paradigması olan işletmeye stratejik bir danışman olarak etkili bir şekilde hizmet etmek için çok önemlidir.”
Analistler, oyunun en üstünde performans gösterenlerin, tehditlerin önünde kalmak için gelişen siber güvenlik ortamı etrafında tartışmalar başlatmaya zaman ve enerji ayırdıklarını, en iyi performans gösterenlerin %77’sinin bunu yaparken, en düşük performans gösterenlerin %50’sinin bunu yaptığını buldu.
Girardi, “Hiçbir kuruluş her siber tehdide karşı tam olarak korunamaz” dedi. “En etkili CISO’lar, mevcut ve ortaya çıkan risklerden haberdar olurlar, böylece işin karşı karşıya olduğu en önemli tehditler konusunda liderlik sağlayabilir, yatırımları ve risk kararlarını buna göre etkileyebilirler.”
En iyi CISO’lar aynı zamanda yapay zeka (AI), blockchain ve makine öğrenimi gibi gelişen teknolojileri güvence altına almak için de zaman harcadı; en iyi performans gösterenlerin %63’ü bunu yaparken, en düşük performans gösterenlerin %38’i bunu yapıyor.
Girardi, ikna edici kimlik avı tuzakları oluşturmak gibi amaçlarla bu tür teknolojilerin tehdit aktörleri arasında coşkuyla benimsenmesi göz önüne alındığında, birçok CISO’nun yeni teknolojinin, özellikle de üretken yapay zekanın risk etkisini değerlendirme açısından hâlâ eğrinin gerisinde olduğunu söyledi.
Üretken yapay zekanın etkisini anlama ve bu riskleri üst düzey iş liderleriyle iletişim kurma konusunda CISO’ların genel olarak daha proaktif olmaları gerektiğini ekledi.
Aslında, kuruluştaki diğer üst düzey karar vericilerle ilişkiler kurmak ve açık bir şekilde iletişim kurmak, en iyi performans gösteren CISO’ların en düşük performans gösterenlere göre daha fazla uyguladığı alışkanlıklardan biriydi; en etkili CISO’ların %65’i bunu yaparken, 37’si bunu yaptı. En az etkili olanın yüzdesi.
Daha da önemlisi, bu ilişkiler, devam eden BT veya siber güvenlik projeleri bağlamı dışında geliştirildiğinde daha fazla sonuç verdi ve Gartner’ın en etkili olduğu tespit edilen CISO’lar, insan kaynakları, pazarlama, pazarlama gibi üç kat daha fazla BT dışı paydaşla bir araya geldi. BT paydaşlarından satışlar vb.
Üstelik en etkili CISO’lar, kuruluşlarının risk iştahını diğer karar vericiler ve iş kolları (LoB’ler) ile işbirliği yoluyla tanımladı; en iyi performans gösterenlerin %67’si bunu yaparken, en düşük performans gösterenlerin %28’i bunu yaptı.
Girardi şunları ekledi: “BT dışı işlevler, teknoloji ve siber güvenlik kararlarını BT dışında alabilen kilit ortaklardır.
“CISO’lar, kuruluş genelindeki üst düzey iş karar vericileriyle ilişkiler kurmaya özel zaman ayırarak, karar vericilerin siber güvenliği anladığı ve önemsediği, ayrıca karar verme süreçlerinde siber güvenliğin sonuçlarını dikkate aldığı bir ortam geliştirebilir.” .