Bu yardımda net güvenlik röportajında, Mandos’taki kesirli CISO olan Nikoloz Kokhreidze, birçok erken ve büyüme aşaması B2B şirketinin neden ihtiyaç duyulmadan önce tam zamanlı cisos kiraladığını tartışıyor. Ortak kurucu yanlış anlamalarını bozar, güvenlik liderliğine doğru yaklaşımı açıklar ve tam zamanlı bir CISO mantıklı olduğunda paylaşır.
Erken aşama veya büyüme aşamasında B2B şirketlerinde tam zamanlı bir CISO kiralamalarına neden olan hangi eğilimleri görüyorsunuz?
Sahneleri için biraz farklı gereksinimleri olduğu için ikisi arasında ayrım yapmamız gerekiyor.
Erken aşama B2B şirketleri, ilk birkaç büyük işletme müşterisini piyasada bir dayanak kurmak için güvence altına almaya odaklanıyor. Bununla birlikte, bu işletmeler daha yüksek bir güvenlik olgunluğu seviyesindedir, genellikle uygun güvenlik programlarına sahiptir ve bir CISO tarafından yönetilir.
Bu nedenle, B2B müşterileri, onlarla bir iş ilişkisi kurmadan önce üçüncü taraflardan güçlü güvenlik kontrollerine ihtiyaç duyarlar. Bu, elbette, tedarik zinciri güvenlik risklerinden ve yasal uyumluluk gereksinimlerinden geliyor.
Üçüncü taraf risk yönetimi programları oluşturdum ve sık sık B2B tedarikçilerimden ISO 27001 sertifikası ve/veya SOC 2 Tip II raporları şeklinde güvence talep ettim. Bu, satıcıların ilk filtrelemesi için, satıcının temelleri kapsayacağını belirten yaygın bir uygulamadır.
Bununla birlikte, deneyimlerime göre, erken aşama B2B şirketleri bu güvencelere ve hatta iyi belgelenmiş bir ISM’lere sahip olmayabilir. Bu genellikle ürün veya hizmetin bir kurumsal müşteriye satılmamasına yol açar, çünkü potansiyel müşteriler bu güvenceleri elinde tutan rakipleri seçer.
Ve bu, tam zamanlı bir CISO’nun “güvenliği düzeltmek” için avlanmak için erken aşamalı bir B2B şirketini tetikleyen acıdır.
Bir CISO kiralamakla ilgili yanlış bir şey yok, ancak bu aşamada tam zamanlı bir CISO’nun haftada 40+ saatlik iş yok. Bu davadaki çalışma çoğunlukla örgütsel bir uyum ve 40+ saat gerektirmeyen stratejik ve taktiksel çalışmaların bir karışımıdır.
Sonuç olarak, bu erken CISO işe alımı iki büyük soruna yol açar:
Birincisi, Ciso Scope Creep dediğim şey. Tam zamanlı pozisyonlarını haklı çıkarmak için bir CISO, şirketin henüz ihtiyaç duymadığı güvenlik programları oluşturmaya başlar. Örneğin, bir CISO’nun temel izlemeleri bile olmadığında 50 kişilik bir şirkette tehdit yönetimini düşünmeye başladığını gördüm. Dolayısıyla, şirketin şimdi neye ihtiyacı olan ve CISO’nun sağlaması gereken arasında büyük bir boşluk var.
Şimdi ikinci sorun, altı haneli bir yönetici kiralamanın maliyet yüküdür. Bütçeyi gerçek iş önceliklerinden ayırır ve üst düzey bir yönetici başlangıç kültüründe kurumsal sınıf süreçleri için zorlamaya başladığında potansiyel bir kültürel sürtünme yaratır. Genellikle, sürtünme CISO ve mühendislik ekipleri arasında, şimdi çalışma ve güvenlik sorunları hakkında rapor verildiklerinde, bu zaman nakliye özelliklerine harcanabilir.
Büyüme aşaması şirketleri ise biraz farklı bir zorlukla karşı karşıya. Hızla ölçekleniyorlar, belki de 12 ay içinde 100’den 300 çalışanı büyüyorlar ve aniden mühendisler tarafından inşa edilen geçici güvenlik yaklaşımlarının ve kontrollerinin artık yeterli olmadığını fark ediyorlar. Bunun iyi göstergelerinden biri, teknik ekiplerin güvenlik sorunları ve olayları için artan zaman harcamaya başladığı zamandır. Veya yeni yatırımcılar ve yönetim kurulu üyeleri güvenlik ile ilgili soruları ve endişeleri artırmaya başladığında.
Bu, kurucular güvenlik konularını kapsayacak şekilde CTO’ya devam edemeyeceklerini fark ederken, kurumsal beklentiler sahip olmadıkları CISO’yu sormaya devam ediyor.
Sonuç olarak, büyüme aşaması B2B şirketi, tam zamanlı bir yöneticiye ihtiyaç duyduklarında bir aşamaya hazırlanmak için kesirli bir stratejik güvenlik uzmanına ihtiyaç duyduklarında tam zamanlı bir CISO kiralamak için acele ediyor.
Kurucuların bir CISO’nun sahnesinde ne yapması gerektiği konusunda ortak yanlış anlamalar nelerdir?
Deneyimlerime göre, yanlış anlama, daha teknik veya iş geçmişine sahip olsun, genellikle kurucunun arka planına bağlıdır.
Bununla birlikte, karşılaştığım en büyük yanılgı, CISO’nun tek kişilik bir çözüm olduğudur. Kurucular genellikle tüm güvenlik sorunlarını bireysel olarak çözecek bir CISO kiralayacaklarını beklerler ve bir süre sonra bu sorunlar sihirli bir şekilde kaybolacaktır. Ancak gerçek şu ki, güvenliğe doğru çalışmak organizasyon çapında bir karar ve bağlılıktır. Güvenlik, işletmenin hemen hemen her yönünü etkiler ve kurucuların her bölüm başkanının bu hedefe doğru çalışmaya yetecek şekilde hazır olmasını sağlamak için gerektirir.
Bir başka yaygın yanlış anlama, kıdemli bir güvenlik liderinin güvenlik açıkları bulması, pentest yapması ve bulut dağıtımlarını gözden geçirmesidir. İtiraf etmeliyim ki, birkaç yıl önce beni “CISO” rolü için işe almak isteyen bir kurucu tarafından bu tür bir soru soruldu. Tabii ki, bu iyi gitmedi. Kurucular ve iş yöneticileri genellikle güvenliğin, bir teknik güvenlik uzmanının üzerinde yeterince çalışırsa çözeceği teknik bir sorun olduğunu varsayarlar. Ancak bu gerçeklerden daha fazla olamaz, çünkü güvenlik bu aşamada temelde bir iş etkinleştirme işlevidir. Ve büyüyen bir B2B şirketindeki bir CISO’nun işi, iş ve müşteri gereksinimlerini, fırsatları kapatan ve müşteri güvenini oluşturan güvenlik kontrollerine dönüştürmektir.
Tam zamanlı bir CISO’yu düşünmenin zamanının geldiğine işaret eden belirli bir büyüme, gelir veya müşteri profili aşaması var mı?
B2B şirketlerinin tam zamanlı bir CISO düşünmesini sağlaması gereken birkaç tetikleyici var, ancak deneyimlerime dayanarak belirli sayılar ve organizasyonel değişiklikler ve güvenlik iş yükü hakkında daha az.
Fark ettiğim iyi göstergelerden biri, bir B2B şirketinin finansal hizmetler veya sağlık hizmetleri gibi çoklu, yüksek düzeyde düzenlenmiş endüstrilere satmaya başladığı ve hassas verilerini işlemeye başladığı zamandır. Bu durumda, yoğun, devam eden uyumluluk gereksinimlerini ve müşteri müzakerelerini ele almak için tam zamanlı bir güvenlik liderliğine ihtiyacınız olabilir.
Bir diğeri, kurumsal müşterileri etkileyen ve şirketin etkilenenleri güvence altına almak için güvenlik kontrollerini düzgün bir şekilde temsil edemediği büyük güvenlik olaylarında bir artıştır. Bu aşamada, B2B şirketi bir şeyin temelde yanlış olduğunu ve değişmesi gerektiğini fark ederek, diğer liderlerle birlikte bunu çözmek için tam çaba sarf edebilecek tam zamanlı bir CISO arayışını tetikler.
Ayrıca, birleşme ve satın alma etkinliği güçlü bir gösterge olabilir. Örneğin, başka bir şirket ediniyorsanız veya kendinizi satın alıyorsanız, güvenlik entegrasyon çalışması büyük ve zaman alıcı hale gelir. Bir CISO, farklı güvenlik programları, sistemler, uyum çerçeveleri ve uyumlaştırılması gereken kültürlerle uğraşmak zorundadır. Birleşme ve satın alma işlemlerine katılan biri olarak, bunun aylar boyunca teknik, iş ve siyasi becerilerin tam zamanlı bir özveri gerektirdiğini güvenle söyleyebilirim.
Bazen yatırımcılar ve VC’ler, şirkete para yatırmadan önce özel güvenlik liderliği sormaya ve endişeleri artırmaya başlayacaktır. Bu genellikle S Serisi finansmanı etrafında ortaya çıkar, ancak şirket, endüstri ve bölgenin türüne bağlıdır.
200’den az çalışanı olan bir B2B şirketi için ideal bir güvenlik liderliği yapısı neye benzeyecekti?
200’den az çalışanı ile, kesirli bir CISO’nun gitmenin en iyi yolu olduğuna inanıyorum çünkü kişi şirket için temel oluşturmaya başlayabilir, satış döngülerini engelleyebilir ve tam zamanlı bir yönetici işe alımının genel gider ve kültürel bozulması olmadan yol haritası üzerinde çalışabilir.
İdeal olarak, bu, güvenlik kontrolleri ve süreçlerinin uygulanması için mevcut mühendislik ekibi tarafından desteklenen haftada 1-2 gün çalışan kesirli bir CISO anlamına gelir. Bu durumda, kesirli CISO, müşteri güvenliği konuşmalarının stratejik çalışmalarını ele alır, uyumluluk üzerinde çalışır, büyük güvenlik olaylarına yardımcı olur, yönetim kuruluna ve yatırımcılara rapor verirken, mühendisleri taktiksel yürütmeyi gerçekleştirmeye yönlendirir.
Bu yapı, maliyet tasarrufu ve şirketin tam zamanlı bir güvenlik lideri ile çalışmaya hazır olacağı sahneye doğru bina yaparken işin engelini kaldıracaktır.
En uygun yaklaşım, şirketin acil ihtiyaçlarına uyan sağ büyüklükteki çözüm yoluyla dengeyi bulmakla ilgilidir.
Bugün bir kurucu size “CISO’ya ihtiyacımız olduğunu düşünüyoruz” diyerek geldiyse, önce hangi teşhis sorularını sorarsınız?
Benim için, bu sorunun nereden geldiğini ve kurucunun çözmek istediği gerçek acıyı anlamak çok önemli.
Bu yüzden sorduğum ilk soru “Neden şimdi sizin için bir CISO için doğru zamanı yapıyor?”. Bu bana dış baskı tarafından yönlendirilen reaktif bir karar mı yoksa stratejik bir karar olup olmadığı hakkında bilgi verecektir.
Sonra “Bir CISO’nun ilk 90 gün içinde çözmesini bekliyorsunuz?” Diye sorardım. Bu şekilde, uygulamalı teknik işler yapacak birini arıyorlar mı yoksa daha stratejik iş etkinleştirmeleri olup olmadığını anlamaya çalışacağım. Cevap, daha önce tartıştığımız gibi, kurucunun CISO rolü hakkında yanlış anlamaları olup olmadığını da gösterebilir.
Daha sonra, beklenen iş yükünü anlamak yararlı olacaktır, bu yüzden “Ekibiniz şu anda güvenlik ile ilgili görevlere ne kadar zaman harcıyor?” Diye sorarım. Bu bana bir kesirli için yeterli güvenlik çalışması olup olmadığını veya tam zamanlı bir CISO’nun daha iyi bir seçenek olup olmadığını söyleyecektir.
Son soru, “CISO kiralamıyorsanız şirketinizin önümüzdeki 12 ay içinde nasıl görüneceğini düşünüyorsunuz?” Olur. Bu bana organizasyonun mevcut sağlığını ve kurucunun korku ve endişelerini daha derinlemesine anlama fırsatı veriyor.
Bu sorular, B2B şirketinin tam zamanlı bir CISO’ya, kesirli bir CISO’ya ihtiyaç duyuyorsa veya belki de bir teknik güvenlik uzmanına sahip olmanın sahneleri için yeterli olacağını ortaya koymalıdır.