Bu Help Net Security röportajında, Gartner Başkan Yardımcısı ve Analisti Chris Mixter, CISO’ların dinamik dünyasını ve rollerinin yıllar içinde nasıl önemli ölçüde geliştiğini anlatıyor. 2024’te CISO’lar için kritik becerilerin ana hatlarını çiziyor, karşılaştıkları zorlukları ele alıyor ve kurumsal beklentileri bilgi koruma talepleriyle uyumlu hale getirmenin öneminin altını çiziyor.
CISO’nun rolü son yıllarda, özellikle de zorlukların üstesinden gelme ve vizyonla liderlik etme konusunda nasıl gelişti?
Gartner, her kuruluştaki CISO’ların dört evrim aşamasını gözlemliyor: kontrol yöneticisi -> risk kararı sahibi -> güvenilir kolaylaştırıcı -> ve değer yaratıcısı. Her aşama, kendisinden önceki aşamanın üzerine inşa edilir, dolayısıyla bu aşamalardan hiçbirini “kötü” veya “olgunlaşmamış” olarak konumlandırmıyoruz; daha ziyade bir sonraki aşamadaki performansın önkoşulları ve katkıları olarak konumlandırıyoruz. CISO’nun etkililiğini düzenli olarak karşılaştırıyoruz ve CISO’ların çoğunluğu kendilerini ‘risk kararı sahibi’ veya ‘güvenilir kolaylaştırıcı’ aşamalarında olarak tanımlıyor. Çoğu CISO, yalnızca kontrol yöneticileri olmanın ötesine geçmiştir ve ‘değer yaratıcısı’ rolü hala incelikli bir şekilde ele alınmaktadır.
Şimdi, CISO’ların rollerinin nasıl geliştiğini gösteren bu aşamalara girdiğinizde, en iyi açıklama, rolün “kararsız bir molekül” olmaya devam etmesidir. CISO rol tanımları kıdem, kapsam, raporlama hattı ve sorumluluk açısından büyük farklılıklar gösterir. Şimdi, “kararsız molekül” aşağılayıcı bir ifade değil, yalnızca gerçekliğin bir tanımıdır. Ve bu şaşırtıcı olmamalı; sonuçta Baş Bilgi Güvenliği Görevlisi rolü aslında ancak 1990’ların ortasında ortaya çıktı. Finans liderlerinin sorumluluklarını yerine getirmek için bin yıldan fazla süreye sahip olduğu ve bu abartı değil, CISO rolü hâlâ başlangıç aşamasındadır. Siber güvenlik gerekliliklerinin şirketler ve devlet kurumları arasında farklılık göstermesi nedeniyle rolde de değişiklik olması beklenebilir, bu nedenle CISO rollerinde bazı farklılıklar görmeyi bekliyoruz.
Ancak kararsız bir molekül olmak CISO’lar için sorun yaratıyor… Öncelikle CISO’ları, etkileşimde bulunmaları beklenen diğer C düzeyindeki yöneticilerden ayırıyor. CHRO, CFO, Satış Başkanları, Pazarlama vb. gibi C düzeyindeki karşılaştırılabilir liderlerin rolleri arasında çok düşük düzeyde farklılıklar vardır, bu nedenle CISO’nun meslektaşlarının “CISO’nun tam olarak ne yaptığını ve yapmadığını” takip etmesi genellikle zordur. yapmayacağım.’ Günümüzde CISO’lar için en acı verici gerçeklerden biri, kurum/ajansların CISO’larına yönelik beklentileri ile CISO’nun gerçekte neyi sağlamak için görevlendirildiği ve finanse edildiği arasındaki kopukluğun devam etmesidir. Bu kopukluğun mevcut en görünür tezahürü, CISO’nun, işletmelerinin güncellenmiş SEC ifşa kurallarına uygunluğunu desteklemedeki rolü konusundaki belirsizliktir – hem genel üst düzey yöneticilerden hem de CISO’lardan gelen – belirsizliktir, ancak başka birçok örnek de vardır.
Güvenilir kolaylaştırıcı ve değer yaratıcısı aşamalarına ulaşmak için CISO’ların, kurumsal beklentiler ile CISO’nun gerçekte sunabileceği (ve finanse ettiği!) şeyler arasındaki uçurumu kapatmaya yoğun bir şekilde odaklanması gerekir.
Sizce CISO’ların 2024’te geliştirmesi gereken en kritik beceriler nelerdir?
Dünya, CISO’ların hangi becerileri geliştirmesi gerektiğine dair insanların fikirleriyle dolu. Benim tercihim her zaman verilere güvenmektir!
Gartner’ın CISO Etkinliği araştırması, CISO’lar için gerekli olan 14 davranış ve zihniyeti tanımlıyor. Her yıl 200’den fazla CISO performans ve davranış verilerini bu analize katkıda bulunuyor ve en son baskıda ilk beş şöyle gösterildi: Tehditlerin önünde kalmak için gelişen normlar hakkında tartışmalar başlatmak, gelişen teknolojilerin güvence altına alınmasına proaktif olarak katılmak, profesyonel faaliyetlere düzenli olarak zaman ayırmak. geliştirme faaliyeti, üst düzey karar vericilerle projeler bağlamı dışında ilişkiler kurmak ve üst düzey karar vericilerle işbirliği yoluyla risk iştahını tanımlamak.
Açıkçası, ‘gelişen teknolojilerin güvence altına alınmasına proaktif olarak dahil olmak’ okuduğunda akıl “Yapay zekadaki riskleri ve fırsatları anlamaya” yöneliyor, ancak CISO’lardan aldığım soruların çoğu projeler bağlamı dışında ilişkiler kurmanın zorluğuyla ilgili ve sorunlar. Örneğin, kıyaslamamız, CFO’lar ve Satış Başkanları ile düzenli etkileşimin en etkili CISO’ları farklılaştıran bir unsur olduğunu açıkça gösteriyor; ancak bunun farklılaştırıcı olmasının bir nedeni de, bu tür bir katılımın CISO topluluğunda nadir olması ve neredeyse her zaman çekirdekle ilgili olmasıdır. güvenlik sorunları.
Etkili CISO’lar, ‘işlevinizi nasıl daha güvenli hale getireceğinizin’ ötesine geçerek iki yönlü değer yaratmaya yöneliyor ve bu, CFO ve CSO’nun önceliklerinin gerçekten ne olduğunu anlama ihtiyacı anlamına geliyor. Spoiler uyarısı: En büyük öncelikleri siber güvenlik değildir ve olmamalıdır.
Yukarıda belirtildiği gibi, en azından ABD pazarlarında ticaret yapan şirketler için “gelişen normlar” ve “projelerin bağlamı dışında ilişkiler kurma” bağlantısında, işletmenin güncellenmiş SEC kurallarına uyma çabalarını desteklemektedir. Burada CISO’ların kendilerini aşırı genişletmesi ama aynı zamanda muazzam değer yaratması ve gerçek C düzeyinde liderlik sergilemesi yönünde büyük bir risk var. Dolayısıyla beceri geliştirme açısından CISO’ların bazı sınırlar koymaya odaklanması gerekiyor. Şirketin bir Memuru değilseniz, 8-K’yi imzalamayın veya örneğin önemliliğin ne olduğunu belirlemeye zorlamayın.
CISO’ların karşılaştığı en önemli zorluklar nelerdir ve bunların nasıl ele alınmasını önerirsiniz?
Daha kolay bir iş, önemsiz zorlukları listelemek olacaktır çünkü bu çok daha kısa bir liste olacaktır! Siber güvenlik lideri olmanın doğası gereği küçük sorunların olmamasıdır. Saygı duyduğum ve kendisinden çok şey öğrendiğim CISO’lardan birinin performans panosunda yalnızca kırmızı ve yeşil renk var. Sarının siber güvenlikte var olmadığını söyledi. Bir şey ya bozuktur ya da değildir! Bu perspektifte pek çok içgörü olduğunu düşünüyorum.
CISO’lar için en büyük zorluk zaman yönetimidir. Siber güvenlikte ‘masada bir koltuk için mücadele etme’ çağından çok uzaktayız; birlikte çalıştığım CISO’ların çoğu artık her masada davet ediliyor, hatta talep ediliyor! Etkinliği hızla artan CISO’ların zamanlarını acımasızca kullananlar olması şaşırtıcı değil. Kiminle ve ne kadar yoğun bir şekilde etkileşime gireceğine dair bilinçli kararlar veren ve geri kalan her şeyi devreden/otomatikleştiren kişiler.
Elbette siber güvenlik hiç de küçük bir yaşam tarzı tercihi değildir; dolayısıyla iş/yaşam dengesini oluşturan unsurlar her CISO için farklı olacaktır. Ancak uzun yıllara dayanan analiz ve deneyimler, çoğu CISO’nun “her zaman açık” olmanın rolün bir gereği olduğuna inanarak işe girdiğini açıkça ortaya koyuyor. ‘Masaya oturmak için mücadele etme’ döneminin miraslarından biri de her yerde olma ve elimizden gelen her yere değer katma arzusudur. Bu davranışlar ve zihniyetler ölçeklenmiyor; bu, CISO rolündeki inanılmaz personel değişimi ve tükenmişlik oranlarının da gösterdiği gibi.
Çözüm, kulağa ne kadar basit gelse de, zamana en kıt kaynağınızmış gibi davranmaya başlamaktır. Rol için diğer kritik becerileri geliştirdiğiniz gibi, zaman yönetimi becerilerini de geliştirin. Aslında, müşterilerimi desteklemenin en sık yollarından biri, CISO Etkinliği kıyaslamamızda “kişisel gelişimi” gördükten sonra, bu beceriyi geliştirmelerine yardımcı olmak için zaman yönetimi atölye çalışmaları düzenlemektir.
CISO’lar siber güvenliğin teknik yönlerini artan iş zekası ihtiyacıyla nasıl dengeleyebilir?
CISO’ların derin düzeyde teknik yeterliliğe ihtiyacı vardır; siber güvenlik, teknolojiye büyük bağlantılar olmadan çalışmaz ve CISO’dan bir veya iki katman aşağı indiğinizde teknoloji her şeydir! Yalnızca güvenilirlik nedeniyle, CISO’nun fonksiyona aktif olarak katkıda bulunabilmesi için teknik bilgiye sahip olması gerekir. Sektörünüzün veya şirketinizin büyüklüğüne bağlı olarak teknoloji konusunda uygulamalı olmak, rolün uygun ve gerekli bir parçası olabilir. Çoğu bilgili CISO’nun yalnızca ‘politika/yönetim’ olarak değer sunabileceklerine inanma zihniyetinin ötesinde olduğunu düşünüyorum.
Aynı zamanda, çoğu CISO teknoloji ve operasyon dünyasından geldiği için, liderliğin muğlak ve çoğu zaman politik dünyası ile karşı karşıya kaldıklarında, kendi konfor alanları olan teknolojiye aşırı yatırım yapmak çok kolaydır. Bu nedenle, giderek artan sayıda CISO’nun teknoloji dünyasıyla bağlantılarını sürdürmek için kıdemli güvenlik mimarlarına güvendiğini, gerçekten yönetici düzeyinde dikkat gerektiren alt kümeye odaklanmak için birçok fırsatı değerlendirdiğini görüyoruz. Ayrıca, CISO’nun ‘her satıcıyı kişisel olarak seçme’ konumuna düşmemesi için liderlik ekiplerinin özerk olarak daha fazla karar almalarını sağlamak.
Son olarak, CISO rolünün geleceğini nasıl görüyorsunuz ve bu alandaki profesyoneller hangi trendlere hazırlıklı olmalı?
Benim beklentim, CISO rolünün görev alanı, raporlama yapısı ve diğer çeşitli faktörler açısından oldukça çeşitli olmaya devam etmesidir. Yine, kurumsal liderlik bağlamında rol hala nispeten yenidir ve hem bilgi koruma anlayışı hem de bilgi koruma ihtiyacı sektörler arasında oldukça değişkendir; bunların tümü, CISO rolünün “sabitlendiğini” görme ihtimalimizin olmadığı anlamına gelir. yakın zamanda.
Dolayısıyla, zamanınızı acımasızca kullanmak ve kuruluşunuzun beklentileri ile gerçekten gerekli ve mümkün olan arasındaki boşluğu kapatan “Kuzey Yıldızınızı” oluşturmak… bunlar her CISO için temel odak noktaları olacaktır.
Ayrıca Gartner, 2024 yılı için en önemli siber güvenlik trendlerini açıkladı. Kısacası CISO’lara 2024 yılında çalışmalarına dokuz trendi dahil etmelerini öneriyoruz:
- Sürekli tehdit maruziyeti yönetimi
- IAM’in siber güvenlik değerini genişletme
- Üçüncü taraf siber güvenlik risk yönetimi
- Gizlilik odaklı uygulama ve veri ayrıştırma
- Üretken Yapay Zeka
- Güvenlik davranışı ve kültürü programları
- Siber güvenlik sonuç odaklı ölçümler
- Gelişen siber güvenlik işletim modelleri
- Siber güvenlikte yeniden beceri kazandırma