Güvenlik mülakatı: ‘Hayır’ zihniyetini yönetmek


Sharp Europe, hem evlerde yaşayan insanlara hem de işletmelere elektronik cihazlar, aletler ve ekipmanlar satmaktadır. İş teklifleri artık yönetilen hizmetler ve BT destek hizmetleriyle genişlemiştir. Matt Riley, şirketin veri koruma ve bilgi güvenliği görevlisidir. Hem Sharp’ın dahili güvenliğinde hem de ticari fırsatlarda sorumlulukları vardır.

Avrupa iş dünyasında Riley’nin iki parçalı bir rolü vardır. Birincisi, bilgi güvenliği dünyasıyla örtüşen ve işletmenin yalnızca veri koruma risklerini değil aynı zamanda bilgi güvenliği risklerini de göz önünde bulundurarak çalışmasını sağlayan daha geleneksel bir veri koruma görevlisi tipi roldür.

İngiltere iş dünyasındaki rolünün diğer kısmı, potansiyel fırsatlara ve tehditlere bakmaktır. Bu, Sharp’ın dahili olarak kapsar ve iş müşterilerinin düzenlemeler ve teknoloji etrafındaki karmaşık sorunları çözmesine yardımcı olur.

Örneğin, İngiltere Avrupa Birliği’nden ayrıldığında, Genel Veri Koruma Yönetmeliği’ni (GDPR) tam olarak benimsedi ve Riley’nin de belirttiği gibi, bu sayede işletmeler çok fazla değişiklik olmadan AB’ye ve AB’den veri akışıyla faaliyetlerine devam edebildi.

Ancak, diyor ki: “İngiltere muhtemelen GDPR gibi şeylerden uzaklaşacak ve bu da daha fazla belirsizliğe yol açacak. Benim rolümün bir parçası da bu belirsizlik seviyesini anlamak ve ardından Sharp’ı dahili olarak desteklemek.”

Teknoloji risklerine ve fırsatlarına bakıldığında, birçok iş lideri, üretken AI’nın (GenAI) sunduğu fırsatlardan yararlanmak istiyor. Ancak düzenleyici uyumluluk perspektifinden bakıldığında, Riley ihtiyatlı davranıyor. “GenAI etrafında yeterince anlaşılmayan çok fazla risk var,” diye uyarıyor.

Riley, ChatGPT’nin kullanımının ne kadar kolay olduğunu göz önünde bulundurarak teknolojinin risklerini inceleyen bir makaleyi yakın zamanda LinkedIn’de yayınladı.

“Burada bazı çizgiler çizmeye başlamamız gerekiyor. İnsanları yapay zeka modelleriyle ilgili gerçek temel farklılıklar konusunda eğitmeye başlamamız gerekiyor, böylece en azından insanlar bilinçli bir karar verebilirler,” diyor.

İş liderlerinin GenAI’nin faydalarını görmek isteyeceğini ancak aynı zamanda onu güvenli ve emniyetli bir şekilde kullanmak istediklerini de sözlerine ekliyor.

Kalpleri ve zihinleri kazanmak

Hemen hemen her BT güvenlik lideri gibi Riley de sık sık iş arkadaşlarıyla siber güvenlik açısından ne yapıp ne yapamayacakları konusunda zorlu konuşmaların içinde buluyor kendini.

“Benim yaklaşımım,” diyor, “cevabın asla ‘hayır’ olmamasıdır. Gerçekten önemli bir konu hakkında sürekli ‘hayır’ diyerek gönülleri ve zihinleri kazanamazsınız.”

Riley, İngiltere hükümetinin araştırmasına atıfta bulunarak, işletmelerin siber güvenliği ve BT güvenliğini yüksek bir öncelik olarak gördüğünü söylüyor: “Siber güvenlik konusundaki endişe düzeyinin arttığını biliyoruz. Ancak 10 yıl öncesine kıyasla, bunun neden önemli olduğuna dair farkındalık artık çok daha fazla.”

Riley’e göre siber güvenlik profesyonelleri için bir zorluk, siber güvenlikle ilgili bilgi düzeyinin nispeten düşük olmasıdır. İş karar vericileri siber güvenlik konusunda uzman değildir. “Sadece ‘hayır’ demek, engeller koyduğumuz anlamına gelir,” diye ekliyor.

Riley, iş arkadaşlarıyla ilerletmek istedikleri girişimler veya projelerle ilişkili siber riskler hakkında zorlu konuşmaları ele alırken hikaye anlatımını kullandığını söylüyor. Şöyle diyor: “Bu, konuştuğunuz kişiyle riski ilişkilendirilebilir hale getirmekle ilgili.”

BT güvenliğinin çok fazla teknik terminoloji kullandığı göz önüne alındığında, insanları ikna etmek, onlara anlayabilecekleri bir bağlamda riskleri anlamaları için bir yol sağlamak anlamına gelir. “Sharp’ın liderlik ekibiyle ilgili güzel bir örneğim var,” diyor, burada iş karar vericileri yeni bir kablosuz ağ ekipmanı tedarikçisi alıp almama konusunda bilinçli bir karar alabildiler.

Matt Riley

“Biz bir şirket olarak ve her şirket olarak tedarik zinciri üzerinde gerçek bir özen gösterme düzeyine sahip olmalıyız”

Matt Riley, Keskin Avrupa

“Gerçekten, gerçekten iyi bir teklifti,” diyor. “Herkes bunun harika bir fikir olduğuna çok sevinmişti. Bu yüzden şirketi incelemek için adımlar attım. Verilerimizi nasıl koruyacaklarını anlamamız gerekiyordu.”

Riley, gerekli özeni gösterdikten sonra liderlik ekibiyle bir araya geldiğini ve söz konusu BT tedarikçisine sponsor olmak için yönetim kurulu düzeyinde kimin dahil olmak istediğini sorduğunu söylüyor. “Daha sonra birkaç uyarı olduğunu söyledim. [the wireless equipment supplier] “Bize hizmet seviyesi anlaşmaları sunmuyorlar, bize çalışma süresi sağlamıyorlar, ürünlerinin asgari güvenlik gereksinimlerimizi karşıladığına dair bize hiçbir güvence vermiyorlar.”

Riley, bu konuşmanın ardından kimsenin yönetici sponsor olmaya istekli olmadığını söylüyor. “‘Hayır’ demedim, ancak onları yine de bu sonuca vardıkları bilinçli bir karara yönlendirdim,” diye ekliyor.

BT güvenlik şefleri için endişe verici büyüyen alanlar arasında, potansiyel bir başarısızlık noktası ve siber güvenlik zayıflığı olarak tedarik zinciri yer alıyor. Riley, tedarik zincirlerinin önümüzdeki yıllarda sürekli olarak katlanarak büyümeye devam etmesini bekliyor. Bu tür saldırılarla mücadele etmek, her zaman zor olan kültürel bir değişim gerektirir.

“Biz bir şirket olarak ve her şirket olarak tedarik zinciri üzerinde gerçek bir özen gösterme düzeyine sahip olmalıyız,” diyor. “Ancak risk temelli bir yaklaşım benimsememiz gerekiyor çünkü siyah ve beyaz bir dünyada yaşamıyoruz: neyin güvenli neyin güvenli olmadığı konusunda gri bir spektrumda yaşıyoruz.”

Bu bağlamda, BT güvenlik liderlerinin işletmeyi korumaya yardımcı olmak için uygun kontrolleri uygulamaya koyduklarından emin olmaları gerektiğini söylüyor.

Podcasti buradan dinleyin >>



Source link