Kısa bir süre önce, siber güvenlik bir işletmenin geri kalanından ayrı bir şey olarak görülüyordu (ayrı bir odada çalışan kapşonlu iki adam düşünün). Ancak son on yılda nihayet hak ettiği ve uzun süredir ihtiyaç duyduğu takdiri ve ilgiyi gördü. Giderek artan sayıda şirket, genel iş stratejilerini şekillendirmeye yardımcı olması için bilgi güvenliği sorumluları (CISO’lar) işe alıyor ve bu da güvenliği kurumsal yönetim kurulları için en önemli öncelik haline getiriyor. Sonunda, CISO’lar, güvenliğin bir “hayır” departmanı olarak değil, bir iş kolaylaştırıcı olarak rolünü anlamaya ve ana hatlarıyla belirlemeye başlıyor.
Her şey gelişiyor ve önemli bir boşluk var gibi görünse de bu değişimlere tanık olmak heyecan verici.
İş dünyasında güvenliğin gelişen yeri hakkındaki tartışmaların çoğu, CISO’ların rolü ve sürekli genişleyen sorumlulukları etrafında toplanıyor: yüksek performanslı ekipleri işe alın ve büyütün, diğer departmanlardan liderlerle ilişkiler kurun, yukarıdan aşağıya iletişim kurun ve yönetin, amaç ve hedeflerine ulaşmak için iş ve benzeri. Bu konuşmaların çoğunda eksik olan şey, güvenlik uygulayıcıları ve güvenliğin iş tarafını anlamalarının onlar için ne kadar önemli olduğudur.
CISO’ların işin iyi yürümeyeceğini düşünen tek kişi olmasının iki önemli nedeni vardır: 1) İşi anlamadan, güvenlik uygulayıcılarının onu güvence altına almak için iyi bir iş çıkarması zordur; ve 2) siber güvenliğin iş tarafını anlamadan, teknik güvenlik uzmanlarının endüstrinin geleceğini inşa etmede etkili olmaları zordur. Bu faktörlerin her birine daha yakından bakalım.
Anlamadığınız Şeyi Güvenceye Alamazsınız
Her organizasyonun ortamı farklıdır. Çalışanlar tarafından kullanılan farklı araçlar ve uygulamalar, insanların işbirliği yapma biçimleri, şirketlerin topladığı farklı veri türleri ve en önemlisi, korunmaya ihtiyaç duyan farklı taç mücevherleri vardır. Bu farklılıkların çoğu (hatta çoğunu söyleyebilirim) şirketin içinde bulunduğu işin doğrudan sonuçlarıdır. Bir buzdolabı üreticisinin, bir pazarlama ajansının veya bir biyoteknoloji laboratuvarının yapacağından farklı türde riskleri ve verilerine erişimi olan farklı türde tarafları vardır.
Güvenlik uzmanları her gün kuruluşlarının güvenlik duruşunu etkileyen kararlar alıyor; iş hakkında kritik bilgilere sahip tek kişi olarak CISO’lara güvenemezler. Şirketin nasıl gelir elde ettiğini, satış görevlilerinin birbirleriyle ve potansiyel müşterileriyle nasıl bilgi paylaştığını, finans ekiplerinin uzaktan çalışırken bilgilere nasıl eriştiğini ve satıcılara nasıl ödeme yapıldığını anlamak, kuruluşun ortamını düzgün bir şekilde güvence altına almak için çok önemlidir. İstatistiksel olarak, bir şirketin bir ihlale maruz kalması daha olasıdır çünkü bazı departmanlar kendi iş sürecini nasıl kurmuştur? Apple tarafından bulunan en son sıfır gün (ancak ikincisini öğrenmek haklı olarak daha heyecan verici olabilir).
Anlamadığınız Şeyi Yenileyemezsiniz
Tüm güvenlik uygulayıcıları girişimci olmamalıdır, ancak bazıları kaçınılmaz olarak olacaktır. Geleceğin siber güvenlik kurucuları, çözmeye değer sancılı bir sorun bulmadan ve bunu yapma kararlılığı oluşturmadan önce genellikle sektörde uzun yıllar geçirirler. Bu, güvenlik girişimcilerinin bir girişim başlattıklarında endüstrinin teknik yönü hakkında derin bir anlayışa sahip oldukları anlamına gelir. Ne yazık ki aynı şey siber güvenliğin iş tarafı için geçerli değil.
Meraklı kalmak, sorular sormak ve şirketin diğer bölümlerinden insanlarla ilişkiler kurmak, geleceğin kurucularına ve güvenlik liderlerine aşağıdaki konularda yardımcı olur:
- Organizasyonlarda satın alma sürecinin nasıl işlediğini, kimlerin dahil olduğunu ve kararların nasıl alındığını anlamak.
- Bir işletmenin hangi alanlarının mevcut güvenlik çözümleri tarafından gözden kaçırıldığı ve hangi sorunların henüz çözülmediği konusunda bir anlayış oluşturmak.
- Bir şirketi yönetmek için gerekenlere ve farklı işlevlerin genel başarıya nasıl katkıda bulunduğuna dair daha geniş bir görüş geliştirmek.
- Farklı şirket türlerine, farklı gelir modellerine ve organizasyon yapılarına ve bu faktörlerin iş sonuçlarını nasıl etkilediğine dair geniş bir bakış açısı elde etmek.
Kişinin korumaya çalıştığı kuruluşun işini anlamak, doğru savunma önlemlerini oluşturmak için kritik öneme sahip olsa da, siber güvenliğin iş tarafının nasıl göründüğünü bilmek, kurucuların teknoloji hakkında unutacakları kadar heyecanlanmamalarını sağlamak için yararlıdır. şirketin büyümesi için sürdürülebilir bir iş modeli olması gerekiyor.
Geleceğe Bakmak
Bir zamanlar yazılım geliştirme, bugün güvenliğin olduğu yerdeydi ve mühendisler işlerin iş tarafını düşünmek zorunda değillerdi. Bir ürün yöneticisi gereksinimleri getirir ve geliştiriciler herhangi bir soru sormadan bunları çalışan bir yazılıma dönüştürürdü. Günümüzde ürün geliştirme, kolektif problem çözme olarak görülüyor; geliştiriciler, tasarımcılar ve ürün yöneticileri iş hedeflerine ulaşmak için birlikte çalışıyor. Bunun için, ürün uzmanlarının teknolojinin temellerini anlaması ve mühendislerin şirketlerinin içinde bulunduğu işi güçlü bir şekilde kavraması gerekir.
Güvenlik uygulayıcıları, korumakla görevlendirildikleri kuruluşların iş tarafını ve genel olarak sektörü anlamada ne kadar erken proaktif hale gelirse, işlerini o kadar iyi yapabilecekler ve değişen yenilikleri geliştirme olasılıkları o kadar yüksek olacak. endüstride işlerin daha iyi yürüme şekli. Hiç kimse MBA almalarını beklemese de, her güvenlik uygulayıcısı pazarlama, satış, müşteri hizmetleri, finans, operasyonlar ve benzeri alanlarda biraz görünürlük elde etmekten fayda sağlayacaktır. Sonuçta, iş süreçleri birçok güvenlik açığının geldiği yerdir.