Siber güvenlik, işletmelerde hiç bu kadar görünür olmamıştı. Şirketleri etkileyen bilgisayar korsanlığıyla ilgili çok sayıda hikaye, bunu gündemin üst sıralarına taşırken, Menkul Kıymetler ve Borsa Komisyonu’nun siber güvenlik raporlamasına ilişkin gereklilikleri, diğerlerini de konumlarını iyileştirmeye zorlayacak. Buradaki etki, yönetim kurullarının artık her zamankinden daha fazla olasılıkla CISO veya eşdeğerini içermesi anlamına geliyor.
Heidrick ve Struggles’ın 2022 Bilgi Güvenliği Sorumlusu Anketine göre, CISO’lar zaten yönetim kurulunun kulağına sahip – %88’i faaliyetlerinde aylık olarak tüm yönetim kuruluna veya bir siber güvenlik kurulu komitesine sunuluyor.
Yani siber güvenlik profesyonelleri olarak etkimizin hissedildiği ve ulaşmak istediğimiz hedeflere ulaşabileceğimiz o vaat edilmiş topraklara ulaşmalıydık, değil mi? Yanlış. Bir arabayı kovalayan bir köpek gibi, şimdi onu yakaladık ve ortaya çıkan sorumlulukla tam olarak neyi başaracağımızı hesaplamalıyız. Gerçek şu ki, zor iş daha yeni başlıyor.
Eylem, Söz Değil
Bu başlı başına bir beceri olsa da, kurulun anlayabileceği şekilde güvenlikle ilgili içgörü sağlamak yeterli değildir. CISO’ların karşılaştığı en büyük zorluk, güvenlik süreçlerimizin ve güncellemelerimizin riski ölçülebilir ve ulaşılabilir yollarla azaltacağını nasıl göstereceğimizdir. Masada bir koltuk kapmak için mücadele eden bizler için, bu ani yanıt, tüm bu yatırımın geri dönüşü için kötü görünebilir.
Yönetim kurulları risk ve yükümlülüklerle ilgilenir, bu nedenle yaklaşımınız risk, olasılık ve hafifletmelere odaklanmalıdır. Eyleme yapılan bu vurgu, yaklaşımınızda değişiklik yapmak için muazzam bir teşvik olabilir. Bu aynı zamanda operasyonunuz genelinde daha fazla temel bilgiyi nasıl alacağınıza bakmak için bir fırsat olabilir. Varlık yönetimi ve yama uygulama gibi izleme alanları, yönetim kurulu raporlamasıyla ilgili olmayabilir, ancak bu süreçlerin otomasyon ve yapay zeka kullanılarak iyileştirilmesi önemli iyileştirmelere yol açabilir.
Örneğin, daha fazla yönetim kurulu desteği almak, güvenlik planlamasına ve sürecine bu “boş kağıt” yaklaşımını benimseme, kurulun güncellemeleri veya yeni çalışma yöntemlerini zorlama yetkisini kullanma fırsatı sağlayabilir. Ancak, çoğu yerleşik şirket için bu yaklaşım mümkün olmayabilir. Çoğu kuruluş, güvenlik duruşlarını ifade ederken ihlal edileceklerini düşünür. Artık bir adım daha ileri gitmeleri ve değişimin kaçınılmaz olduğunu ve bazı geleneksel süreç ve tekniklerin mevcut tehditlerin düzeyine ve karmaşıklığına ayak uyduracak kadar hızlı olmadığını kabul etmeleri gerekiyor.
Etki Göster
Buradaki ikinci unsur, eylemlerinizin bir etkisi olduğunu göstermektir. Bunun için yaptığınız değişikliklerin hemen sonuç verip vermeyeceğini veya uzun vadede hissedilip hissedilmeyeceğini göz önünde bulundurmalısınız. Aynı şekilde, bu sonuçların bir defaya mahsus iyileştirmeleri mi yoksa uzun vadeli kazanımlar için fırsatları mı temsil ettiğini anlamanız gerekecek çünkü bu, bu alanları kurulla nasıl tartışacağınızı etkileyecektir. Bu yaklaşım bir uyarı ile gelir – riske baktığınızdan emin olun. Hızlı kazanımlar halkla ilişkiler için iyi olsa da her zaman riski azaltmazlar, bu nedenle CISO’lar her ikisini de yapmalıdır.
Rolde yeni olanlar için değişiklik yapmak hızlı iyileştirmelere yol açabilir. Örnek olarak, yamalarda önceliklendirmenin iyileştirilmesi, kritik ve yüksek güvenlik riski taşıyan sorunların düzeltilmesini kolaylaştırmalıdır. Bu sorunların, üzerinde anlaşmaya varılan hizmet düzeyi sözleşmesi parametreleri dahilinde çözüldüğünü kanıtlamak, sorunları ve dolayısıyla riskleri etkin bir şekilde yönettiğinizi göstermenin harika bir yoludur. Ancak, SLA’nızın değişmesi gerekebilir; örneğin, kritik sorunlar için yama uygulamak için 30 gün yeterli değildir. Bu veriler, zaman içinde iyi yönetilen ve bakımı yapılan bir sistem gösterebileceğiniz için siber sigorta prim maliyetlerini azaltmak için de kullanılabilir.
Bunun bir parçası olarak, uzun vadeli performansla ilgili beklentileri nasıl yöneteceğinize de bakmalısınız. Siz geliştikçe, risk seviyesi zamanla düşmeye devam edecek – ancak eğri daha az dik olacak ve kazançlar daha marjinal olacaktır. Zamanla, performansı iyileştirmenin maliyeti çok daha yüksek olabilir ve getirisi daha az görünür olabilir. Bu, güçlü risk yönetimi vurgusu ile etkili, olgun bir siber güvenlik programının işaretidir, ancak bunu başarmak uzun zaman alacaktır. Bu nedenle, performans ve riske ilişkin beklentileri erken belirlemek, harekete geçmeye devam etmek için ihtiyacınız olan nefes alma alanını bulmanıza yardımcı olacaktır.
Harekete geç
Yönetim kurulu düzeyinde dikkat çekmek, kariyer yolculuklarının bir parçası olduğundan ve onları gelecekteki roller için iyi bir yere koyduğundan, birçok CISO’nun sahip olduğu hedeflerden biridir. Bu, ne yaptığınıza ve önceliklerinizin nasıl gerçekleştirildiğine vurgu yapar. Yönetim kurulu raporlarında konuştuğum bir CISO’ya göre, bu Oscar Wilde’ın ünlü sözüne benziyor: “Hakkında konuşulmasından daha kötü olan tek şey, hakkında konuşulmamasıdır.” Harekete geçmek, bu ilgiye layık olduğunuzu göstermenin en iyi yoludur.