Kurumsal ortamlarda CISO rolü olgunlaştıkça ve güvenlik yöneticileri konumlarını teknoloji yöneticilerinden daha kapsamlı risk danışmanlarına ve iş liderlerine yükselttikçe, kariyer ilerlemeleri de değişiyor. Güvenlik liderleri, artan iş becerilerini üst düzey yöneticilerdeki daha geniş bir yönetici pozisyonları sınıfına aktarmaya çalıştıklarından, CISO artık günümüzde insanlar için nihai yönetici hedefi değil.
CISO’ların bariz dönüşlerinden bazıları baş risk sorumlusu (CRO) ve baş bilgi sorumlusu (CIO) rolleri oldu. Giderek yaygınlaşan bir başka değişim ise baş teknoloji sorumlusu (CTO) pozisyonuna doğru oldu. Yazılım mühendisliği, ürün geliştirme ve teknoloji mimarisinde tasarım gereği güvenliliğe yönelik hem güvenlik hem de yönetim kurulu düzeyindeki iş çevrelerinde davul ritminin artmasıyla birlikte, CTO pozisyonlarını eski CISO’larla doldurmak, doğru koşullar altında harika bir bahis gibi görünüyor.
Eğilimi kanıtlayacak herhangi bir istatistiksel destek henüz olmasa da, 20 gibi şirketlerle ilgili anekdotsal kanıtlar artıyoro Century Fox, Bank of America ve Fifth Third Bank, son birkaç yılda CISO’larını CTO rollerine yükseltiyor. Bu aynı zamanda birkaç ay önce CISO Jamil Farshchi’yi ortak CTO ve CISO pozisyonuna yükselten kredi raporlama devi Equifax’ın da izlediği yoldur.
Farshchi ise bu geçişin hem kendisi hem de altı yılı aşkın işvereni için bir fırsat olduğunu söylüyor. Diğerlerinin yanı sıra The Home Depot, Time Warner, Los Alamos Ulusal Laboratuvarı ve NASA’da görev alan kıdemli bir CISO olan Farshchi, 2017’deki büyük veri ihlalinin ardından Equifax’a geldi. Kendisine yalnızca bir güvenlik programı dönüşümü sağlamak için değil, aynı zamanda işletmenin dijital dönüşüm çabalarını desteklemek için derin organizasyonel ve teknolojik değişiklikleri etkilemeye yardımcı olmak görevi verildi.
“CISO olarak ekibim ve ben, en başından beri teknolojiyle yoğun bir şekilde ilgileniyoruz. Raporlama hattının yapılanma şekli nedeniyle, tüm zaman boyunca CEO’ya rapor veriyorum” diye açıklıyor. “Öyleyse, birkaç ay önce önceki CTO’muzun ayrıldığı zamana (başka bir şirkette CEO olmak için başka bir fırsat yakaladı) benden devreye girip teknolojinin dizginlerini elime almam ve rolümü bu alana da genişletmem istendi. “
CISO’lar CTO’ya Uygulanabilir Becerilere Sahiptir
Equifax promosyonu kendini göstermeden önce bile Farshchi, güvenlik camiasında benzer geçişlerin gerçekleştiğine dair kanıtlara tanık olduğunu söylüyor. Arkadaşlarının CISO’dan CTO’ya veya ürün türü pozisyonlarının başına geçtiklerini görmekle kalmamış, aynı zamanda CEO’lardan ve işe alım uzmanlarından, CISO’nun CTO rolleri için anlamlı olup olmayacağını soran daha hassas sorular da yanıtlamıştı. Ona göre bu kesin bir ‘evet’.
“Bir CTO olarak teknolojide başarılı olmak için gereken pek çok davranış, pek çok uygulama, pek çok beceri seti, stratejik düşünme vb. aynı zamanda başarılı olmak için ihtiyaç duyulan niteliklerle tamamen aynıdır. bugün güvenlikte” diye açıklıyor.
Bu, bugün güvenlik ve teknoloji liderliği topluluğundaki birçok kişi tarafından paylaşılan bir duygudur. Uzun süredir siber güvenlik ve yönetici geliştirme uzmanı olan ve Dijital Direktörler Ağı’nı yöneten Bob Zukis’e göre, yüksek teknoloji uygulayıcılarından ziyade gerçek iş liderleri olan kurumsal CISO’lar çok yönlü bir gruptur ve birçoğu onlara saldırmaya hazırdır. CTO’ya geçişle birlikte temeller atılıyor.
” CISO işinin büyük bir kısmı, doğal olarak, stratejikten operasyonele kadar bir CTO rolüne dönüşüyor. İşlevler arası çalışmaya alışkınlar, kuruluş çapında risk perspektifinden çalışmaya alışkınlar. Alışkınlar: teknolojileri operasyonel hale getiriyorlar. Bir güvenlik fonksiyonundan birçok yenilikçi teknolojiyi kullanıyorlar” diyor. “Artık bağlam, değerleri koruma yöneliminin aksine, değer yaratan bir yönelimden teknolojileri stratejik olarak seçmeye ve uygulamaya başlamaya başlıyor.”
MDR sağlayıcısı CriticalStart’ın CTO’su Randy Watkins, işlevler arası uzmanlık ve deneyimin CISO’ların CTO adayları olarak masaya getirdiği en büyük faydalardan biri olduğunu söylüyor. CTO’lar genellikle pek çok alandan geçer ve ister pazara teknoloji özellikli ürünler getiriyor olsun, ister sadece çok sayıda dahili müşteriyi ve iş grubunu destekliyor olsun, mühendislik, ürün ekipleri, iş grupları vb. arasındaki birçok karmaşık ilişkiyle uğraşır. İşe yönelik uygulamalar ve platformlar ile.
CISO’nun işleri halletmek için diğer BT grupları ve iş gruplarıyla birlikte çalışması gerektiğini açıklayarak, “CISO’lar çapraz işlevlere sahip olmak zorundaydı çünkü kendi bütçeleri ve yeterli personel sayıları yoktu” diyor ve yönetici paydaşların işleri halletmesi ve güvenlik girişimlerinin uygulanmasını sağlaması. “Dolayısıyla çapraz işlevler kesinlikle bir CISO’nun sahip olması gereken bir güçtür ve bu, bir kuruluştaki her kıdemli lider için güçlü bir güçtür. Gerçekten oldukça yüksek bir tavanın kilidini açıyor.”
Kendisi bir CISO olmasa da Watkins, güvenlik geçmişinden geliyordu ve Critical Start’taki görevine geçmeden önce güvenlik mimarisinin yöneticisiydi. Şirket bir güvenlik firması olduğu için birkaç yıl önceki geçişi oldukça sorunsuzdu. Her ne kadar bazı CISO’ların bir CTO pozisyonunda başarılı bir şekilde ilerlemek için benzer şekilde tazelemeleri gerekebilecek bir alan olan ürün yönetimi konusundaki bilgi ve becerilerini genişletmesi ve geliştirmesi gerektiğini hissetti.
“En büyük öğrenme eğrisi, ürün yönetimi yaşam döngüsünü, çevik anlayış şelalesini, bunların her birinin avantajlarını ve dezavantajlarını anlamaya çalışmaktı” diyor. “Gerçekten zaman çizelgeleri ve son teslim tarihleri oluşturmak ve sprint döngülerini, yayın tarihlerini ve yayın türlerini anlamak çok zordu. Ve bunun yaşam boyu bir öğrenme süreci olduğunu hissediyorum.”
Watkins, bir güvenlik firmasının CTO’su olarak CISO topluluğundaki arkadaşlarıyla hâlâ oldukça iyi bağlantılara sahip olduğunu söylüyor. Kendisi, bu grubun bugünlerde onlar için iyi bir yanının, giderek daha fazla ürün bilgisine sahip olmaları olduğunu ve bunun gelecekte CTO kontenjanları için rekabet etmeyi ümit edenlerin çoğuna yardımcı olacağını söylüyor. Bu bilgililiğin iki nedenden dolayı geliştiğini söylüyor.
“Birincisi, çünkü genellikle danışmanlık almak için çağrı alıyorlar ve VC’ler ve PE’ler tarafından en son ve en harika teknolojileri hakkında konuşmak üzere çağrılıyorlar” diyor. “Ve ikincisi, bizim gibi üreticilerle konuşmak zorunda oldukları ve ürün döngümüzün nerede yerine oturduğunu ve işimizi geliştirmeye nasıl daha fazla değer katabileceklerini anlamak istedikleri için. Bu, esnekliği ve hareketliliği değiştirmek için çok şey yapıyor. bu CISO rolü.”
Güvenlik Odaklı CTO’lar Tasarım Yoluyla Güvenliği Destekliyor
Belki de CISO’ların CTO adayları olarak sağladıkları en iyi fayda, inovasyon döngüsüne getirdikleri risk yönetimi zihniyetidir.
Zukis, “Bu kesinlikle inovasyon yaşam döngüsünün başlarında güvenlik tartışmasını daha da artıracaktır ki bunun çok ama çok iyi bir şey olacağını düşünüyorum” diyor.
Watkins tüm kalbiyle aynı fikirde.
“Güvenlik odaklı bir kişinin girdiği her pozisyonu seviyorum çünkü bu pozisyon, güvenlikle ilgili doğal bir bilgi ve düşünce süreci getiriyor; üst düzey bir pozisyon olmasa da sadece güvenlikle ilgili olmayan bir role geçiş yapan bir güvenlik görevlisi olsa bile, ” diyor Watkins. “Güvenlik düşünce sürecini, taşındıkları her küçük alanda iç içe geçirmede etkilidir.”
Bu, genellikle kültür ve teşvik sorunları nedeniyle diğerlerinden daha fazla askıya alınan, tasarım gereği güvenli girişimler için çok büyük şeyler yapabilir. Güvenlik konusunda deneyimli bir CTO’nun, mühendislik ekibinin güvenli ürünler geliştirmesi ve yaratması için daha iyi teşvikler yaratma konusunda içsel olarak motive olma olasılığı çok daha yüksektir. Daha da önemlisi, eski bir CISO’nun, yeni bir ürün veya platformun planlamanın ilk aşamalarında getireceği potansiyel risklerin farkında olma olasılığı daha yüksektir.
Farschchi, “Bir güvenlik görevlisini CTO haline getirmeyi seçen herhangi bir kuruluşun tasarım gereği güvenli olmasından büyük ölçüde faydalanması gerektiğini düşünüyorum” diyor. “Güvenlik konusunda güçlü bir bakış açısına sahip olacaklar ve daha sonra acele edip kaçmak yerine, onu en başından itibaren inşa edecekler.”