Editörün notu: Aşağıda Gartner Başkan Yardımcısı Analisti Nader Henein’in, işletmelere ve siber güvenlik alanında liderlik sağlamaya yönelik en iyi uygulamalara odaklanan bir konuk makalesi yer almaktadır.
CISO’lara yönelik iş tanımları, sürekli olarak, kurumsal riskin azaltılması veya kötü amaçlı yazılım saldırıları gibi bir dizi açık uçlu, ölçülemeyen hedefleri tekrarlayan gereksinim listelerini içerir. Ulaşılması veya takip edilmesi imkansız olan talepler, düşük mesleki yeterlilik hissine yol açabilir.
Sonuç olarak bu durum CISO’ların en kötü tükenmişlik oranlarından birini yaşamasına yol açtı.
Güven, kuruluşlar ve çalışanlar için vazgeçilmez bir varlıktır ve iş başarısının en iyi göstergelerinden biri olarak kabul edilir, ancak bir CISO’nun görev tanımında nadiren yer alır. CISO’lar belirsiz hedeflerin bir listesine odaklanmak yerine üç temel gruba güven sağlamaya odaklanmalıdır: liderlikleri, meslektaşları ve yakın çevreleri.
Üst düzey liderlik için güven oluşturmak ve geliştirmek zorlayıcı olabilir, bu nedenle güvenin CISO için ne anlama geldiğini tanımlamaya odaklanmak önemlidir.
Kıdemli liderler arasında güven nasıl oluşturulur?
Geleneksel olarak CISO’lar daha iyi uyumluluk sağlamak, güvenlik titizliğini geliştirmek ve olay oranlarını düşürmek için bir strateji belirler. Bu girişimler bir veya daha fazla seçmen kitlesi için güvenin geliştirilmesine katkıda bulunabilir. Ancak olaylar yaşanacak, ciddiyet zayıflayacak ve güven olmazsa seçmenler destek için başka yerler aramaya başlayacak.
Kıdemli iş liderlerinin gerekli güç ve kaynaklara sahip CISO’lara güvenebilmeleri için, CISO’nun kuruluşun hedeflerini anladığını ve iş ihtiyaçları değiştikçe hızlı bir şekilde uyum sağlayabileceğini, ekiplerini bu önceliklere destek ve hizmet verecek şekilde ayarlayabileceğini bilmelidirler.
Çoğu zaman, CISO’lar iş tanımlarına geri dönerlerse kurumsal hedefleri anlamak, bunlara uyum sağlamak veya onlarla uyum sağlamakla ilgili hiçbir şey kalmayacaktır. Bunun nedeni, iş tanımlarının genellikle İK bünyesindeki profesyoneller tarafından yazılmasıdır; bu profesyoneller, CISO’ların sorumlulukları ve gereksinimleri konusunda gerçek bir anlayışa sahip olmayabilir.
Üst düzey liderliğin, CISO’ların bu gereklilikleri ne kadar iyi uyarladığını takip edecek bir kontrol paneli yoktur. Bu nedenle CISO’lar, güvenlik personelinin katılımını ve cirosunu takip etmek gibi önlemler almayı düşünmeli ve kuruluşun siber güvenlik programının yetenek olgunluğuna ilişkin sürekli iyileştirmeyi rapor etmelidir.
Çalışanlar arasında güven nasıl oluşturulur?
CISO’nun yakın çevresi, tanımı gereği, CISO ile günlük bazda çok yakın çalışacaktır. Bu çalışanlar için güven bir iletişim ve yetki devri meselesidir.
Birçok lider iletişim konusunda başarısız oluyor. Spesifik olarak, değerlerini iletmekte başarısız oluyorlar ve bunun yerine körü körüne yön veriyorlar. Liderlerin çalışanlarıyla açık diyalog kurması önemlidir; böylece CISO’nun kararlarının ardındaki mantığı, ekibin çalışmasını ve rollerinin önemini anlayabilirler.
Bunu yapmak, güvenin arttığı ve ortak anlamın olduğu bir topluluk yaratır.
Her ne kadar birçok CISO, masalarının dışında kalan birçok kararı verebilecek teknik altyapıya sahip olsa da, bu, tüm kararları kendilerinin vermesi gerektiği anlamına gelmez. Sonuçtan ne kadar uzak bir karar alınırsa, o kararın hata yapma olasılığı da o kadar artar.
Liderler yetki devri yaparak çalışanlarını güçlendirir, rollerinde daha değerli ve güvenilir hissetmelerini sağlar, böylece yol boyunca başarı olasılığını artırır. CISO’nun yakın çevresi içinde güveni geliştirmek, onların sorumluluklarını üstleneceklerine ve kendi kararlarını vereceklerine güvenerek başlar.
Liderler ve çalışanlar arasında güvenin önemi
Pek çok CISO, güvenin dürüstlük, güvenilirlik ve yeterlilik gibi bir dizi vektör olarak temsil edildiğini düşünüyor. Organik olarak güven inşa edebilen kuruluşlar, koruma, maliyet ve paydaş tanımlanabilirliğini dengeleyen güvenilir bir güvenlik programı oluşturmak için gerekli katılımı ve kaynakları güvence altına alacaktır.
Diğer yönetici liderler CISO’ya güvendiğinde mikro yönetim yapma olasılıkları azalır ve liderliğin beklentilerine ulaşmaya çalıştıklarını bilerek güvenlik programlarını desteklemeye daha yatkın hale gelirler. Liderler arasında güven oluştuğunda çalışanlar, CISO’larının yeni öncelikler belirlemesi gerektiğinde onları dinleyecektir.
Bunun tersine, liderler bir CISO’ya olan güvenlerini kaybettiklerinde, CISO’larını atlayabilir ve olay raporları için doğrudan bir güvenlik sağlayıcısına gidebilirler.
Genel olarak, üst düzey liderlik ile CISO arasındaki güven, güvenliğe işbirlikçi ve proaktif bir yaklaşımın yanı sıra güvenlik olaylarına ve krizlere çevik ve dirençli bir yanıt verilmesini sağlar.
CISO’nun yakın çalışan çevresi ile ilgili olarak güven, onlara kuruluş çapında bir güvenlik ve farkındalık kültürüne liderlik etme ve bunları etkileme yetkisi verir. Güven, rekabetçi bir pazarda kuruluşun yetenekleri çekmesine ve elinde tutmasına olanak tanır.
Liderlerine güvenen çalışanların iyi ve kötü zamanlarda onları takip etme olasılıkları çok daha yüksektir.