Yazan: Craig Burland, CISO, Inversion6
Modern işletmelerin üst düzey yöneticilerinde ve toplantı odalarında, stratejik tartışmaların şenliğini sıklıkla bozan, istenmeyen bir misafir vardır: siber gerçek. Siber gerçek, mevcut eksikliklere ışık tutan, yeni girişimler etrafındaki coşkuyu azaltan ve yeni girişimlere yönelik coşkuyu bastıran, Baş Bilgi Güvenliği Görevlisi (CISO) tarafından sunulan riskin sade gerçekliğidir. Kuruluşlar dijital dönüşümle mücadele ederken, kritik sertifikalar almaya çalışırken veya yapay zeka gibi modern yeteneklerden yararlanırken CISO’nun tuzakları ve çukurları ortaya çıkarmadaki rolü vazgeçilmezdir. Seuss’un Lorax’ı gibi, modern CISO da siber gerçeğin sesi olmalıdır.
“Ben CISO’yum. Riskler adına konuşuyorum.”
Düzeltme eki uygulanmamış güvenlik açıkları, uyumlu olmayan uygulamalar ve güvenli olmayan uygulamalar hakkındaki gerçekler, bir kuruluşun üst düzey yöneticileri tarafından sıklıkla şüpheyle karşılanır. “Riski kanıtlama”, cezaların miktarını belirleme veya iş sürtüşmelerini artırma talepleri, liderlerin tehditleri göz ardı etmek ve işe devam etmek için takip ettiği birçok taktikten bazılarıdır. Ancak SEC’in açıklama kuralları ve son eylemleri, kanıtları göz ardı etmeyi seçen kuruluşlar için ön plana çıkıyor ve CISO’ların, liderlerin yüzleşmeye isteksiz olabileceği siber gerçekleri aktarmaya devam etmelerini talep ediyor.
Her risk için Monte Carlo simülasyonları çalıştırmanın yetersiz olduğu CISO’ların, karmaşık teknik riskleri tüm organizasyona yansıyan iş etkilerine ayırması gerekiyor. Siber güvenlik, teknik olmayan liderlerin kavraması zor olabilecek teknik nüanslarla dolu karmaşık bir alandır. Bu nedenle başarılı bir CISO’nun iki dilli olması, hem teknoloji hem de iş dillerini akıcı bir şekilde konuşması gerekir. Siber riskleri somut iş etkilerine (gelirdeki potansiyel kayıplar, marka hasarı veya mevzuata uyumsuzluk) dönüştürmeleri gerekir. Bu, tüm risklerin ortadan kaldırılamayacağını ancak kabul edilebilir bir seviyeye kadar yönetilebileceğini kabul eden, risk yönetimi konusunda incelikli bir anlayış gerektirir.
“Riskler adına konuşuyorum, çünkü risklerin dili yoktur.”
Ancak mesele sadece sorunları dile getirmek değil, CISO’nun aynı zamanda sorun çözücü olması da gerekiyor. İşletmeyi korurken etkinleştirmenin yollarını bulmak için diğer liderlerle işbirliği içinde çalışmalı; başkalarının şirketin risk iştahına ve stratejik yönüne dayalı olarak bilinçli kararlar almasına olanak tanıyan içgörüler ve öneriler sunmalıdırlar. Ancak bir CISO’nun etkinliği yalnızca ihlallerin olmamasıyla ölçülmez; işletmenin hesaplanmış riskleri güvenle almasını sağlayan şey onların yeteneğidir. CISO, siber güvenliğin her projenin DNA’sında yer almasını sağlamak için çalışmalıdır. Güvenliğin sonradan akla gelen bir düşünce değil, her girişimin temel bir bileşeni olmasını sağlamak için tasarım gereği güvenlik ilkelerini savunmalı ve savunmalıdırlar. CISO’lar, kuruluşları siber riskleri proaktif bir şekilde kabul etmeye ve ele almaya zorlayarak yalnızca kuruluşu korumakla kalmaz, aynı zamanda dayanıklılığına ve uzun vadeli başarısına da katkıda bulunur.
CISO’lar aynı zamanda risk önceliklendirme sorunuyla da karşı karşıyadır. İdeal bir dünyada her güvenlik açığı kapatılır, her tehdit etkisiz hale getirilir, her uyarı araştırılır. Ancak kaynaklar kısıtlıdır, yatırımlar sınırlıdır ve tüm riskler eşit yaratılmamıştır. CISO, bazı alanların savunmasız kalacağını bildiğinden, öncelikle neyin korunacağı konusunda sıklıkla zor kararlar vermek zorundadır. Bu, en kritik varlıkların en yüksek düzeyde koruma almasını sağlayacak şekilde işin derinlemesine anlaşılmasını gerektirir. Daha sonra hafifletmek için müzakere ve ticari büyümeyi şimdi gerektiriyor. Kabul edilen riskleri yeniden gözden geçirmek için verilen istisnaları takip ederek disiplin ve organizasyon gerektirir. Son olarak, liderlerin risk-ödül hesaplamasını anlamasını ve desteklemesini sağlayarak daha fazla şeffaflık gerektirir.
“Senin gibi biri çok fazla umursamadığı sürece hiçbir şey düzelmez. Öyle değil.”
Bu sorumluluklar göz önüne alındığında, CISO’nun gerçeği söylemesi stratejik öneme sahip bir eylemdir. Siber gerçekler artık bir kenara bırakılamaz veya küçümsenemez; bir kuruluşun stratejik kararlarında, günlük önceliklendirmede ve piyasa ve düzenleyicilerle diyalogda ön planda ve merkezde yer almaları gerekir. Bu şeffaflık yalnızca kanunların lafzına uymakla kalmıyor, aynı zamanda yatırımcıların güvenini de inşa ediyor; bu da şirketin özenli risk yönetimi ve operasyonel dürüstlük konusundaki kararlılığını gösteriyor. Siber gerçek, her ne kadar zahmetli olsa da, artık hem yatırımcılar hem de düzenleyiciler tarafından incelenen, kamu yararına olan bir meta haline geldi. Dijital riskler finansal ve itibar risklerine dönüştükçe, CISO’nun rolü bir stratejist, savunucu, müjdeci ve iletişimci rolüne evrilir; bu, dijital çağın tehlikeli sularında gezinmek için gerekli olan bir çağrıdır. CISO’lar, kuruluşların siber güvenlik risklerini ve gerçek siber güvenlik duruşlarını – siber gerçeklerini – duymalarını, anlamalarını ve (isteksizce de olsa) kabul etmelerini sağlayarak, günümüzün kurumsal başarısını tanımlayan güven ve dayanıklılık sütunlarını destekler.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, bir Fortune 200 Şirketi için bilgi güvenliği operasyonlarına liderlik eden en son rolü de dahil olmak üzere onlarca yıllık sektör deneyimini Inversion6’ya taşıyor. Aynı zamanda Kuzeydoğu Ohio Siber Konsorsiyumunun eski Teknik Eş Başkanı ve Çözümsel MSSP, NTT Küresel Güvenlik ve Oracle Web Merkezi’nin eski Müşteri Danışma Kurulu Üyesidir. Craig’e çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi http://www.inversion6.com’dan ulaşılabilir.