Etkili siber güvenlik operasyonları, korudukları şirketlerin iş modelleri ve teknoloji seçimleri kadar benzersizdir. Bunların oluşturulması ve yönetimi, esas olarak sektörümüzün görece yeni doğumundan bu yana izlediği kaotik yol nedeniyle, ortak terminoloji ve beklentiler eksikliği nedeniyle sürekli olarak karmaşık hale gelmektedir.
Siber güvenlik liderlerini ölçmek ve anlamak da benzer şekilde zordur çünkü dilimiz ve yetenekleri net değildir ve ortak bir terminoloji eksikliği, beceri kümelerinin ve niteliklerin değerlendirilmesine daha fazla yansır. Siber güvenliğin karmaşıklığı, anlaşılmazlığı ve aciliyetinin karışımı, operasyonu kimin başarılı bir şekilde yönetebileceği ve sorumluluğunu üstlenebileceği konusunda belirsiz bir tablo oluşturuyor.
Siber güvenlik işlevinin görece olgunlaşmamışlığı, unvanlar ve hiyerarşi için yetersiz kurumsal emsal bırakıyor. Bazı kuruluşlar varsayılan olarak pratikliğe odaklanır: BT’yi veya yardım masasını kim yönetirse güvenlik lideri o olur. Diğerleri, diğer tüm iş liderlerinin aşina olmadığı güvenlik ayrıntılarını yönetecek bir bilgi güvenliği sorumlusu (CISO) kiralamakla ilgileniyor. Bu yaklaşımların hiçbiri sağlıklı değil.
Güvenlikle ilgili popüler anlatıya korku, belirsizlik ve şüphe görüntüleri hakimdir. Güvenliğin korkunç olduğuna, ihlallerin kaçınılmaz olduğuna veya doğru liderin kuruluşu yenilmez kılabileceğine inandırıldık. Bu tür bir mutlakiyetçilik genellikle uzayda yeni olan ve henüz güvenlik konusunda bilgili olmayanlardan gelir. Yaygındır, yanlıştır ve hem kurum hem de birey için güvensizlik besler.
Bir rapora göre, CISO’ların karşılaştığı en büyük kişisel riskler stres (%60) ve tükenmişlik (%53) idi. Böyle olmak zorunda değil. Bu zorluklar, güvenlik konusunda yetkinliği olmayan biri tarafından yazılan ve istenen sonuçların net açıklamaları olmayan kötü yapılandırılmış CISO iş ilanlarıyla erken başlar. Ezber bozan bir değişim, bu sonuçlara ve destekleyici iş hedeflerinin güvenliği yaygınlaştırmada ve nihai olarak sağlamada oynadığı role odaklanmaktır. Ortaya çıkan CISO, kuruluşta gelişmek ve siber güvenliğin benimsenmesini ve anlaşılmasını hızlandırmak için çok daha hazırlıklıdır.
Bir CISO bunu nasıl yapar? İşte size verebileceğim tavsiye; taraftarlar, şampiyonlar ve gerçekçi beklentiler yaratmak için bir rehber.
1. Beklentileri Belirleyin
Başarılı liderler ile tükenenler arasındaki fark, mevcut önlemlerden gelecekteki potansiyel durumlara kadar siber güvenlik gerçeklerini iletmektir. Tükenmişlikler, bir organizasyonu kahramanca ihlal edilmekten koruyacakları beklentisini kabul eder ve hatta teşvik eder. Tarih, en iyi CISO’nun her şeyi engelleyemeyeceğini acı verici bir şekilde ve defalarca kanıtladı. Başarılı, daha dengeli CISO’lar, korumadaki ve ilerlemeyi gösteren gelişmelere odaklanır.
Başarılı CISO’lar, rollerinde ne yapacakları konusunda net ve şeffaftır. Güvenliğin bir takım sporu olduğu gerçeğini pekiştirirler. Bu iletişimler ve işbirlikleri, herhangi bir teknoloji satın alımından veya dağıtımından çok daha önemlidir. Güvenlik bütçeleri son dört yılda üç katına çıkmış olabilir artan siber saldırılar karşısında, ancak daha büyük bir cüzdan her sorunu çözmeyecektir.
Kuruluşunuzda ortak bir dil ve vizyon oluşturduğunuzda, belirli bir sonuç için güvenliği savunduğunuzda herkes konuları anlar. Aynı zamanda, herkesin bu yangınlardan biri durumunda ne yapacağını bildiği anlamına gelir. Sonuç olarak, günümüzün CISO tükenmişliklerinin sıklığı ve acısı gibi stres seviyeleri de azalacaktır.
2. Önce İş Yöneticisi, Sonra Siber Uzman Olun
İş sorunlarını güvenliği kullanarak çözme yeteneği, bir güvenlik uygulayıcısını bir CISO’ya dönüştüren şeydir. Bu, güvenlikle ilgili olmayan bir BT uzmanından güvenliği denetlemesini isteyen kuruluş için özellikle zordur. Bu kişi, rolün yalnızca üst düzey bir güvenlik uzmanı olmakla ilgili olmadığını anlamayabilir. Başarılı ilişkiler ve sonuçlar yaratan, riskleri, değiş tokuşları, maliyetleri anlamak ve iş hedeflerini etkinleştirmektir.
Örnek olarak, Avrupa’ya genişleyen bir şirket düşünün. Bu genişleme, Genel Veri Koruma Yönetmeliğine (GDPR) tabidir ve bu, tamamen güvenlik odaklı bir program için kritik olmayabilecek alanlardaki öncelikleri ve yatırımları etkileyecektir. Değerli bir CISO, tavsiye ettikleri kontroller için iş ihtiyacını ve bağlamını tanır. Bu örnekte, para cezaları küçük bir ihlalin mali etkisini kolaylıkla geride bırakabilir ve bu ödünleşimlerin iletilmesi iş için ve CISO’nun itibarı için iyidir.
Genel olarak, başarılı iş liderlerinin bir kişisel uzmanlık alanı vardır, ancak makro hedefleri mümkün kılarak gelişirler. CISO olarak, güvenlik uzmanlığınız siber güvenliği her zaman bir engel değil, bir iş hızlandırıcı yapmalıdır.
3. Bir Stratejiye Uyum Sağlayın
Uzun ömürlü ve başarılı CISO’lar planlama ve karar alma süreçlerinde kasıtlı ve hesaplıdır. Bir strateji olmadan tamamen tepkisel olursunuz ve kendinizi her gün, bütün gün yangınlara tepki gösterirken bulursunuz.
Bunun yerine, bir güvenlik programı tasarladığınızda, kurala göre değil istisnaya göre yönetmenizi sağlayan bir yapı oluşturun. Bu, kuruluştaki diğer kişilere rehberlik etmek için bir meşale yakarak onların mükemmelleşmelerini sağlar. Çoğu insanın doğru şeyi yapmak istediğini hemen anlayacaksınız. Başarısızlıklarına işaret etmek yerine bu başarının neye benzediğini açıklarsanız, kuruluş genelinde bir güvenlik gücü ve güvenlik desteği oluşturmaya başlayacaksınız. Meslektaşlar ne zaman elini kaldırıp yardım istemeleri gerektiğini bilecekler ve değişiklikleri tek başına savunmadığın için yön vermen senin için daha kolay olacak.
O CISO Olun
Bu tür bir kültür oluşturduğunuzda, yönetimin beklentilerinin kökleri, herkesin kuruluşun güvenlik duruşu üzerindeki etkisini düşündüğü ve CISO’ların işi bırakmak istemelerine neden olacak sürprizler, direnç ve sürtüşmelerle karşılaşmadığı gerçekliğe dayanır. Çoğu kişinin siber güvenlikte bulamadığı netlikte savunursanız, herkesin ulaşmak istediği sonuçlara ulaşırsınız.