The Cyber Express ile özel bir söyleşide Celia Mantshiyane, siber güvenliğin çeşitli yönlerini, kadınların STEM’de oynadığı rolü ve siber alanın son yirmi yılda nasıl değiştiğini tartışıyor.
S1: Yolculuk nasıl başladı? Temelde oldukça nadir olan bu siber güvenlik alanına nasıl rastladınız?
Normalde insanlara siber güvenlik beni seçti derim; Güvenliği asla seçmedim. Kariyerime finans alanında başladım. Ben her zaman bir iş adamı oldum, her zaman rakamları eziyorum. Daha sonra Güney Afrika için bir denetim firması olan Auditor General’e katılma fırsatım oldu. BT’de çalışmaya başladım ve inanılmaz bir liderle tanıştım. Kelimenin tam anlamıyla bana BT öğretildi ve kısa bir süre içinde CIO’nun ofisindeydim.
Ve sonra, açıkçası, siber güvenlik, o zamanlar kuruluşlar için bir endişe kaynağı olarak ortaya çıkan moda sözcüklerden sadece biriydi. Ben de öğrenmeyi seven bir insan olduğum için patrona dedim ki, ne var biliyor musun, bir deneyeyim. Çok eğlendim. Çünkü her gün, her gün zorluklar getiriyor, yeni bir şeyler öğreniyorsunuz ve aslında iş ile iç içe oluyorsunuz ki bu oldukça güzel.
S2: Siber güvenlik sektörünün tamamında sadece %24 oranında kadın var. Kadınların katılımı sadece yakın geçmişte arttı. Peki sizce bu nasıl değişti? Bu senin için duraklaman gereken bir tür engel miydi?
Şimdi bile, siber uzayda çok fazla kadınımız yok. Şu anda bu alana daha fazla kadın çekmemizi sağlamak için yürüttüğümüz pek çok şey ve program var, ancak bunlar çoğunlukla erkekler tarafından yönetiliyor.
Erkek ya da kadın, o alanda oldukları sürece bir akıl hocası bulmak, çünkü daha önce siber güvenlik için nitelikler yoktu. Güvenlik duvarlarını falan öğrenmemiz gereken günlerde. Artık kendinizi geliştirmek için üniversiteye gidebilir ve bir kursa kayıt olabilirsiniz.
Ama aynı zamanda şu anda sadece siber güvenlik için yürütülen stajlar da var. MTN şu anda Google’da da sadece kadınlardan oluşan devasa bir stajyer programı yürütüyor. Şu anda kendi ekibimde siber alanda kadınları işe alıyoruz. Bu, liderler olarak bizim bir şeyler yapmamızla ilgili, aynı zamanda alanda eşitliğe sahip olmamızı sağlamak için kuruluşlarla ortaklık kurmamızla ilgili.
S3: İlk kez hangi yılda CISO oldunuz ve bu role ne zaman girdiniz?
2017-2018’de Coca-Cola’daydı. Bu benim ilk CISO rolümdü. Coca Cola çok heyecan vericiydi, küresel bir organizasyondu, sağlam temelleri vardı. Farklı kültürlerden farklı insanlarla gerçekten nasıl etkileşim kuracağınızı öğrenmeniz gerekiyor, ama aynı zamanda aynı dili, yani siber konuşmayı da öğrenmelisiniz.
Siber aşkı tam anlamıyla Cola’dan, şirkette çok iyi olgunlaştığımı düşünüyorum. Bu nedenle, bir ağ organizasyonu olan MTN’ye de geçiş yapmak benim için oldukça kolaydı.
Ancak güvenlik açısından, 10 yılı aşkın bir süre önce başladı. Ama çoğunlukla o zamanlar, yönetimdi. Bugün olduğum gibi yavaş yavaş sibere doğru ilerlediğimi bilmiyordum.
S4: Siber güvenlik son 20 yılda nasıl değişti?
İster denetim olsun ister aylık bazda yönetim olsun, yönetişim oldukça önemlidir. Ancak siber güvenlik organizasyonlarda tam anlamıyla arttı. Teknoloji güvenliğinden daha fazla iş güvenliğine geçen bir kuruluş olmalısınız ve bu şekilde gelişti.
Eskiden, şu anda orada olan sunucu risklerini BT ile oturup tartışırdık. Bir CISO olarak işletmelerle görüşüyorum. İş stratejisiyle uyumlu hale getirmem gereken siber güvenlik stratejisini göstermem gerekiyor.
Ve sonra, kurum içindeki siber risklerimizden gerçekten nasıl faydalandığımız konusunda güvenilir bir danışman olursunuz. Yani bu, değiştiği bir alan.
Bir CISO olarak kişiliğiniz ve güvenilirliğiniz önemlidir. Bir siber güvenlik lideri olamazsınız ve bir sonraki şey, insanların sizinle etkileşim kurmak istememesidir.
Sağlıklı olmanız, iş dili odaklı daha iyi bir dile sahip olmanız gerekir. IP adreslerinden bahsediyor olamazsınız. Yani bu da değişti.
Teknik açıdan, tasarım gereği güvenlik, eskiden biraz yama yapardık ve sonunda güvenlik duvarlarıydı. Ancak şu anda sürece dahil ettiğimiz süreçler ve prosedürler var.
Taraf risk yönetiminin, tasarım gereği güvenliğin kuruluş içindeki her sisteme, her projeye nasıl yerleştirildiğini gerçekten nasıl sağlayacağınız konusunda çok proaktif olması gerekir.
Tüm bunlar için asla yeterli kaynağa sahip olamazsınız. Bu nedenle, güvenilir danışmanınız olmak ve politikalarınızı, süreçlerinizi, temel çizgilerinizi ve standartlarınızı anlamalarını ve bunlara gerçekten uymalarını sağlamak için farklı paydaşlarla konuşabilmenizi sağlamak oldukça önemlidir.
Bir siber güvenlik görevlisi veya ofisi olarak, kuruluş için sağlamanız gerekenleri sağlamak için aslında diğer insanlarla birlikte çalışmanız gerekir.
Demek güven buradan geliyor. Bütünlük gelir. Yani bir lider olarak, olmanız gereken şey bu. İnsanların, siz yapsanız da yapmasanız da performans gösterebilmeleri için size güvenmeleri gerekir.
S5. Güney Afrika, küresel siber suç ölümleri arasında altıncı sırada yer alıyor. Ayrıca yılda yaklaşık 2,2 milyara mal oluyor. Bölgedeki siber suç felaketi oldukça yüksek. Trendin nedenleri nelerdir? Ve bunda bir değişiklik var mı? Bir istihdam duygusu var mı? Burada artık polislik yok mu?
Oldukça açık olan sebeplerden biri, siber güvenlik ve çevreye yatırım yapılmamasıdır. Bütçemize bakarsanız, siber güvenlik, BT bütçesinin %0,02’sini öne çıkarmaktır. Çoğu organizasyonda, asla bir öncelik olmadı. Her zaman BT ve sistemlerimizi ve araçlarımızı nasıl daha iyi hale getireceğimizdi.
Ancak pandemi, açıkçası, Güney Afrika’da meydana gelen tüm bu artan saldırılarla, CISO’lar, iş dünyası, yöneticiler, CEO’lar artık bunun önemini anladılar.
Ve siber güvenliğin teknolojik borcunu ödediğimiz kadar, ancak bunu sağlamak için ülke olarak gelişerek, küresel standarda hazırlanıyoruz. Şu anda Güney Afrika’da yeni çıkmış bir siber yasa var. Sırf kendimizi daha iyi hale getirmek için konferanslara katıldığımız bir sürü komite, forum var.
Ayrıca bilgi eksikliği. Sadece Güney Afrika’da bütçesi olan organizasyonlarımız olduğu gibi bütçesi olmayan küçük organizasyonlarımız da var.
Dolayısıyla, sahip olduğumuz forumlardaki komitelerde tavsiyeler verdiğimizi, asgari olarak hangi temel şeylere sahip olmaları gerektiği konusunda onlarla ortaklık yaptığımızı göreceksiniz. Ne zaman hazır olacağın konusunda yardım istiyormuş gibi yapma.
Yapmanız gereken bu şeylere cevap verebilir misiniz? Bilgi paylaşımı oldukça önemlidir ki bu şu anda yapmakta olduğumuz bir şey. Ve oldukça iyi çalışıyor.
Ve dürüst olmalıyım, kontrollerimiz ve standartlarımız küreseldir. Bu, hangilerini uygulamayı karşılayabileceğiniz meselesidir. Veya hangilerinin bakımını karşılayabilirsiniz? Çünkü uygulamak bir şeydir, ancak siber güvenlikte statükoyu korumanız gerekir.
Bir dakika, yarın çok güvende olabilirsiniz, ancak bir kimlik avı e-postası nedeniyle güvende olmayabilirsiniz. Yani siber farkındalık büyük küçük hepimiz için oldukça önemli.
S.6: Yapay zekadaki gelişmelerin 2023’te siber güvenlikte çok önemli bir rol oynayacağını düşünüyor musunuz?
Siber bilgisayar korsanlarının bize saldırmak için kelimenin tam anlamıyla yapay zekayı kullandıklarına inanıyorum. Ancak bununla mücadele etmek için ne kadarını kullanıyoruz, örgütsel bir bakış açısından hala emekleme aşamasında.
Ancak, AI yetenekleri olarak sağlayan araçlar var. Ama ne kadar iyi entegre oldular. Çünkü bilinçli bir karar verebilmeniz veya daha sonra oldukça hızlı bir şekilde yanıt verebilmeniz için yapay zekanın diğer araçlara entegre edilmesi gerekir.
Yapay zeka kritik bir rol oynayacak ve siber suçlarla nasıl mücadele ettiğimiz konusunda kritik bir rol oynamaya devam edecek ve organizasyonumuza uyuyor. Ancak sorun nasıl uygulandığı ve örgütlerde fiilen nasıl kullanıldığı da oldukça önemli.
Kendi organizasyonumda, demek istediğim, çok fazla yapay zeka uyguladık, ancak farklı araçlarda oturmak veya entegre olmamak bile size istediğiniz sonuçları vermiyor. Bu nedenle, uygulanmasının, mimarisinin de oldukça bilgili olması ve anlaşılması gerekir.
Alaka düzeyi açısından, şu anda kuruluşlar olarak nasıl performans gösterdiğimiz oldukça kritiktir. Yani, sahip olduğumuz tüm bu tehditlerle asla manuel olarak mücadele edemeyiz, hiçbir yolu yok.
Tüm araçlarla, kaynağımız var, yapay zeka için sahip olduğumuz tüm teknolojilerle, bir yönetici görüşmesinden oldukça kaba olan bilinçli kararlar verebilmem için bu otomasyonun diğer araçlara gerçekten entegre olmasına ihtiyacımız var. Teknik açıdan, AI mükemmeldir.
S:7 Bir güvenlik aracı kullandığınızda veya bir güvenlik aracına yatırım yapacağınızda aklınızdaki temel ölçütler nelerdir?
Benim için bu, farklı araçların entegrasyonu. Bir lider olarak, neler olup bittiğini bilmek çok önemlidir. Neye konsantre olmalıyım ki kurulla iletişim kurduğumda tam olarak neden bahsettiğimi bilebileyim. Raporlamamla ilgili bilinçli kararlar vermekle ilgili.
Benim açımdan, tahtanın tartılmak isteneceği tahmin olurdu. Önümüzdeki altı ayda en çok nerede acı çekeriz? Daha sonra, organizasyon içinde fiilen meydana gelen trendlere göre, gördüklerime dayanarak, yeşil projeler üzerinde çalışan tüm kaynaklarımı kırmızı projelere ayırmam gerektiğini gerçekten tahmin edebilirim.
Yeni bir araç uyguluyorsak, kaynakların çoğu bir proje modunda oturuyor olacaktır. Ancak, mevcut ortamınız güncel değilse, yeni bir araç uygulamanın ne anlamı var?
Bu nedenle yeşillerimi, portakallarımı ve kırmızılarımı anlamak benim için çok önemli. Kelimenin tam anlamıyla bir yönetici panosuna ihtiyacım var, yanlış olan ne, nerede yanlış. Ve sonra aslında bütçe ve kaynakların nasıl tahsis edileceğini analiz ederim.