Siber güvenlikte geçirdiğim yirmi yılda, güvenlik profesyonellerinin mücadeleci ruhunu gözlemledim ve deneyimledim: Bilgi varlıklarını korumakla görevlendirildiğimizde, kendimizi tehdit aktörlerini uzakta tutmak için savunmalar kurarken hayal ederiz veya bulmak için kötü niyetli eylemlere öykünürüz. Saldırganlar bunları istismar etmeden önce kuruluşun güvenlik önlemlerindeki kusurlar. Biz kavga ederiz.
Güvenlik uzmanlarının kavgacı zihniyeti, organizasyonumuzdaki meslektaşlarımızla olan etkileşimlerimizde kendine yer bulur. Güvenlik sorunlarının ele alınması gereken aciliyet konusunda çelişkili görüşlere tanık oluyoruz ve bazen bu görüşlere katkıda bulunuyoruz ve güvenlik risklerini ele almanın en iyi yolları konusunda fikir ayrılığına düşüyoruz. Ve diğer departmanların ihtiyaçlarına bizimkinden daha fazla öncelik verilirse azalabilecek bir bütçe payı için mücadele ediyoruz.
Bu siber güvenlik herkese karşı çalışma şekli, güvenlik profesyonellerinin kötüleyici ve dikkat dağıtıcı olarak görülmesine katkıda bulunduğu için verimsizdir. Bugünün işyerinde başarılı olmak için, engelleyici değil, iş kolaylaştırıcı olarak hareket etmeliyiz. Bunu, zihniyetimizi ayarlayarak, kuruluş genelindeki iş arkadaşlarımızın rolü ve hedefleri için empati geliştirerek ve güvenlik avantajlarını ticari terimlerle ileterek yapabiliriz.
İşbirliği: Güvenliğin Geleceği
Güvenlik ekipleri genellikle organizasyonun geri kalanı tarafından ayrı varlıklar olarak görülür. Entegrasyon ve anlayışı artırmak için şirketteki tüm ekiplerin ortak amaç ve hedefleri hakkında açık konuşmalar yapması gerekir. Sonuçta, her takımın farklı beceri setleri ve rolleri olabilir, ancak her ikisi de nihai olarak organizasyonun başarılı olmasını ister.
Buradan başlayın: Her ekipteki kişilerin başarının kendileri için nasıl bir şey olduğunu tanımlamasını sağlayın. Ardından, daha geniş iş hedefleri bağlamında bunun nasıl başarılabileceğine bakın. Farklılıklar iyidir ve beklenir, ancak bizi birbirimize bağlayan ipi bulmak ortak bir zemin bulmanın tek yoludur. Daha geniş iş hedeflerine bakmak, organizasyonu bu hedeflere yaklaştırmak için ekiplerin nasıl birlikte çalışabileceğini anlamayı kolaylaştırır.
Ortak hedefler üzerinde anlaşmaya varmak – her ekibin benzersiz rollerini ve karşılıklı bağımlılıklarını kabul ederken – herkesin daha sorunsuz işbirliği yapmasını sağlayacaktır.
İknaya Yatırım Yapın, Güvenliğin Satın Alınması için İletişim
Beğenin ya da beğenmeyin, siber güvenlik liderleri varlığımızı ve girişimlerimizi haklı çıkarmak için genellikle diğerlerinden daha çok çalışmak zorunda kalıyor. Yine de girişimlerimiz genellikle birden çok departmanı kapsar ve diğer yöneticilerin desteğine bağlıdır. Bu nedenle, çabalarımıza destek almak için güvenlik ekibinin dışında nasıl ikna edeceğimize ve iletişim kuracağımıza ekstra özen göstermemiz gerekiyor.
Bir güvenlik talebi veya projesi için başkalarının desteğini kazanmak için dikkate alınması gereken birçok nokta vardır.
- Kimin ikna edilmesi gerekiyor? Hangi ekiplerin ve hangi belirli kişilerin çabalarınızda paydaş olduğunu belirlemek için güvenlik çabalarınızın bağımlılıklarını anlayın. Başlangıçta destekleyici mi yoksa şüpheci mi olacaklarına bağlı olarak, iletişiminizi buna göre uyarlamanız gerekecek.
- Amaçları nelerdir? Muhtemelen, neden belirli bir güvenlik projesini takip ettiğinizi zaten anlıyorsunuz, ancak bu, güvenlik dışındaki paydaşlarınızın ihtiyaçlarını nasıl destekliyor? Onlar için neyin önemli olduğunu anlayın, böylece sizi desteklemeye daha meyilli olacaklar.
- Neyi bilmeleri gerekiyor? Bazıları teknik detayları görmek ister ama herkes değil. Bazı insanlar maliyetlere odaklanır, diğerleri gelire odaklanır, diğerleri ise hiç finansal açıdan düşünmez. Bireyin katılımını alması için uygun bilgileri sunun.
- Neden sana güvensinler? Başkalarından finansman, uzmanlık veya zaman arıyor olun, onların desteğinin boşa gitmeyeceğini nasıl göstereceğinizi düşünün. Güvenilirliği işaret etmek için, önceki güvenlik projelerinden ölçümler sunun veya geçmişte başarılı olmuş girişimlerinize işaret edin.
Başkalarının neyi başarmak istediğinizi ve çabanın neden önemli olduğunu anladığını varsaymak yerine, güvenlik dışı paydaşları desteklerini kazanmak için ikna etmek ve onlarla iletişim kurmak için hangi adımları atacağınızı düşünün.
Bütçe Tartışmalarında İş İhtiyaçlarına Bağlantı
İş hayatında teknoloji terimleri yerine güvenliği konumlandırmanın önemi bütçe tartışmalarında en çok önem arz eden konudur. Siber güvenliğin harcamaların oldukça sabit kaldığı alanlardan biri olması iyi bir haber olsa daherhangi bir güvenlik liderinin isteklerini kesin olarak gerekçelendirmesi gerekir.
CFO veya diğer ilgili taraflarla bütçe görüşmenizin temelini oluşturmak için yukarıdaki ikna ve iletişim sorularını yanıtlayarak başlayın.
Ardından, şirketin gelecek yıl için düşündüğü iş senaryolarını anlayın: Kuruluş, gelirinin düşmesini mi bekliyor? Bazı ürün grupları muhtemelen genişleyecek mi? Şirketin hizmet verdiği coğrafi bölgelerde değişiklik oldu mu? İşlerin her zamanki gibi olmasını bekleyebilir misiniz, yoksa şirketin faaliyetlerinde önemli aksamalar yaşanacak mı?
Güvenlik hedeflerinizi ana hatlarıyla belirleyerek devam edin, ardından bunları şirketin iş hedefleriyle ilişkilendirin. Kesin gelecek bilinmediği için, şirketinizin kendisini içinde bulabileceği senaryoya göre isteklerinizin nasıl değişebileceğini tartışmaya hazır olun. Örneğin, firma yeni bir ülkede ofis açabilirse, o bölgeyi desteklemek için bir güvenlik görevlisi tutmanız gerekebilir. Veya firmanız yeni bir ürün tanıtacaksa, uygulama güvenliği ekibinizin ilgili teknolojilerdeki eğitimini finanse etmeniz gerekebilir.
Yalnızca güvenlik gider kaleminin şirkete nasıl fayda sağlayacağını değil, aynı zamanda neden o projeye, kişiye veya girişime yatırım yapma zamanının geldiğini açıklamaya hazır olun. Bu öğe finanse edilmezse şirketin nasıl etkilenebileceğini açıklayın, ancak bunu, genellikle paydaşlarla yapılan güvenlik tartışmalarına hakim olan korku, belirsizlik ve şüphe yaymadan yapın.