Kabul edelim, hiç kimse çok geç olana kadar siber güvenlikte tükenmişlikten bahsetmiyor. CISO’lar ve güvenlik liderlerinin baskısı yıllardır sessizce artıyor. Gece geç saatlerde, olay sayısının artması, bütçelerin daraltılması, sürekli değişen düzenleme ve tehdit manzarası ve her yerde olmak ve her şeyde olmak için sürekli beklentiler. Esasen Whack-A-Mole oynamakla görevlendirilirler, ancak fidye tutulması için değerli verileri ihlal edebilen, pespiltrat edebilen veya çalabilen mollerle, kaosu zaman için bastırılan ve hatta dikkat veya bütçe için daha zor basan bir toplantı odasına çevirmeye çalışırken. Ancak kaçınılmaz ihlal veya siber olayı meydana geldiğinde, ciso çekiç tutan kalan kişidir.
Açık olmak gerekirse, bu yumuşak bir beceri sorunu değil. CISO’lar veya güvenlik ekipleri, toplantı odasının dilini konuşmaya devam edemez veya eksik olmaz ya da bugünün güvenlik liderleri bir iş insanı gibi konuşma becerisini mükemmelleştirmedikleri. CISO ve Güvenlik Lideri rolü, iş operasyonları için kritik olan daha fazla varlık, süreç ve yeteneklerden sorumlu ve sorumlu hale geldikçe gerilmiştir. İş sürekliliği, müşteri güveni ve düzenleyici uyumluluk için ne kadar kritik siber güvenlik, CISO rolü o kadar çok tanınmanın ötesine geçiyor ve kırılma noktasına yaklaşıyoruz. Bir çalışmaya göre, CISOS’un neredeyse üçte biri stresin performanslarını olumsuz etkilediğini ve bir CISO’nun ortalama görev süresinin şimdi iki yıldan biraz (26 ay) olduğunu söylüyor. Bir şey sadece bireysel düzeyde değil, tüm güvenlik ekosisteminde değişmedikçe, güvenliği ve yetenekleri onlarca yıl boyunca güvenliği sağlayan işleri sağlayan en çok güvendiğimiz liderleri kaybetmeye devam edeceğiz.
Neden tek başına AI CISO’yu kurtarmayacak
Benim gibi yeterince yönetim kurulu toplantısında oturursanız, aynı sorunun tekrar tekrar ortaya çıktığını duyacaksınız: “Bunu çözemez mi?” Bu cazip bir fikir ve güvenlik liderinin araç kutusunda çok değerli bir araç olabileceği doğrudur. Doğru takım, doğru model, doğru otomasyon boru hattı ile nihayet ölçekte otomatikleştirerek ve daha önce hiç görülmemiş olan hızda baskıyı çıkarabiliriz. Ancak çözümün sadece bir parçası. Elbette, AI tespiti hızlandırabilir, triyajı ve yüzey modellerini çoğu analistten daha hızlı hızlandırabilir, ancak nüans, bağlam, yakınlık ve iş değerini anlıyor mu? Hesap verebilirlik taşıyabilir ve işler senaryodan çıktığında veya iş ihtiyacı nedeniyle uyum ve değiştiğinde kontrolü alabilir mi? En iyi ihtimalle AI bir asistandır. En kötüsü, anlamaya başladığımız yeni bir saldırı yüzeyi. Hızlı enjeksiyonlar, model zehirlenmesi ve veri sızıntısı, 2025’te OWASP’nin ilk on risk ve hafifletmesinde belirtilen tehditlerden sadece birkaçıdır. Yani, AI güvenliğinizi izliyorsa, gözlemciyi kim izliyor?
Daha da önemlisi, bu anlatının yetenek boru hattına yaptığı şey. Giriş seviyesindeki çalışmanın daha fazlasını otomatikleştirdikçe, yeni nesil siber profesyonelleri büyütmek için ihtiyacımız olan temeli aşındırma riskiyle karşı karşıya kalıyoruz. Genç analistler sadece personel sayısı değil, eğitimde gelecekteki CISO’lar. Yanında yükselmek yerine otomasyonla değiştirildiklerinde, yarının liderliğinin pahasına bugünün kaynak sorununu çözüyoruz. Ve tükenmişlik döngüsü devam ediyor. Yapay zekadaki inovasyon ciddiye alınması gereken bir şeydir, ancak neyi düzeltebileceği ve yapamayacağı konusunda net gözlü olmamız gerekir. Kariyerim boyunca temel varlığımın ekibimde var olan yetenek olduğunu öğrendim ve ekibinizi nasıl işe aldığınız, seçtiğiniz, beslediğiniz ve tanıttığınıza odaklanmaya odaklanması gerekiyor. Bu kalite, sadakat ve olağanüstü müşteri odaklı hizmet getirir.
Belki de “Ciso” yu yeniden tanımlama zamanı?
CISO’nun görevinin oldukça tanımlandığı bir zaman vardı; Kötü aktörleri dışarıda tutun, sistemleri yamalı tutun ve denetçileri mutlu edin. Birçok cisos için Halcyon günleri. Bugün, rolleri düzenleyici uyum ve üçüncü taraf riskinden kriz iletişimine, müşteri güvencesine ve yönetim kurulu eğitimine kadar her şeyi kapsamaktadır. Sadece tehditlere karşı korunmuyorlar. Falloitleri ele alıyorlar, itibarları koruyorlar ve giderek daha yüksek beklentileri dengeliyorlar, bütçeleri yönetiyorlar, teknik borcu çözüyorlar ve işletme hizalanmış hikayeler anlatıyorlar. Birçok durumda, aynı zamanda iş için “esnekliğin yüzü”. Peki, “Baş Bilgi Güvenlik Görevlisi” hala amaca uygun mu? Sorumluluklar orijinal görevi aştıysa, belki de rolün gelişmesinin zamanı gelmiştir. “Baş Esneklik Görevlisi” dili açmayabilir, ancak gerçekliğe daha yakındır ve işletmenin sadece araçlar ve teknoloji değil, süreklilik, güven ve uzun vadeli istikrarla ilgili olduğunu duyması gereken bir şeyi işaret eder.
Özerkliksiz güç nedir?
Birine sorumluluk verebilirsiniz, ancak onlara eşleşme yetkisi vermezseniz, liderlik değildir, bu sorumluluktur. Bu, birçok CISO’nun 2025’te kendilerini buldukları pozisyondur. Kuruluşu varoluşsal riskten korumakla görevlendirilirler, ancak yine de bağımsızlık, gözetim veya meydan okuma için tasarlanmayan BT liderlik yapılarına rapor verirler. CISO CIO’ya rapor verdiğinde, genellikle yerleşik bir çıkar çatışması vardır: altyapı cevaplarını teslim etmekten ve optimize etmekten sorumlu kişiye altyapı cevaplarını güvence altına almaktan sorumlu kişi. CIO – kasıtlı olarak ya da olmasın – işlevselliği, kullanılabilirliği ve performansa öncelik verebilirken, CISO’nun güvenlik açıklarını, sertleşmeleri veya riskli dağıtımları geri itmek için işleri yavaşlatması gerekebilir. CISO’nun bağımsızlıktan yoksunsa, güvenlik kararları, teslimat zaman çizelgeleri veya bütçe hedefleri lehine geçersiz kılınabilir, küçümsenebilir ve hatta doğrudan depricat edilebilir.
Bu egoların çatışması değil, daha çok yönetişim ile ilgili. Raporlama çizgileri, riskin nasıl öncelik verildiğini, bütçelerin nasıl tahsis edildiğini ve bir CISO’nun bir şey söylenmesi gerektiğinde nasıl samimi olabileceğini şekillendirir. Güvenlik gerçekten olması gereken kurul düzeyinde bir endişe ise, CISO’nun operasyonel katmanlar aracılığıyla filtrelenmeyen tahtaya veya en azından denetim komitesine bir çizgiye ihtiyacı vardır.
Daha geniş bir kültürel ima da var. CISO’lar ona ast olarak ele alındığında, siber güvenliğin stratejik ve iş dünyası yerine teknik bir işlev olduğu bir mesaj gönderir. Ve bu mesaj hızlı bir şekilde işe alım, finansman kararlarına ve basınç arttığında olayların nasıl ele alındığına dönüşür. Kuruluşlar güvenlik liderlerinin iş sağlayanlar ve kriz navigatörleri olarak hareket etmelerini istiyorlarsa, bunları ellerini bağlayan bir yapıya yerleştirmeyi bırakmaları, ancak kriz, büyüme veya önemli değişim zamanlarında işleri yönetmelerine izin vermeleri gerekir. Bireyleri yükseltmek ve kutlamak esastır, ancak aynı zamanda onları tutmak yerine başarılı olmalarına izin vermek için tasarlanmış bir sistem oluşturmak, gelecekteki liderlerin bir organizasyonda ve bir bütün olarak sektörde tutulabilmesini sağlayacaktır. En önemlisi, iyi zihinsel sağlığı desteklediklerini ve değerli hissettikleri bir yerde sürdüreceklerdir.
Tim Grieveson, ThingsRecon’da STK