30 yılı aşkın süredir bir CISO ve bilgi güvenliği lideri olarak, Sullivan’ın seçkin kariyerine saygı duyuyorum ve aynı zamanda kararı tamamen destekliyorum. Sullivan kendini, çoğu CISO’nun er ya da geç içinde bulduğu bir etik ikilemde buldu. Bir CISO’nun bu ikilemin üstesinden nasıl geleceğine karar vermesi, kariyerlerini geliştirebilir veya bozabilir.
Bir CISO’nun Sorumlulukları Nelerdir?
CISO’nun rolü ve sorumlulukları sürekli gelişiyor ve Uber’de görülenler gibi büyük ihlallerle ilgili artan tanıtım sayesinde daha da inceleniyor.
Bu son olayların kendileri için ne anlama geldiğini düşünen CISO’lar için üç önemli soru sormanın tam zamanı.
1) Bir veri ihlali olduğunda CISO olarak benim sorumluluğum nedir?
Uber denemesi, CISO’nun rolüne daha net bir şekilde odaklanmış olsa da, rolle ilgili sorumluluğu veya yükümlülüğü değiştirdiğini düşünmüyorum. Bir ihlal meydana geldiğinde, CISO’nun sorumluluğu açıktır: şeffaf olun ve gerekli tüm açıklamaları sağlayın. Bazen bu açıklamalar düzenleyici kurumlar tarafından zorunlu kılınır ve bazen de şirket tarafından bileşenlerine yönelik sorumlu bir açıklama olarak kabul edilir.
Sullivan’ın ilk tepkisinin doğru eylemi yapmak ve ihlali kanunun gerektirdiği şekilde bildirmek olup olmadığını bilmiyorum. Uzun kariyeri göz önüne alındığında, kesinlikle öyle olmasını umuyorum. Bununla birlikte, şirket içindeki raporlama yapısına bağlı olarak, birçok CISO şirketin ihlali ifşa edip etmeyeceği konusunda son söz sahibi olmayabilir. Çoğu zaman olduğu gibi, CISO reddedilebilir ve ihlali ihlalden başka bir şey olarak yeniden çerçevelendirmenin bir yolunu bulması için baskı yapılabilir. Bu yeniden çerçeveleme, şirketin düzenleyici para cezaları, düzeltme maliyetleri (örneğin, etkilenen müşterilere kredi izleme hizmetleri sağlama) ve müşteri güveni ile şirket itibarı üzerindeki etki dahil olmak üzere olası olumsuz sonuçlardan kaçınmasına yardımcı olabilir.
Bir ihlal, oldukça doğru bir şekilde, şirketin ihlal edilen verileri korumadaki başarısızlığı olarak görülür. Aynı zamanda nihai olarak CISO’nun bir başarısızlığı olarak da görülebilir. Bu asırlık soruları gündeme getiriyor: Dolar nerede duruyor? Ve ihlalin nihai sorumluluğunu kim taşıyor? Ne olursa olsun, bir şirketin kabul etmesi veya ifşa etmesi basit bir şey değil.
CISO’nun etik ikilemi şudur: Rolümün bütünlüğünü koruyor muyum ve sorumluluğumu yerine getiriyor muyum? Yoksa şirketimin sonuçlarına katlanmaması için olayı yeniden çerçevelendirmeye mi çalışırım?
Sullivan’ın yerinde olsaydım, görevimin bütünlüğüne ve açıkçası seçmenlerimin güvenine ihanet etmektense görevimden istifa etmeyi tercih ederdim. ABD Başkanı Harry S. Truman’ın deyişiyle, “Siber güvenlik işi CISO’da biter.”
2) İhlal edildiğinde (değilse) şirketimin planı nedir?
Bir güvenlik tedarikçisinin CISO’su olarak, kötü aktörlerin ve ulus devletlerin motivasyonunu ve kararlılığını çok iyi biliyorum. Ayrıca kuruluşların bir saldırıya kurban gitme ihtimalini de anlıyorum — kuruluşlar ihlal edileceklerini varsaymalıdır. Bu olduğunda ne yapacaksın?
İhlal edilmeden önce en kötü durum senaryolarını ele almak ve bir acil durum planına sahip olmak, bunu yaptığınızda finansal ve operasyonel sonuçları en aza indirebilir. Bir saldırgan müşteri desteğinizi veya tedarik zinciri operasyonunuzu çevrimdışı duruma getirirse kesinti süresinin maliyeti nedir? Sistemleriniz en savunmasız nerede? Hasarı nasıl kontrol altına alırsınız ve ne kadar çabuk iyileşebilirsiniz? Çalışanlarınıza, müşterilerinize ve yönetim kuruluna ne olduğunu nasıl iletirsiniz?
CEO ve diğer şirket yetkilileri, bu soruları ele almak ve bir ihlal meydana geldiğinde hazır olan kapsamlı bir plan geliştirmek için CISO ile proaktif olarak çalışmalıdır. Acil eylem – ve dürüstlük – her şeyden önce sayılır. Ancak böyle bir plan, ancak çok önceden oluşturulmuş, incelenmiş ve provası yapılmışsa başarılı olacaktır.
3) Yönetim kurulundaki rolüm nedir?
En dirençli şirketler, güvenliği en üst düzeyde taahhüt eder ve bunu kuruluşun her düzeyine taşır. Bu, hem yönetim kurulu hem de çalışanlar arasında güçlü bir siber güvenlik kültürü oluşturmak anlamına gelir. Pek çok CISO, “bu bizim başımıza asla gelmez” veya “zaten olacak, öyleyse neden siber güvenliğe yatırım yapalım” diyen kurulların önyargılarıyla mücadele etmek zorunda kalabilir.
CISO İlişkisini Bir İş İlişkisi Gibi Yönetin
CISO’ların yönetim kuruluyla ilişkilerini geliştirmelerinin bir yolu, teknoloji ve iş dünyası arasında köprü görevi görmektir. Siber güvenliği bir iş riski olarak yönettiğimizi ve kuruluşun performansı, büyümesi ve diğer iş hedefleriyle uyumlu hale getirdiğimizi yönetim kuruluna göstermemiz gerekiyor. Yalnızca teknik kısaltmalar ve kavramları değil, işle ilgili terimleri ve sonuçları kullandığınızdan emin olun. “Bunu neden önemsemeliyim?” sorusunun yanıtlanmasına yardımcı olun. Yönetim kurulu tarafından size kaynak sağlanmayı başarırsanız, talep ettiğiniz kaynakları iş sonuçlarına ve ardından gelen sonuçlara bağlayan bir raporla takip etmeniz önemlidir.
Kendi deneyimlerime göre, en etkili olabilmek için, CISO’nun yönetim kurulu üyeleriyle düzenli olarak planlanmış toplantılar dışında bir ilişki geliştirmesi önemlidir. Bu bize yönetim kurulu üyelerimizin CISO’dan neler beklediğini daha iyi anlama ve aynı şekilde yönetim kurulunu eğitmeye başlama fırsatı veriyor. Nihayetinde, siber güvenlik pratiği riski yönetmekle ilgilidir, ancak gerçek şu ki riski asla tamamen ortadan kaldıramayız. Günlük ihlal manşetleri, her CISO’yu sıcak koltuğa oturttu. CISO’nun göz korkutucu bir işi vardır: Kuruluşlarının günlük savunmasını yönetirken aynı zamanda gelecekteki kaçınılmaz saldırı için bir eylem planı oluşturmaları gerekir. Bir CISO’nun bugün bu zorlu ve kritik rolde başarılı bir şekilde liderlik etmesi ve başarılı olması dürüstlük ve dürüstlük gerektirir.