Büyük veri girişimleri ve üretken yapay zeka ve diğer veri odaklı projelerin artan şekilde benimsenmesi, güvenlik liderlerinin ve baş veri sorumlularının (CDO’lar) birbirleriyle daha fazla işbirliği içinde çalışma ihtiyacını hızlandırıyor.
Yüksek düzeyde, her iki rol de bir kuruluşun verileri nasıl ürettiği, depoladığı, kullandığı, paylaştığı ve yönettiğine ilişkin gözetimi içerir. Ancak CISO’nun amacı tipik olarak onu uzlaşmalardan ve ihlallerden korumak olsa da CDO’lar çeşitli amaçlar için ona erişim olanağı sağlamaktır. — ve giderek artıyor — kullanım senaryolarının sayısı. Farklı hedefler, iki rol arasında giderek artan bir gerilime neden oluyor.
Hesaplaşma Noktası Yakında
Kariyeri fast food zinciri Wendy’s’in CISO’su olarak görev yapan veri güvenliği şirketi Immuta’nın CISO’su Mike Scott, “Hesaplaşma noktası önümüzdeki birkaç yıl içinde geliyor” diyor. Hem CISO’nun hem de CDO’nun karşılaştığı sorunlar veri yönetişimi ve yönetimine odaklanıyor. Scott, ayrıldıkları noktanın istenen sonuçlar olduğunu söylüyor.
Scott, “CISO’ların erişimi kontrol etme konusunda endişe duyduğu yerlerde” diyor ve şöyle devam ediyor: “CDO’lar, şirket için gelir akışları oluşturmak üzere erişimi mümkün kılmakla ilgilidir.”
Bu, CISO/CSO ve CDO’nun organizasyonlarda yıllar içinde nasıl geliştiğini gösteren bir farklılık noktasıdır. Güvenliği iş ihtiyaçlarına daha yakın hale getirme ihtiyacı hakkındaki tüm konuşmalara rağmen, CISO rolü hala ağırlıklı olarak teknoloji odaklı olmaya devam ediyor. Hatta son yıllarda bu durumun daha da arttığı görülüyor.
Liderlik arama şirketi Heidrick & Struggles tarafından 2023 yılında küresel CISO’lar üzerinde yapılan bir anket, ABD’deki CISO’ların şu anda yalnızca %5’inin CEO’ya rapor verdiğini gösterdi; bu oran 2022’de %8 ve 2021’de %11’di. Bu oran dünyanın diğer bölgelerine göre daha düşük. Avrupa ve Avustralya gibi, ama çok fazla değil.
Anket aynı zamanda CIO’ya rapor veren CISO’ların yüzdesinde de hafif bir düşüş olduğunu ortaya çıkardı – 2022’de %38’den 2023’te %36’ya. Bunun yerine artık daha çok CTO’ya veya üst düzey bir mühendislik yöneticisine ve operasyonlardan sorumlu yöneticiye rapor veriyor. Heidrick & Struggles raporunda, veri noktalarının “rolün sola, uyumdan teknolojiye doğru kaydığının göstergesi” olduğu sonucuna vardı.
Aynı zamanda, NewVantage Partners’ın 116 Fortune 100 şirketindeki CDO’lar üzerinde yürüttüğü bir anket, kuruluş içindeki statülerinde tam tersi bir eğilimin ortaya çıktığını gösterdi.
Kesin işlevleri konusunda devam eden belirsizliğe rağmen, CDO’ların ve baş veri analitiği görevlilerinin (CDAO’lar) %43,3’ü artık kuruluşlarının CEO’suna, başkanına veya COO’suna rapor veriyor ve yaklaşık %56’sı bir teknoloji fonksiyonu yerine bir iş liderine rapor veriyor. Sadece %27’si hâlâ CIO fonksiyonuna rapor veriyor.
Anket raporunda, “Bu, rolün nasıl algılandığı konusunda önemli bir değişimi ve CDO/CDAO rolünden iş değeri sağlanmasına yönelik taahhüdü yansıtıyor.” ifadesine yer verildi.
Verinin Artan Önemi
Scott, bunun büyük ölçüde verilerin iş başarısı için nasıl temel hale geldiğiyle ilgili olduğunu söylüyor. Verilere yatırım yapmak için büyük miktarda teşvik var ve bu, CDO fonksiyonuna üst yönetime doğrudan bir hat sağladı, diyor. , CDO’ların mesajları, bir CISO veya STK’nın mesajlarından çok daha fazla dikkat çekme eğilimindedir.Bunun değişmesi için, CISO’ların, özellikle büyük veri ve üretken yapay zeka girişimlerine yönelik artan ilgi göz önüne alındığında, CDO’nun yaptıklarına daha fazla dahil olmaları gerekecek. .
Veri analitiği firması Starburst’un saha CDO’su ve Shell’in eski CDO’su Adrian Estala da aynı düşünceleri paylaşıyor. Hem CDO hem de CSO, tüm veri varlıklarının nerede olduğunu anlamalıdır. Her ikisinin de mimarinin tam bir görünümüne ihtiyacı var. “Bir CISO olarak mimariye risk açısından bakıyorum” diyor. Bu, tüm risk noktalarının belirlenmesi, kuruluşun en önemli değerlerinin nerede olduğunun bilinmesi ve bunların korunmasına yönelik kontrollerin uygulanması anlamına gelir. “Veri akışı nereden geliyor, nereden geliyor, onu kim kullanıyor; bunların hepsi CDO’ların sahip olduğu endişelerin tamamen aynısı” diyor.
Aradaki fark, güvenlik yöneticisinin riske daha fazla odaklanma eğiliminde olmasına karşın CDO’nun yalnızca verileri müşterilere mümkün olduğu kadar hızlı ulaştırmaya odaklanmasıdır. Estrada, “Çoğu zaman sorduğunuz son soru, bunu yapmanın en güvenli yolu olup olmadığıdır” diyor. İşletme yöneticileri ISO’larla omuz omuza durmayı algılama eğilimindeyken, kaza olduğunda gelen polis daha çoktur. “Eğer aşırı hız yapıyorsanız, CISO size ceza kesen polis memurudur ve CDO da yardım etmeye çalışan sağlık görevlisidir.”
Başarı için Ortaklık
Estrada, her iki tarafın da birbirlerine görevlerini yerine getirmesinde yardımcı olabileceği yollar olduğunu söylüyor. Örneğin CDO’lar, veri hareketi konusunda daha bilinçli davranarak CISO’ların rolünü çok daha kolaylaştırabilir. “Verileri iş için organizasyonun her yerine kopyalayıp taşıyorsam, bilgi bölümü ekibi için ek iş yaratmış olurum” diyor. “Verilerin bulunduğu her yerde kontrol yaratmaları ve yeniden yaratmaları gerekiyor. Bu bir CISO için kabusa dönüşebilir.”
Bu sorunu çözmenin bir yolu, CDO’nun kaynaktaki verilerle çalışmanın yollarını denemesi ve bulması, böylece güvenlik ekibinin bu kullanıma uygun kontrolleri uygulamasını kolaylaştırması olacaktır.
Benzer şekilde, CISO’lar ve diğer güvenlik liderleri, CDO misyonunu daha iyi anlayarak ve yenilikçiliği kısıtlamadan verileri güvenli bir şekilde kullanmalarına yardımcı olacak kılavuzları ve kontrolleri uygulayarak yardımcı olabilirler. Bu kontroller ve kılavuzların, veri ekiplerinin verilere erişimi etkinleştirmesini, kontrol etmesini ve iptal etmesini kolaylaştıran erişim kontrolü ve self servis seçeneklerini içerebileceğini söylüyor.
Estrada, iki grup arasındaki doğal gerilimin iyi bir şey olduğunu söylüyor. “CISO’nun kesinlikle yolda bir tümsek sağlaması gerekiyor” diyor. “Eğer bir artış olmazsa CDO istedikleri kadar hızlı çalışacaktır ve bu da iyi bir şey değildir.”
Omdia’nın baş analisti Adam Strange, CDO’ların rolünün hâlâ nispeten yeni olduğunu söylüyor. Kendisi, CDO’su olan çoğu kuruluşun bunları yalnızca son beş yılda atadığını belirtiyor. Strange, “Rol hala gelişmekte ve bu nedenle CISO ve CIO gibi rollerle rekabet ediyor gibi görünebilir” diye belirtiyor.
Verilerin herhangi bir kuruluşun başarısının merkezi haline geldiği günümüzde rol tanımının çok önemli olduğunu söylüyor. “Veriler, koruma açısından yeni düzeyde düşünce ve ardından eylem gerektiren nispeten yeni bir alan olarak ortaya çıktı veya ortaya çıkıyor” diyor. “CISO, CDO ve aslında CIO/CTO ve iş liderlerinin, siber güvenlik ‘soğan’ının hangi katmanından kimin sorumlu olduğunu bulmaları gerekiyor. Tüm rollerin işbirliğine dayalı bir uyum içinde çalışmasını sağlayacak kadar büyük bir görev var.”