Yeni CISO: Rolü Yeniden Düşünmek


YORUM

Şirketler siber güvenliğin öneminin farkında ve bunu giderek operasyonel stratejilerine bir varlık olarak dahil ediyor. Ancak kuruluşlar, güvenliği ve operasyonları karıştırarak, bilgi güvenliği şefinin (CISO) temel misyonunu sulandırıyor olabilir: şirketin varlıklarını istenmeyen saldırılardan korumak.

1990'lı yıllara dayanan CISO'nun rolü daha teknik ve BT odaklıydı. Güvenlik siyah beyazdı ve departmanlar risk olarak görülen her şeyi ortadan kaldırmak için çabalıyordu. Ancak son 20 yılda iş değişti. CISO'lar çözülebileceklerinden daha fazla riskle karşı karşıyadır, güvenliği operasyonel yetenekle dengelemeleri beklenir ve liderleri korumaya yatırım yapmaya ikna etmeleri gerekir.

Bugün CISO'ların aynı zamanda ihlallerden sorumlu olmaya devam ederken iş ihtiyaçlarını da karşılamaları bekleniyor. Ağ oluşturma etkinliklerinde, iş geçmişine sahip giderek daha fazla CISO'nun işin siber yönlerine daha az, iş önceliklerini desteklemeye daha fazla odaklandığını görüyorum.

Bu geçiş şirketleri istikrarsız bir durumda bırakabilir. Hız uğruna siber güvenlik titizliğinin gevşetilmesi, yalnızca şirket verilerinin güvenliğini tehdit etmekle kalmıyor, aynı zamanda gereksiz risk de yaratıyor. Ve bu önemsiz değil. Buna göre IBM'in “Veri İhlalinin Maliyeti Raporu 2023” 2023'te bir veri ihlalinin ortalama maliyeti, üç yılda %15 artışla 4,45 milyon dolar oldu.

2024'te CISO'nun rolünü bir kez daha yeniden düşünmemiz gerekiyor. Günümüzün CISO'su, risk azaltımına öncelik vermenin işletmenin modern tehditler karşısında dayanıklılığının anahtarı olduğunu kuruluşlarına anlamalarına yardımcı olmalıdır.

Bugünün CISO'su: Dirençli Politikacı

CISO'lar bir zamanlar siber anlamda gökyüzünün düştüğü fikrine dayanarak önemlerini satabiliyorlardı. Ancak şirketlerin iş ve güvenlik yönleri birleştikçe kurumsal sorumluluk devreye girdi. CISO'ların odak noktası, riskten kaçınmadan risk duruşuna ve iş hedeflerine ulaşmada hangi seviyenin kabul edilebilir olduğunun değerlendirilmesine kaydı.

Çoğu durumda, siber risk de dahil olmak üzere hangi risk düzeyinin kabul edilebilir olduğu konusunda son söz artık gelir elde eden iş birimlerine ait. Bu arada siber güvenlik konusunda daha bilgili hale gelen iş dünyası liderleri artık gökyüzünün yıkıldığını duymak istemiyor. Bunun yerine, CISO'nun odak noktasının büyüme ve kârlılık üzerinde kalmasını ve aynı zamanda kurumu siber saldırılardan korumasını istiyorlar. Fidye yazılımının yaygınlaşmasıyla birlikte CISO'lar yalnızca güvenlik risklerini önlemek, tespit etmek ve düzeltmekle kalmamalı, aynı zamanda sistemlerin şirketi iflasa sürükleyebilecek siber saldırılara karşı ne kadar dayanıklı olduğunu da değerlendirmelidir. CISO'ların ayrıca şirketin bir siber olaydan ne kadar çabuk kurtulabileceğine de odaklanması gerekiyor.

CISO'lar için iyi haber, bu rollerin çoğunun gerçek bir C düzeyi pozisyona yükseltilmiş olmasıdır. Kötü haber şu ki, rolleri öncelikli olarak tavsiye niteliğinde olup, liderlerin kabul edilebilir risk olarak gördüklerine göre ikincil öneme sahiptir. Menkul Kıymetler ve Borsa Komisyonu (SEC) ve Adalet Bakanlığı'nın artan baskısı dikkate alındığında Bir siber saldırının ardından CISO'nun sorumluluğubu konum hızla savunulamaz hale geliyor.

CISO'lar için Sonraki Aşama

Bugün başarılı olmak için CISO'ların güçlü temelleri korurken yeni beceriler geliştirmesi gerekiyor. Bunun nasıl başarılabileceği aşağıda açıklanmıştır.

  • Yönetim kuruluyla nasıl konuşulacağını öğrenin. CISO'ların müzakereci olması gerekir. Daha güçlü bir güvenlik lehinde tartışmaları ve yönetim kurullarını ve iş birimlerini riskler konusunda anladıkları terimlerle ikna etmeleri gerekiyor. Bir CISO'nun bu konuda nasıl hareket edeceği, yönetim kurulu üyelerinin deneyiminin teknoloji veya iş alanında olmasına bağlı olarak değişebilir. Teknik riski iş perspektifine yerleştiren bir gösteri sunmak yararlı olabilir. CISO'lar aynı zamanda diğer C düzeyindeki yöneticilerin yanı sıra diğer sektörlerden CISO'larla da konuşmalı ve yönetim kurullarıyla yaptıkları benzer görüşmelere önceden katılım sağlamalı ve farklı bakış açıları edinmelidir.

  • Gri ile rahat olun. CISO'ların dayanıklılığın önemine odaklanan risk temelli bir yaklaşım geliştirme konusunda rahat olmaları gerekir çünkü saldırganlar Saldırılara yanıt vermek için test edilmiş bir plan geliştirmek, önleyici tedbirlerin uygulanması kadar önemlidir. Ve şunu asla unutmayın, mutlak güvenlik sağlayamazsınız… bu, riski maliyetle dengelemektir.

  • Temelleri vurgulayın. CISO'lar temel güvenlik uygulamalarına odaklanabilecek derinlemesine teknik bir ekip oluşturmalıdır. Sistemin kapanması veya internete bağlanamama gibi senaryolar üzerinde masa üstü alıştırmalar yapmalıdırlar. CISO'lar nasıl yanıt verecekleri konusunda varsayımlara güvenmemelidir; Tüm müdahale planlarının gözden geçirilmesi ve test edilmesi hayati öneme sahiptir.

  • Teknoloji konusunda düşünceli olun. Günümüzde güvenlik ekipleri, inceleyebilecekleri çok fazla bilgiye sahip. Verileri konsolide etmek ve otomasyona yatırım yapmak çok önemlidir. Eski bir görevimde ekibimin zamanının üçte birini veri toplamaya ve raporlar oluşturmaya harcadığını keşfettim. Bu kimsenin zamanının iyi bir kullanımı değil. Otomasyon yardımcı olabilir. Bu aynı zamanda ekibinizin kariyerini de zenginleştirecek, idari işlevlere değil güvenliğe odaklanabilecektir.

  • Her şeyi belgeleyin. Zarar veren bir olay meydana geldiğinde suç genellikle CISO'ya yüklenir. Son yıllarda büyük şirketlerdeki CISO'lar serbest bırakıldı, mahkemede ifade vermeye çağrıldı ve bazı durumlarda ücretlendirildi ile Suçlar. CISO'lar bir siber saldırı müdahale planı geliştirmeli, her adımı belgelemeli ve bunu titizlikle takip etmelidir. Bunu yapmak CISO'nun işini kurtarmayabilir ancak onları mahkemenin dışında tutabilir.

Yeni Tehdit Ortamı için Yeni Bir CISO

kurumsal BT ortamı önemli ölçüde değişti son 40 yılda giderek daha dağınık, bulut tabanlı ve iş yürütmenin merkezi haline geldi. İhlallerin artık kaçınılmaz olduğu düşünülen siber tehdit ortamı da aynı durumda. Bu kadar çok değişim varken, günümüzün CISO'sunun geçmiş yıllardaki gibi çalışması gerçekçi değil. Bu yeni ortamda, CISO'lar siber dayanıklılığı nasıl dengeleyeceklerini yeniden tanımlamalı ve operasyonel talepler, üst düzey liderler ve yönetim kurulu ile etkileşimde bulunun ve ekip ve teknik liderlik sağlayın.





Source link