Günümüzde çoğu şirket, kuruluşun bilgi varlıklarını veri ihlallerinden, siber saldırılardan ve kötü aktörlerden korumakla görevli bir lidere sahip olmanın önemini kabul ediyor. Her sektörde her yerde bulunan teknoloji ve bir şirketin varlığının gerçek risklerinin tehlikeye girmesiyle, nihayet siber güvenliğin öneminin evrensel olarak anlaşıldığı bir yere geldik.
Bu değişim, bilgi güvenliği uzmanları için çok olumlu olsa da, bir şirketin ihtiyaçlarına göre bilgi teknolojisinin organizasyonel olarak nasıl yapılandırılacağı konusunda fikir birliğine varılmadan önce hala kat etmemiz gereken bir yol olduğunu düşünüyorum.
Bazı şirketler artık bilgi güvenliğinin artık sadece teknolojiyle sınırlı olmadığını ve aslında organizasyonlarının tüm alanlarını kapsayan en büyük iş risklerinden biri olduğunu kabul ediyor. Yine de en yaygın yapısal güvenlik sorularından biri “Bilgi güvenliği şefi (CISO) kuruluşumuzda nerede oturmalı?” sorusu olmaya devam ediyor.
Bazı işletmeler için bu kolay bir felsefi seçim değildir. Genellikle varsayılan yanıt, CISO’nun teknoloji bölümü içindeki baş bilgi görevlisine rapor vermesidir. Diğer kuruluşlar için CISO, kurumsal risk, hukuk veya operasyon departmanı içinde yer alır.
Bununla birlikte, artan bir eğilim, CISO’nun genel müdüre rapor vermesidir; bu, CISO’nun tüm işletme genelindeki benzersiz bakış açısı göz önüne alındığında çok anlamlıdır. Bu raporlama hattı, CISO’ları gerçekten bir şirketin üst düzey yönetim ekibinin üyeleri olarak kurar.
CISO’ların kime rapor verdiğinden bağımsız olarak, önemli olan, herkesin başarılı olabilmesi için akranlarıyla etkileşim kurmaları ve etkili ve güçlü ilişkiler kurmalarıdır. Bununla birlikte, özellikle başarılarının anahtarı olan bir ilişki, baş bilgi görevlisiyle olan ilişkisidir.
Bu iki lider, bir organizasyonu korumada kritik roller oynar. Farklı ihtiyaçları, itici güçleri ve amaçları olsa da, bu iki işlev ideal olarak birbiriyle rekabet etmek yerine birbirini tamamlamalıdır.
Temelde, bir CISO’nun rolü, önemli bir iş riskini anlamak ve yönetmekle ilgilidir. Siber güvenlikten sorumlu yönetici olarak kişi, bir kuruluşun teknoloji işlevleri ve bunların nasıl entegre edildiği konusunda derin bir anlayışa sahip olmalıdır. Ancak aynı derecede önemli olan, iş süreçleri, öncelikler ve “nasıl ve neden” teknolojisinin şirket genelinde konuşlandırıldığı ve kullanıldığı konusunda sağlam bir kavrayışa sahip olmaları gerekir.
Bu, CISO’ların, özellikle finansal hizmetler ve sağlık gibi yüksek düzeyde düzenlemeye tabi bir sektörde çalışırken, kuruluşlarının güvenlik ihtiyaçlarını yönetme ve bunlara yanıt verme konusunda kritik bir bakış açısı kazanmalarına yardımcı olur.
Tersine, CIO’lar teknolojilerini çalışır durumda, bağlantılı, uzaktan erişilebilir ve işletmelerinin ve müşterilerinin hızla değişen ihtiyaçlarıyla uyumlu hale getirmeye daha fazla odaklanıyor. Bu küçük bir iş değil ve pandemi neredeyse iki yıl önce başladığından beri iş gücü uzaklara gittiği ve öyle kaldığı için giderek zorlaşan bir iş.
Açıkça ilişkili olmakla birlikte, bu iki yöneticinin zihniyetleri meli çok farklı ol. CIO’lar, sürekli talepkar bir kullanıcı tabanı için yeni özellikler ve işlevler sunarken bir kuruluşun çalışır durumda kalmasını sağlamaya odaklanmalıdır. Öte yandan CISO’ların, işletmelerini güvence altına alma ve sürekli değişen teknoloji ortamımızda hem bilinen hem de bilinmeyen tehditlerin olasılığını ve etkisini ele alma konusunda daha fazla düşünmesi gerekiyor.
Pratik bir bakış açısından, bütçe ve raporlama gözetimi de ayrıştırma için güçlü bir örnek teşkil eder. Yeni ve gelişen siber tehditlerin sürekli mevcudiyetinden endişe duyan bir CEO veya baş risk yetkilisiyseniz, bir CISO’nun güvenlik tavsiyelerinin filtrelenmemiş olmasını ve – oldukça doğal olarak – hıza odaklanan bir CIO’nun etkisinden arınmış olmasını istersiniz. ve işlevsellik. Ayrıca, siber güvenlik bütçelerinin asla diğer teknoloji önceliklerine yönlendirilme riskini taşır.
CISO ve CIO rollerinin ayrıştırılması, gereksiz kurumsal riskleri ortadan kaldırmasa da azaltan organik bir kontrol ve denge oluşturur. Ve anahtar bu. DNA’larında risk yönetimine sahip olan şirketler, buna göre yeniden organize olan ilk şirketler olmuştur. Risk yönetimi yerine maliyet yönetimine öncelik veren şirketler, risklerini ele almakta kuşkusuz daha yavaş olacaktır.
Sonuç olarak, daha fazla kuruluş kendi önceliklerini ve iş ihtiyaçlarını karşılarken bu yöneticilerin akran olarak birlikte çalışmasının faydalarını gördükçe, CIO-CISO’nun ayrılmasının devam edeceğine inanıyorum.