Siber güvenlik, kurumsal karar alma süreçlerinde giderek daha önemli bir konu haline geldiğinden, bilgi güvenliği şefinin (CISO) rolünü üst düzey hiyerarşide daha yüksek bir noktaya yükseltmek için buna uygun bir hareket oldu. Akıl yürütme, “Siber önemliyse, CISO’lar da önemli olmalı” gibi görünüyor. Bununla birlikte, rolü yükseltmek, CISO’yu çölde “güvenlik” diye haykıran ve BT, mühendislik veya ürünlerdeki günlük karar vericilerle çok az bağlantısı olan yalnız bir ses haline getirir.
Bu, şirketin güvenlik önlemlerinin uygun olduğunu düşünen Facebook yöneticisi gibi bazı istenmeyen sonuçlara yol açtı. saatlerce süren gecikmelere neden oldu 4 Ekim 2021’deki kesintiye veya ihlali kabul etmek yerine sistemini ihlal eden bilgisayar korsanlarına ödeme yapan Uber yöneticisine veya yaptıklarını kabul etmek yerine “ek güvenlik katmanlarına” yatırım yapan çok sayıda CISO’ya yanıt verirken Başlangıçta kötü seçimler. Tüm bu durumlarda, CISO’nun işlevsel iş birimlerinden soyutlanması, bu kararların yansıtıldığı düşüncesinde kuşkusuz bir rol oynamıştır.
Organizasyonel Etki
Belki de CISO’nun rolünü yeniden tasavvur etmenin zamanı gelmiştir. Belki de CISO’nun öneminin kurumsal statüden ziyade kurumsal etkiye yansıdığını görmek daha iyidir. Belki de güvenliği işlevsel birimlere yerleştirmek daha iyi güvenlikle sonuçlanacaktır.
CISO’yu BT organizasyon ekosisteminin bir parçası olarak hayal edin. Altyapıyla ilgili her karara dahil olacaklardı ve güvenlik endişeleri, olaydan sonra ele alınmak yerine bu kararların ayrılmaz bir parçası olacaktı. Bu, bir dış grup tarafından altyapıya eklenen özel güvenlik yetenekleri yerine, ağın nasıl yapılandırıldığına ve yönetildiğine dayalı bir dizi “güvenlik” çözümüne izin verecektir.
Yazılım geliştirme organizasyonuna gömülü bir güvenlik uzmanı hayal edin. Geliştiricileri kendilerine yabancı süreçlerle boğmadan, böylece şirketin kodundaki güvenlik açıklarını azaltarak, kodun güvenlik göz önünde bulundurularak yazıldığından ve test edildiğinden emin olmak için geliştirme sürecini iyileştirebilirler. Ürün hatlarına gömülü bir güvenlik uzmanı hayal edin. Kurumsal altyapının IP’lerini koruduğundan ve geliştirme süreçlerinin ürünlerindeki güvenlik açıklarını azalttığından emin olabilirler.
Tüm bu durumlarda, güvenlik, kurumsal operasyonların gerçekliğine dayanan kurumsal kararlarda bir faktör haline gelir. CISO’nun teknik uzmanlığı, kendisine dayatılan bir kısıtlamadan ziyade günlük çalışmanın ayrılmaz bir parçası haline gelir. Benzer şekilde, finansal sistemlerin ve iş ortakları ve satıcılarla iletişimin güvende kalması için güvenlik ve uyumluluğun sorunsuz bir şekilde çalışması gerekir. Bu, telekom sistemlerine ve diğer donanımlara kadar uzanır.
Risk Faktörü
Bu, güvenliğin teknik boyutunu şirket yönetiminde güçlü bir ses haline getirmenin daha etkili bir yolu gibi görünüyor. Bununla birlikte, bunun politika boyutunu azaltıp azaltmayacağı, onu bireysel işlevsel birimlerin özel çıkarlarına hitap edecek şekilde balkanlaştırıp azaltmayacağı merak edilebilir. Bu endişe, baş risk görevlisinin rolünün, halihazırda CISO tarafından yürütülen güvenlik politikası işlevlerini içerecek şekilde genişletilmesiyle ele alınabilir.
Bu, güvenlik politikasını ihtiyaç duyduğu ilgiyi gördüğü C düzeyinde tutma avantajına sahiptir. Siber güvenlik riskinin diğer riskler (erişilebilirlik riski, itibar riski, yukarıdaki durumları ele almak için) bağlamında dikkate alınmasının daha fazla yararı vardır. Güvenlik artık kendi başına bir amaç değil, iş yapmanın bir boyutu olacaktır. Bu, güvenliğin diğer endişelerle savaşması ve kuruluşun güvenlik duruşunu tehlikeye atacak düzenlemeler yapması gerektiği anlamına gelmez. Bunun yerine, tüm gereksinimleri karşılamaya çalışan biri için ya/veya zihniyetini değiştiren bir ortam kurar.
Kendi personelini kilitlemeden Facebook’u etkili bir şekilde koruyacak çok sayıda erişim kontrol teknolojisi var. Kullanılabilirlik riski ile birlikte güvenlik riski de düşünüldüğünde daha pragmatik çözümler ortaya çıkacaktır.