Sektör deneyimli ve SANS Enstitüsü üyesi Frank Kim katıldı katıldı YL Girişimleri yeni tam zamanlı yerleşik CISO olarak. YL Ventures, siber güvenlik çözümlerini geliştirirken ve işlerini büyütürken tavsiye ve rehberlik sağlamak için startup girişimcilerini CISO’larla buluşturuyor. Yerleşik bir CISO olarak Kim, siber güvenlik çözümlerinin ticari etkisine odaklanacak. Bir güvenlik danışmanlığı ve CISO danışmanlık firması olan ThinkSec’in kurucusu ve SANS Enstitüsü’nün eski CISO’su olan Kim, siber güvenliğin temel yönlerinden derinlemesine bakış açısını yeni rolüne taşıyor. Kim, Dark Reading ile aşağıdaki Soru-Cevap bölümünde yer aldı.
(İçerik, uzunluk ve netlik için düzenlendi)
Karanlık Okuma: Bir startup’ta CISO’nun rolü nedir? CISO danışmanları teknoloji startup’larını hızlandırmaya nasıl yardımcı olabilir?
Frank Kim, YL Girişimleri: Siber güvenlik alanındaki 20 yılı aşkın süredir, SANS Enstitüsünde geçirdiğim süre boyunca güvenlik girişimlerine kendi payıma düşeni yaptım ve daha pek çok kişiye danışmanlık yaptım. Bugün, siber güvenlik VC, YL Ventures’ta CISO-in-Residence olarak, firmanın girişimcileriyle daha onlara yatırım yapmadan önce çalışmaya başlıyorum ve bunu tüm şirket kurma yolculukları boyunca yapmaya devam ediyorum. Yerleşik CISO olmak, yıllardır operasyonel güvenlik konusunda derinlemesine bilgi sahibi olan deneyimli CISO’lara, yeni nesil üst düzey siber güvenlik tedarikçilerinin büyümesini etkileme ve yönlendirme şansı sunar. Fikir geliştirme, ürün-pazar uyumu ve değer gerçekleştirme konularında şirket içi ve düzenli olarak siber güvenlik girişim kurucularıyla yakın ve doğrudan çalışıyorum. Onlara modern CISO’ların, güvenlik ekiplerinin ve işletmelerin ihtiyaçlarına paha biçilmez bir bakış açısı olarak kabul edilebilecek şeyler sağlıyorum ve onlara özellikle güvenlik çözümlerinin iş hızında iş değeri sağladığından emin olma, iş ve teknoloji gecikmesi arasındaki boşluğu çözme konusunda rehberlik ediyorum. Güvenliğin potansiyel bir engelden uygun bir kolaylaştırıcıya dönüşmesi için günümüzün dijital olarak yönetilen işletmelerini güvence altına almak için daha iyi, daha modern yaklaşımlara ihtiyacımız var.
Bu kariyer yolu, geleceğin güvenlik liderlerini şekillendirmeye ve geliştirmeye yardımcı olmak için bulut güvenliği ve CISO siber güvenlik liderlik müfredatını geliştirdiğim SANS’taki rolümden doğal bir ilerlemedir. Konuştuğum her YL Ventures kurucusu, liderliğin modern ekosistemi güvence altına almanın yenilikçi yollarıyla birleştiği, her zamankinden daha önemli olduğu bugünün ve yarının bulut öncelikli dünyasını doğal olarak inşa ediyor. Amacım, kurucuların ve girişimcilerin bu yeni yetenekleri gün ışığına çıkarmalarına yardımcı olmak.
Karanlık Okuma: Ortaya çıkan en önemli CISO siber endişeleri nelerdir? Fidye yazılımı hala 1 numaralı halk düşmanı mı?
Frank Kim, YL Girişimleri: Fidye yazılımı ile ilgili olarak, bu hala bir endişe kaynağıdır. Son zamanlarda YL Ventures benzersiz bir rapor yayınladı Ankete katılan CISO’ların yarısının kuruluşlarının bir fidye yazılımı saldırısının hedefi olduğunu belirttiği – ancak aynı zamanda birçoğunun özel bir fidye yazılımı çözümüne değil, çok katmanlı bir güvenlik yaklaşımına ihtiyaçları olduğuna inandıkları fidye yazılımı riskine ilişkin.
Veri güvenliği, özellikle işletmelerin verileri güvenli bir şekilde kullanma, paylaşma ve bunlardan yararlanma becerisi olmak üzere büyüyen bir başka endişe kaynağıdır. Başlangıçlar için gelecekteki gelir akışlarına bakarsak, anahtar, verilerin benimsenmesini ve kullanılmasını sağlamak ve sağlamaktır. İşin o kadar önemli bir parçası ve saldırganlar için o kadar kazançlı bir hedef haline geldi ki, CISO’lar için en yüksek öncelik haline gelmesi haklı. Birleşme ve satın almalar ve konsolidasyon ile modern, dinamik iş ortamında – veriler hareket etmeye ve değişmeye devam ediyor ve biz de ayak uydurmak zorundayız.
Güvenlik operasyonları ekipleri, buluttaki güvenlik sorunlarını çözmek için otomasyondan yararlanarak uyarı yorgunluğu ve zorluklarla mücadele ediyor ve bu, saldırıların hacminin artmaya devam etmesi nedeniyle endişe verici. Artık bulut güvenliği duruş yönetimi (CSPM) gibi araçların görünürlüğü arttığına ve güvenlik ekipleri ihtiyaç duydukları bilgilere sahip olduklarına göre, bunu nasıl kullanacaklarını her zaman bilmiyorlar – bu da riski ve tespitten düzeltmeye kadar geçen süreyi artırıyor. Görünürlük artık yeterli değil.
Dayanıklılık ve kurtarma, artık yüksek profilli saldırılar nedeniyle işletmeler için ilk akla gelen konular. Kuruluşlar, siber saldırılardan sonra geri dönmek ve potansiyel hasarı en aza indirmek için gereken zamanı ve kaynakları azaltmak istiyor.
Son olarak, GRC ve risk ölçümü. Güvenlik, yönetim kurulu düzeyinde bir tartışma ve kuruluşlar için ciddi bir iş riski haline geliyor. CISO’lar, programlarını yönetebilmek, siber riskleri ölçebilmek ve programlarını/yığınlarını zaman içinde olgunlaştırabilmek için doğru araçlara sahip olmalıdır. Riskleri değerlendirme ve güvenlik programlarını veri odaklı bir şekilde daha verimli bir şekilde çalıştırma, etkinliği ölçme ve bunu üst düzey yöneticilere ve yönetim kurulu üyelerine aktarma yeteneklerini geliştirecek çözümler arıyorlar.
Karanlık Okuma: CISO’lar hemen hemen yalnızca daha büyük kuruluşlar için bir konum mu yoksa daha küçük kuruluşlar CISO rolüne sahip olmaktan fayda sağlar mı?
Frank Kim, YL Girişimleri: Büyüklüğü veya sektörü ne olursa olsun güvenlik, şirket kurmanın ilk aşamalarından itibaren bir iş önceliği olmalıdır. Bu, yalnızca donanım ve yazılımdan daha fazlasıdır – güvenliği erkenden devreye almak, kuruluşunuzda yarattığınız kültürün türünü ifade eder ve bu, ilk günden itibaren bir şirketin DNA’sında yer almalıdır. CISO’lar ve güvenlik ekipleri, temel işin bir parçası olmalı ve ekipteki İK, operasyonlar, geliştirme ve diğerleri gibi diğer kritik pozisyonlarla birlikte büyümelidir. Pek çok kuruluş – özellikle de büyük olanlar – temelleri atıyor ve temellerinizi oluştururken güvenliği de dahil etmek, en temel güvenlik hijyen önceliklerinin yerine getirilmesini sağlayacaktır. Bunlar, kuruluş ölçeklendikçe ve güvenlik ekibi de bununla birlikte ölçeklendikçe değerli olacaktır.
Karanlık Okuma: Kuruluşlara güvenlik iş gücü yetenek eksikliklerini ele alma konusunda nasıl tavsiyelerde bulunuyorsunuz?
Frank Kim, YL Girişimleri: SANS Enstitüsü’nde Fellow olarak geçirdiğim süre boyunca, yeni nesil güvenlik profesyonellerini büyütmeyi ve desteklemeyi kendime görev edindim. Ne yazık ki, yeterli sayıda olmadığımız iyi belgelenmiştir. ISC², küresel siber güvenlik işi açığını yaklaşık 3 milyon olarak gösteriyor ve artan güvenlik ihtiyaçlarını destekleyecek yeterli sayıda genç profesyonel yok.
CISO tükenmişliği gerçek bir şeydir. Olaya müdahale etmeye, iş liderlerine netlik sağlamaya, yeni güvenlik açıklarını ele almaya ve daha fazlasını yapmaya çalışan güvenlik ekiplerinin her zaman havada yaklaşık 14 topu vardır. Kuruluşlar, yükü azaltmak ve CISO’ları itfaiyeden stratejik aktörlere dönüştürmek için bunu bir tehlike olarak ele almalı ve otomasyon araçlarına ve diğer düzene sokma süreçlerine öncelik vermelidir. Bir CISO’nun işinin özellikleri de suçlanabilir. CISO olmak, organizasyonun geri kalanından kopuk, yalnız ve yalnız bir iş olabilir.
İşbirlikçi ve katılımcı bir çalışma ortamını teşvik etmek, sahip olduğunuz güvenlik yeteneğinin kuruluşunuzda kalmak isteyeceğinden emin olmanın anahtarıdır.
Karanlık Okuma: C-suite’in geri kalanıyla entegrasyon nasıl çalışıyor? Kuruluş için genel güvenlik duruşunda bir gelişme görüyor muyuz?
Frank Kim, YL Girişimleri: CISO’lar sürekli olarak bir kaya ile sert bir yer arasındadır. Sorumluluklarımızın önemi artıyor, ancak yönetim kurulu odasına felaket ve kasvet getiriyoruz ve bu her zaman takdir edilmiyor.
Bununla birlikte, hem güvenliğin kendisinin hem de uygulayıcılarının algısında çarpıcı bir değişime tanık oluyoruz. CISO’lar artık güvenlik görevlisi değildir; iş için stratejik değerleri vardır ve içgörüleri neredeyse her karar alma sürecinde aranır. Bu, kuruluşun güvenlik duruşuna ilişkin görünürlüğü kesinlikle artıracağı ve hesap verebilirliği güçlendireceği ve reaktif yerine proaktif bir yaklaşımda doğru süreçlerin ve insanların yerinde olmasını sağlayacağı için kutlanmalıdır.