Riski küresel ölçekte yönetmek her zaman zor olmuştur, ancak COVID pandemisinin ardından CISO’lar daha da çevik hale gelmek zorunda kaldı. Hibrit çalışmaya geçiş, bulut uygulamalarının hızlı dağıtımı ve sürekli entegrasyon ve sürekli geliştirmeye (CI/CD) geçiş, tehdit aktörlerini yeni ve daha geniş hedeflerle cesaretlendirdi.
Bu arada, kuruluşların ağlarındaki cihaz ve uç nokta sayısı katlanarak arttı. İki kıdemli CISO, varlık tespiti ve risk yönetimi girişimi olan Sepio tarafından geçen hafta düzenlenen bir web seminerinde bu değişikliklerin getirdiği zorluklardan yakındı. Sepio’dan CISO Ilan Kaplan, HSBC CISO Monique Shivanandan ve geçen yaz Deep Instinct girişimine CIO olarak katılmadan önce 17 yıl Citi’de CISO olarak görev yapan Carl Froggett ile bir saatlik bir tartışmayı yönetti.
Shivanandan ve Froggett, hızla değişen siber güvenlik ve risk ortamının sunduğu en önemli üç zorluk olarak gördüklerini Kaplan ile paylaştı.
1. Tüm Ağ Varlıklarının Görünürlüğünü Koruma
Siber güvenlik uzmanları, geçmişte ağlarında ne olduğu ve onlara yönelik tehditler hakkında tam bir görünürlük elde etmek için mücadele ettiler. Froggett, konteyner tabanlı uygulamalar ve SaaS gibi daha yeni bulut tabanlı teknolojilerin geleneksel yazılımlardan daha iyi görünürlük sunduğunu, çünkü modern uygulamaların daha güvenli olacak şekilde tasarlandığını belirtti.
Ancak bu avantajı gölgede bırakmak, modern uygulamalarla ilişkili tüm bileşenlerin katıksız ölçeğidir. Froggett, “Eskiden bir varlık 5, 6, 7 yıl veya altta yatan işletim sistemlerini dahil ederseniz daha uzun süre hayatta kalırken, artık kabın ömrü saniyeler veya belki dakikalarla ölçülebiliyor” dedi. Bu, “tamamen yeni bir dizi [visibility] bu açıdan zorluklar.”
Shivanandan, envanterleri yakalamanın, onları güncel tutmanın ve izlemenin geleneksel yöntemlerinin, varlıkları bir ağa manuel olarak ekleme kavramına dayandığını belirtti. Ancak modern uygulamalarda, cihazların ve yazılımların konuşlandırıldığı ölçek ve hız nedeniyle bunun işe yaramadığını söyledi. Shivanandan, “Her CIO’nun ve her CISO’nun karşılaştığı en büyük zorluklardan biri, bu görünürlüğe sahip olmak ve bu görünürlüğün güncel olduğundan emin olmaktır” dedi.
2. Uygulama Eklerken Yeni Risklerden Kaçınmak
Güvenlik ekipleri, mevcut düzenleyici risk yığınlarını ve mevcut tehdit ortamını ele almanın yanı sıra, yeni risklerin kaynağı olmaktan da kaçınmalıdır. Bunu nasıl sağladıkları sorulduğunda Shivanandan, altyapıya eklenen her bileşenin kaynak kodunu incelemenin imkansız olduğunu, ancak HSBC’nin yeni bir teknolojiyi devreye alma konusunda “birçok kalem testi ve kırmızı ekip oluşturma” içeren titiz süreçlere sahip olduğunu söyledi.
“Maalesef sahip olduğumuz parti sayısıyla bunu herkes için yapamıyoruz” diye ekledi. “Bunu seçkin birkaç kişi için yapıyoruz.” Sorun şu ki, “her yazılım değişikliği ve her yeni sürüm, bilerek veya bilmeyerek yeni bir şey getirebilir. Karşı karşıya olduğumuz sürekli bir savaş.”
Froggett, Citi’nin yeni teknolojiyi benimseme konusunda kalem testi ve kırmızı ekip oluşturma dahil olmak üzere katı süreçleri olduğunu, ancak mevcut sürüm kadansları ile yaptırımın zorlaştığını söyledi. “Nihayetinde, gelen her şeyin kaynak kodu incelemelerini genellikle yapamazsınız” dedi.
3. Nitelikli Yetenekleri İşe Alma ve Elde Tutma
Deneyimli siber güvenlik uzmanlarının eksikliği yeni bir şey değil, ancak Shivanandan bunun en büyük zorluklardan biri olmaya devam ettiğini söylüyor. “Dünyadaki tüm teknoloji, kurulum yaptığımızdan emin olmak için oradaki insanlar kadar iyidir. [everything] doğru ve güncel tutun” dedi.
Shivanandan, kayda değer ilerleme kaydedilmesine rağmen, kadınların cam tavanı aşmasının hala zor olduğunu söyledi. Tüm BT endüstrisine kıyasla üst düzey siber güvenlik rollerinde erkeklerin daha büyük bir varlığa sahip olduğuna inanıyor.
“Daha düşük seviyelerde başladığınızda, [an] eşit [proportion of] erkekler ve kadınlar, 50-50, hatta bazen 60-40 kadın” dedi.
Yine de Shivanandan, kadınların bugün başladığı zamana kıyasla daha az engelle karşılaştığını söyledi. “Ben başlarken kafana vurup ‘canım sen merak etme o güzel küçük kafanı ben hallederim’ demek istediler. Ama artık değil. Artık bir kadının herhangi bir pozisyona girmesi için tavan yok. Bu sadece azim meselesi.”
Shivanandan, liderlik ekibinin %40’ının kadın olduğu HSBC’de kendini şanslı görüyor. “Kadınlar ve erkekler harika ve gerçekten aramak istediğiniz şey bu” dedi.
Froggett, Citi’de geçirdiği yaklaşık 25 yıl boyunca patronlarının çoğunun kadın olduğunu söyledi. “İş kesin olarak bitmedi, ancak kesinlikle daha fazla denge var. [of men and women in senior leadership roles than] Beş ya da 10 yıl önce gördüm.”
Shivanandan, çeşitlilik içeren bir ekip oluşturmanın cinsiyetin ötesine geçtiğini vurguladı. Ekibinin büyük bir kısmının bir tür nöroçeşitliliğe sahip olduğunu söyledi. Buna göre araştırmainsanların tahminen %15-20’sinde otizm, dikkat eksikliği hiperaktivite bozukluğu (DEHB), zihinsel sağlık sorunları veya öğrenme güçlüğü gibi bir tür nöro-farklılık vardır.
Shivanandan, bu koşulların genellikle değerli olduğunu söyledi: “Onları işte harika yapan da bu.” Ancak, “Kariyer ilerlemesi açısından, teknik açıdan değil liderlik açısından bunun üstesinden gelmenin muhtemelen daha zor olduğunu düşünüyorum” diye ekledi.