Bilgi güvenliği sorumlusunun (CISO) rolü değişiyor. İçinde güncel araştırma CISO’ların %86’sı, rolün o kadar değiştiğini ve eskisinden neredeyse tamamen farklı bir iş haline geldiğini söyledi. CISO’ların, kuruluşları giderek daha karmaşık hale gelen tehdit ortamından korumaya yönelik geleneksel sorumluluklarına ek olarak, kuruluşlarının geneline ulaşması, üst düzey yöneticilerle yakın işbirliği içinde çalışması ve riskle ilgili olarak üst düzey iş stratejisi sağlaması gerekiyor.
Siber güvenlik ile iş riski arasındaki bu yeni bağlantı, CISO’ları yönetim kurulu odasına itti ve burada kendilerinden güvenlik stratejilerini yönetim kurulunun kuruluş vizyonuyla uyumlu hale getirerek yatırımlarını gerekçelendirmeleri istendi. Bu çizgide yürümek için CISO’ların, operasyonlar ve güvenlik ekipleri arasında geleneksel olarak var olan doğal uçurumu kapatmalarına olanak tanıyan kritik sosyal beceriler geliştirmeleri gerekiyor.
İletişim, liderlik ve duygusal zeka gibi sözde sosyal beceriler artık işin gereklilikleri haline geldi ve CISO’ların bu hassas dengeyi yönetmesine ve kuruluşları için üst düzey risk değerlendirmesi ve rehberlik sağlamasına olanak tanıyor.
İşte bugün her CISO’nun ihtiyaç duyduğu üç sosyal beceri:
1. İşbirliği
Dijital dönüşüm ve çevik, müşteri odaklı iş modelinin ortaya çıkışı, bir zamanlar kuruluşlara nüfuz eden siloları yok etti. Ekipler genellikle başları öne eğik ve yalnızca önlerindeki göreve odaklanarak, diğer iş birimlerinin ne yapmakta olduğuna dair çok az görünürlük veya hiç görünürlük olmadan, inzivaya çekilerek çalışıyorlardı. Kuruluşlar genelindeki paydaşlar arasındaki iletişim, işbirliği ve entegrasyonun dayanıklılığı artırmaya yönelik operasyonel verimlilikler yaratması nedeniyle bu durum son birkaç yılda önemli ölçüde değişti. CISO perspektifinden bakıldığında bu, satış ve pazarlamadan tedarik zincirine ve yönetim kuruluna kadar organizasyonun her yönüne siber güvenlik riski merceğinden bakmak anlamına gelir.
Yeni düzenlemeyle işbirliği 2024’te kritik önem taşıyacak Menkul Kıymetler ve Borsa Komisyonu (SEC) siber olay düzenlemeleri. CISO’ların artık bir olayla ilgili olarak paydaşlarla ve kurullarla nasıl iletişim kuracaklarını anlaması gerekiyor. Bunu yapmanın tek yolu, paydaşların ne duymak istediğini anlamak için yalnızca mali işler müdürleri (CFO’lar) ile işbirliği yapmak değil, aynı zamanda hukuk departmanıyla da işbirliği yaparak, yönetim kuruluyla birlikte neyin öncelikli olarak tanımlandığı konusunda net standartlar belirlemektir. Birlikte çalışmak, CISO’nun bu siloları ortadan kaldırmasına ve gereksiz siber güvenlik riski yaratmadan iş hedeflerine yönelik yakın işbirliği sağlamasına olanak tanır. Doğru şekilde ve uygun şeffaflıkla yapılırsa, yeni veya ortaya çıkan bir riskle veya düzenlemeyle mücadele etmek için gereken ek önlemlerin kabul edilmesi daha kolay olacaktır.
2. İletişim
İşbirliğinin büyük bir kolaylaştırıcısı iletişim. CISO’lar, düzenli kullanıcılardan yönetim kuruluna kadar paydaşların her zamankinden daha teknik olduğunu görüyor. İnsanlar hibrit bir modelde çalışmanın veya uygulamaları buluta taşımanın etkisini anlıyor ve riskleri üretkenlik ve çeviklik avantajlarıyla birlikte tartma konusunda CISO’ya güveniyor. Bu, herkesin anlayabileceği iş dili ve ölçümleri aracılığıyla tehditler, uyumluluk ve diğer riskler konusunda eğitilmesini gerektirir. CISO’lar, yeni bir güvenlik stratejisinin, sürecinin veya aracının uygulanmasının iş hedeflerine (gelişmekte olan bir pazara genişlemek, geliştirme hızını artırmak veya hisse senedi fiyatlarını yükseltmek gibi) nasıl katkıda bulunabileceği konusunda paydaşları eğiterek bütçe ihtiyaçlarını daha iyi iletebilir. Teknik yetenekler ile iş sonuçları arasındaki boşluğu kapatmak, CISO’ları daha büyük başarıya yol açabilecek önemli bir danışmanlık ve düşünce liderliği konumuna getirir.
3. Hikaye Anlatımı
CISO’ların ayrıca verileri kullanarak iyi hikaye anlatıcıları olmaları gerekir. bir anlatı oluşturmak İşletmenin artan riski nasıl azalttığıyla ilgili. Bu, yine yönetim kurulunun ve diğer iş paydaşlarının anlayacağı dil ve ölçümleri kullanarak bir temel performans göstergesinin (KPI) alınmasını ve mevcut çabaların yetersiz kalıp kalmadığını göstermeyi ve eğer öyleyse, sonuçları iyileştirmek için bir strateji sunmayı içerir. Bu kritik KPI’yı daha büyük bir girişime (büyüme, sürdürülebilirlik veya müşteri deneyimi) bağlamak, siber güvenliğin ve riskin azaltılmasının genel misyona nasıl katkıda bulunduğunu açıklamak için daha da ileri gider.
CISO’lar Gelişmeye Devam Ediyor
Artık CISO’lar iş stratejisini etkileme ve kuruluşlarının kültürünü değiştirme fırsatına her zamankinden daha fazla sahip. Müşteri hizmetleri temsilcisinden yönetim kurulu başkanına kadar herkes, artan siber güvenlik risklerinin günlük işlerden daha geniş iş girişimlerine kadar her şeyi nasıl etkilediği konusunda rehberlik almak için onları dinliyor ve onlara güveniyor. CISO’ların bu zorluğun üstesinden gelmek için sosyal beceriler olarak adlandırılan yeni beceriler geliştirmesi gerekiyor; riski azaltmak, operasyonel verimlilik yaratmak, dayanıklılığı artırmak ve iş büyümesini desteklemek için tüm iletişim, işbirliği, öğretme ve hikaye anlatma becerilerini kullanmaları gerekiyor.