İşletmeler, siber güvenlik zincirinin tepesinde bir bilmeceyle karşı karşıya.
Ağı denetleyen CISO’lar, güvenlikten birincil sorumluluğa sahiptir, ancak genellikle altyapıya ve siber saldırganların tercih edilen hedefleri haline gelen iş açısından kritik öneme sahip verilere ilişkin görünürlükten yoksundurlar. Hedeflenen bu altyapının gizli gelişimini denetleyen CIO, kötü niyetli aktörlerin yararlanabileceği güvenlik açıklarını ve görünürlükteki boşlukları doğası gereği daha iyi anlayabilir.
Dijital dönüşüm, BT’yi neredeyse her kuruluşta öne ve merkeze yerleştirdi ve bu da altyapıyı koruma işini çok daha karmaşık hale getirdi. İş dünyasının can damarı olarak verilerin artan önemi, bulut ve mobil bilgi işlem vurgusu ile altyapıdaki temel değişimler ve siber suçlular ve ulus devlet saldırganları tarafından ortaya çıkan hedef ayarlamaları, dikkatleri ağdan uzaklaştırdı.
Peki, kim sorumlu olmalı? Siber güvenlik sorumluluğu CIO ve CISO arasında bölünebilir mi? Güvenlik görevlerini bir şekilde paylaşabilirler mi? Hayır, etkili değil. Futbolda oyun kuruculuğa başlamakla ilgili eski ifadeyi ödünç alırsak, iki güvenlik şefiniz varsa, gerçekten güvenlik şefiniz yoktur. İşletmelerin ve diğer kuruluşların CIO raporlarını CISO’ya sunmayı ciddi olarak düşünmelerinin zamanı geldi.
Güvenlik İhtiyaçları Birliği
En açıklayıcı olan şey, CISO ile BT operasyonları ekibi arasındaki ilişkinin bunun ortasında nasıl oynandığıdır, çünkü güvenlik ekipleri güvenlik gereksinimine sahip olsa da, bunun sorumluluğu genellikle BT operasyon ekiplerine aittir. Örneğin, bir güvenlik ekibi, 17.000 sistemde konuşlandırılmış uç nokta aracılarına sahip olabilir, ancak yine de ağın kapsanıp kapsanmadığını bilmiyorlar. BT departmanına, korumaları dağıtmak için kaç sisteme ihtiyaç duyduklarını sormaları gerekir. Ve gerçekten kimse bilmiyor, çünkü bu, BT departmanına daha önce sorulan bir soru değil.
BT altyapısı – ve daha özel olarak bu altyapıya ilişkin görünürlük eksikliği – kurumsal güvenlikteki en büyük zayıf noktadır. Saldırganların bir şirketin ağını, onu korumakla görevli güvenlik uzmanlarından daha iyi tanıdığı bir noktaya geldik. Varlıklar, ağ kimlikleri veya uygulamalar ve hizmetler dahil olsun, altyapıya ilişkin görünürlük kazanmak, birleşik, bütünsel bir yaklaşım gerektirir. Ve bu, kontrolün tepede birleştirilmesiyle başlar.
Neden bir CISO?
bu CISO’nun rolü ilk olarak 1995 yılında ortaya çıktı ve yıllar içinde CISO’ların işletmelerde daha yaygın hale gelmesiyle görevleri değişti. BT çatısı altında oluşturulan ve dolayısıyla CIO’ya rapor veren birincil hedef, işletmeyi etkin bir şekilde koruyacak ürünleri belirlemek ve tedarik etmekti. Bunları yönetmek BT’nin işi olacaktır.
Bununla birlikte, bu yaklaşımla ilgili sorun, BT’nin oldukça sessiz bir işleve dönüşmesidir; bu, çok az BT mağazasının en üstte oturan ve tüm sistemler ve bunların nasıl etkileşime girdikleri hakkında kapsamlı bilgiye sahip biri olduğu anlamına gelir. Bunun nedeni büyük ölçüde BT kuruluşlarının doğası gereği geleneksel olarak operasyonel olmamasıdır. Kuruluşların tüm BT altyapısı hakkında bütünsel bir anlayış kazanmasını engelleyen bir kültür sorunudur.
CISO’ların karşılaştığı zorluk, organizasyon içinde hiç kimsenin gerçekten anlamadığı ve başarısızlığın reçetesi olan bir altyapıyı savunmak için bir strateji geliştirmektir. Bir kurumun güvenlik duruşu, temel BT altyapısının üzerine inşa edilen güvenlik programı tarafından oluşturulur ve genel etkinlik, yalnızca ikisinin daha zayıf olanında iyidir.
CISO, endüstrinin güvenliğinden sorumluysa, aynı kişinin hem güvenlikten hem de BT altyapısından sorumlu olması gerekir. Eski NFL koçu Bill Parcells’in sözleriyle, akşam yemeğini senin pişirmeni istiyorlarsa, market alışverişi yapmana izin vermeliler.
İki Değil, Bir İş
Yirmi yıl önce Hava Kuvvetleri’nde siber güvenliğe başladığımda, orduda CIO’dan farklı bir CISO diye bir şey yoktu. BT yöneticisi, BT operasyonlarına ve güvenlik operasyonlarına sahipti ve bunlar birlikte büyüdü. O zamandan bu yana, tabii ki, bu durum değişti, özel sektörden başlayıp, dünyanın her yerindeki birçok işletmeye yayıldı (aslında şimdi Hava Kuvvetleri CISO’su var).
Şaşırtıcı olan, CISO pozisyonunun neden yaratılmış olduğudur. Belki de o zamanki CIO’lar güvenlik konusunda kafa yoramadıkları için. Ya da belki bazı kuruluşlar siber güvenliğin artan önemini vurgulamak için C düzeyinde bir pozisyon oluşturma ihtiyacı hissetmiştir. Bunlar, özellikle günümüzün operasyonlarında ve tehdit ortamlarında iki ayrı rol değildir. Onlar bir. Operasyonları ve güvenliği içeren kurumsal altyapınız var ve ardından işin daha verimli çalışmasına yardımcı olan kurumsal uygulamalarınız var. BT’deki her şey, bir operasyonu yürütme ve güvence altına alma işlerini iki farklı koltuğa veremeyecek kadar birleşik ve birbirine bağlıdır.
CISO rolünün ortaya çıkışının – ve BT operasyonlarından ayrılmasının – günümüzün siber güvenlik başarısızlıklarının çoğunun birincil nedeni olduğu söylenebilir. Kamu sektöründeyken, operasyonları ve güvenliği birleştirme yaklaşımının güvenlik için belirgin faydalar sağladığını gördüm. Bu, her sektördeki kuruluşların artık geri dönmeyi düşünmesi gereken bir şey. Mevcut ortam, BT ve güvenlik işlevlerinin, CIO’nun CISO’ya rapor vermesiyle birleştirilmesini gerektiriyor.
