Bilgi güvenliği sorumlusu (CISO) ile satıcılar arasındaki ilişki, siber güvenlik ekosisteminin merkezi bir motorudur. Aynı zamanda iş kullanıcılarının ve yöneticilerin yakalanması zor ama en önemli desteği arayan CISO’ların sürekli gelişen ihtiyaçlarını karşılamaya çalışan yeni kurulan şirketlere yardımcı olur.
CISO rolü, pazardaki dalgalanmalar, COVID-19’un sonuçları, yönetim kurullarının artan siber güvenlik farkındalığı ve teknolojinin gelişmesinin yol açtığı değişikliklere yanıt olarak son birkaç yılda önemli ölçüde gelişti. CISO’lar değişken ortamlarına uyum sağladıkça, bu değişikliklerin CISO’lar ile tedarikçileri arasındaki ilişkiyi nasıl etkilediğini değerlendirmek giderek daha önemli hale geldi.
Bunları ve diğer trendleri müthiş bir CISO ve güvenlik girişimcisi grubuyla tartıştım: Mandy Andress, CISO, Elastic; Sounil Yu, (o sırada) CISO ve Araştırma Başkanı, JupiterOne; Frank Kim, CISO-in-Residence, YL Ventures; Valence Security’nin CEO’su ve kurucu ortağı Yoni Shohet; ve Opus Security’nin CEO’su ve kurucu ortağı Meny Har.
Değişim Süreklidir
Ortaya çıkan tehditlere ve bunların potansiyel çözümlerine ayak uydurmak hayati önem taşıyor ve Mandy, CISO’ların meraklarını geliştirmeleri, öğrenmeye odaklanmaları ve bir anda harekete geçmeye hazır olmaları konusunda ısrar ediyor. “Sektörümüzde bazı şeylerin değişmeye devam edeceği gerçeğini benimsemenin önemli olduğunu düşünüyorum” diyor. “Üzerinde çok çalışıp uyguladığınız bir şey, ertesi gün tamamen işe yaramaz hale gelebilir. Bunlar sürekli değişen konfigürasyonlar, sorunlar, sistemlerdir; bu nedenle, uyarlanabilir ve değişime açık olduğunuzdan emin olmalısınız.”
İletişim Önemli Bir Beceridir
CISO’ların uğraşması gereken tek değişiklik yeni tehditler değil. Geçtiğimiz birkaç yılda organizasyonel silolar ve bariyerlerin yıkılmasıyla güvenlik, sürekli iletişim gerektiren daha işbirlikçi bir çaba haline geldi. Bunu güvenlik ekibi içinde yapmak yeterince zor olabilir. Ancak günümüzün kurumsal ortamında iş ihtiyaçlarının karşılanması gerekiyor, yöneticiler bilgilendirilmeyi bekliyor ve geliştiriciler sürecin ayrılmaz bir parçası.
CISO’lar tutarlı bir şekilde iletişim kurabilmeli ve yeni kurulan şirketler bunu yapmalarına yardımcı olmalıdır. Frank, “Hikaye anlatmak güvenlik personeli için önemli bir beceridir” diyor. “Yaptığımız işin öyküsünü nasıl anlatacağımızı, bunun işletmeyle nasıl uyumlu olacağını ve onu nasıl destekleyeceğimizi düşünmeliyiz. Yeni kurulan şirketler, teknolojiyi anlamlı bir resme dönüştürerek güvenlik liderlerine yardımcı olabilir.”
Sounil, bu etkileşimlerin nasıl daha faydalı hale gelebileceğini anlatıyor. “Kullandığımız dil önemli” diyor. “Yeni kurulan şirketler buna odaklanmalı ve çözümlerini CISO’ların çözmek istediği soruna yöneltmeli. Siber Savunma Matrisi gibi bir araç, satıcılarla etkileşim kurmak, ortak bir temel oluşturmak ve iletişimi teşvik etmek için yararlı bir mekanizmadır.”
Startup’lar Daha Büyük Bir Rol Oynuyor
Startup kurucuları bu evrimi görüyor ve buna göre tepki vermeli. Meny, “İlişki son 5-10 yılda değişti” diyor. “İnovasyona ve startup zihniyetine çok daha fazla açıklık var. Erken aşamadaki start-up’ların uzmanlaştığı ve CISO’lara değer katabilecek yeni, ortaya çıkan tehditler ve sektörler var. CISO’ların, daha büyük satıcıların denemeyebileceği kendine özgü sorunları var. Çözümlenmesi zor. Küçük girişimler, ortaya çıkan güvenlik tehditlerine karşı daha iyi hazırlıklıdır ve muhtemelen daha uygun maliyetli çözümler sağlayabilirler ki bu da mevcut pazar ortamında çok önemlidir.”
Yoni şunu ekliyor: “Sürekli değişen bir tehdit manzarasıyla, CISO’lar haklı olarak şimdi ve gelecekte neye karşı korunmaları gerektiği konusunda güncel bilgilere sahip olmayı talep ediyor ve startup’lar bu ortamın ön saflarında yer alıyor.” Frank ayrıca yeni kurulan şirketler ve CISO’lar arasındaki ilişkide insan faktörünün çok önemli bir unsur olduğuna dikkat çekiyor. “Bir CISO olarak telefonu elime alıp istediğim ürünü satın alabilirim ancak benim gözümde anahtar kelime işbirliğidir. Elbette maliyet önemlidir ve tehdit savunması önemlidir ancak satıcı ile güvenlik arasında güçlü bir ortaklık vardır. Ekip ve CISO, dağıtımın başarısında veya başarısızlığında kritik bir faktördür.”
Tek Öncelik Maliyet Değil Ama Büyük Bir Sorun
Piyasadaki bütçe baskıları söylentilerden gerçeklere dönüştükçe startup kurucuları yeni CISO zihniyetine ve önceliklerine uyum sağlamak için odak noktalarını geliştiriyorlar. Mandy, “Yeni bir girişimin bakış açısına göre, sadece işi kolaylaştırmanız gerekiyor. Kullanıcının neye ihtiyacı olduğunu ve bunu nasıl sağlayabileceğinizi anlamak için ekstra zaman ve çaba harcayın” diyor. Frank şunu ekliyor: “Bu sadece maliyetle ilgili değil. CISO’lar ekibin ürünü uygulama becerisini değerlendiriyor ve paydaş desteği ile iş değerinin olduğundan emin olmak istiyor, dolayısıyla yeni kurulan şirketlerin bu hususları da akılda tutması gerekiyor.”
Hem Yoni hem de Meny, yatırım getirisinin (ROI) satıcılar için kritik bir satış noktası ve CISO’lar için güçlü bir öncelik olduğunu belirtiyor. Yoni, “CISO’nun ürünün yatırım getirisini kolayca ölçebilmesi ve yatırımı haklı çıkarmak için bunu şirket içinde iletebilmesi gerekiyor” diyor. “Valence olarak bunu başarmak için yeterince geniş bir alana odaklanmamız gerektiğini biliyorduk ve bu nedenle SaaS güvenliğinin ötesine geçerek daha bütünsel bir siber güvenlik platformuna doğru genişledik ve CISO’ların beş yerine iyi kapsama sahip bir platform satın alarak seçimlerini haklı çıkarmalarına yardımcı olduk. ” Meny bunu güzel bir şekilde özetliyor: “Eğer anında işlem yapılabilir değer sunamazsanız, satış yapamazsınız.”
CISO’nun evrimi henüz bitmedi. Tehditlerin artması ve CISO’ların kendilerini SEC’in SolarWinds soruşturması gibi siyasi, hukuki ve teknolojik yansımaları olan küresel olayların merkezinde bulmasıyla, kuruluşlar genel olarak güvenliğe yaklaşımlarını yeniden incelemek zorunda kalacak. Frank, “CISO’lar henüz C düzeyindeki yöneticiler olarak kabul edilmiyor” diyor. “Bir sorun olduğunda iş dünyasının liderlerinin aradığı kişi olmayı sevmiyoruz; sorun ortaya çıktığında masada olmak istiyoruz. Bu hâlâ pek çok kuruluşun, yalnızca güvenlik liderlerinin değil, kuruluşların da yapmakta olduğu geçiştir. CISO’yu başarı için en iyi şekilde nasıl konumlandıracağımızı anlamaya çalışıyoruz.”
