Hızlı dijital dönüşüm sayesinde Bilgi Güvenliği Baş Sorumlusu’nun (CISO) rolü son on yılda genişledi. Artık CISO’ların çok daha fazla iş odaklı olması, daha fazla şapka takması ve yönetim kurulu üyeleri, çalışanlar ve müşterilerle etkili bir şekilde iletişim kurması gerekiyor, aksi takdirde ciddi güvenlik arızaları riskiyle karşı karşıya kalacaklar.
Las Vegas’taki CPX 2024’te geniş kapsamlı bir basın soru-cevap oturumunda, uluslararası kuruluşların CISO’ları ve başkan yardımcılarından (VP’ler) oluşan bir panel, dijital dönüşümün, kârlılık baskılarının ve güvenlik farkındalığı eksikliğinin dijital dönüşümün doğasında nasıl bir değişikliğe yol açtığını tartıştı. pozisyonları – genel olarak teknik olmaktan ticari ve son derece sosyal olmaya kadar.
Bugün, etkili bir CISO ve buna bağlı olarak bir kuruluştaki etkili güvenlik kültürü arasındaki farkın, güvenlik açıklarını azaltmak ve politikaları tanımlamak kadar daha yumuşak iletişim becerileriyle de ilgili olduğunu öne sürdüler. Aslına bakılırsa, ikincisiyle başarılı olan ancak birincisinden yoksun olan güvenlik liderleri, sonunda kuruluşlarını büyük ihlallere maruz bırakıyor.
“Sonuçlarını mı sordun?” Allegiant Travel Company’nin CISO’su Dan Creed, Dark Reading’in bir sorusuna retorik bir şekilde yanıt verdi. “SolarWinds’e sonuçlarının ne olduğunu sorun. Bir şifre politikası vardı, bir stajyer şifre politikasına uymadı, sonuçlarına bakın.”
Dijital Dönüşüm CISO’yu Nasıl Dönüştürdü?
IDC’nin siber güvenlik ürünlerinden sorumlu program başkan yardımcısı Frank Dickson, 6 Mart’ta ayrı bir CPX basın toplantısında şunları söyledi: “CISO’nun rolü son 10 yılda değişti ve biz bunu hiç fark etmedik.”
Yıllar önce bu pozisyon, bugün hâlâ ilişkilendirildiği nispeten dar siber risk odağıyla oluşturulmuştu. Ancak öncelikle kurumsal saldırı yüzeyinin genişletilmesi sayesinde genişletildi. Kurumsal kaynaklarda güvenlik açıkları gerektiren tipik ihlaller; Target, Ashley Madison ve benzerlerini düşünün. Günümüzde, özellikle de Kovid-19’dan bu yana, çalışanların e-postaları, telefonları ve diğer cihazları bunun yerine kuruluşlar için en büyük riski temsil eder. Bilgi güvenliği sorumluluğu kolektif hale geldikçe CISO’lar silolarından çıkmaya zorlandı.
Frank Dickson basına IDC’nin yeni raporu hakkında bilgi veriyor; Kaynak: CPX
Dijital dönüşüm aynı zamanda BT’yi izole edilmiş köşesinden doğrudan iş koluna taşıdı. Dickson’ın işaret ettiği gibi, “Tüm gelirin yaklaşık %40’ı [Global] Gelecek yıl 2000 yılı dijital ürün ve hizmetlerle şekillenecek. Yani bu, BT’nin doğasını maliyet belirleyici olmaktan çıkarıp, gelir elde etme yolunda ilerleyen bir şeye dönüştürmektir. Ve bunun ne yaptığını düşünürseniz, bu CISO’nun rolünü temelden değiştiriyor.” Bugün şirketler BT’yi bir iş sürücüsü olarak algıladıkça, CISO’ların sadece siber riskleri önlemek ve azaltmak için değil, aynı zamanda siber riskleri de azaltmak için entegre olmaları gerekiyor. yönetim kuruluna iş kararları konusunda tavsiyelerde bulunmak ve geliştiriciler, satış görevlileri ve müşterilerle buluşmak.
CISO’nun giderek artan iş dünyası ile ilgili sorumlulukları, CPX’te açıklanan bir IDC araştırmasına da yansıdı. Ankete katılan 847 siber güvenlik liderinden %10’u bir CISO’nun en önemli işinin liderlik ve ekip oluşturma becerileri olduğuna, %8’i ise bunun iş yönetimi becerileri olduğuna inanıyor. Gerçek siber güvenlik farkındalığı ve anlayışı ile BT mimarisi ve mühendislik becerileri, her biri %12 ile çok az oy aldı.
CISO’lar Çalışanlar Tarafından Nasıl Daha İyi İşler Yapabilir?
Konu sadece CISO’lar değil meli iş adamlarının iki katı kadar; buna ihtiyaçları var. “Bu ilişkileri kurmamanın sonucu [is] Şirkette ‘Eh, bu benim sorumluluğumda değil’ kültürüne sahip oluyorsunuz. SolarWinds ve MGM gibi. Creed, “Güvenlik farkındalığına sahip olmamanın sonuçlarını anlamasalar veya fark etmeseler de, Yardım Masasını arayarak MFA’larını sıfırlıyorlar” diye açıkladı.
Creed’in yuvarlak masa toplantısında başkaları tarafından da dile getirilen argümanındaki incelik önemlidir. Çalışanların güvenlik açıklarını önlemenin yalnızca farkındalığı yaymak meselesi olmadığını vurguluyorlar; çünkü bilgili çalışanlar bile, güvenlik ekipleriyle ilişkileri sağlıklı olmadığında veya hijyen çok zahmetli olduğunda güvenliği göz ardı ediyorlar.
“[They say] güvenlik gizlenmelidir. Ben bunu bir adım daha ileri götürüyorum: güvenlik işi kolaylaştırmalı ve hızlandırmalı,” dedi Check Point Saha CISO’su Pete Nicoletti, modern CISO’nun gelişen felsefesini tekrarlayarak. VPN’leri, sınırlı, eski moda CISO’ların olduğu yere bir örnek olarak sunuyor. “Bu, e-postamı ne kadar süreyle tutuyor: iki saniye mi, yoksa 10 saniye mi? VPN’e kaydolmak ne kadar sürer? öyle mi [employees] 22 saniye ve kimlik doğrulaması sürdüğü için bu sorunu çözecek misiniz? [It’s about] Bunları mümkün olduğunca şeffaf ve kullanımı kolay hale getirmeye çalışıyoruz. Artık rekabet avantajına sahip olduğunuz noktaya kadar süreci gerçekten hızlandıran araçları seçmeye başlayın.”
Creed, “Yürüttüğüm ilk girişimlerimden bazıları tam olarak bu” dedi. “VPN’den uzaklaşalım ve dizüstü bilgisayarınızla her zaman açık olan bir noktaya geçelim, onu açıyorsunuz, ateşleniyorsunuz ve ağımıza bağlanıyorsunuz, güvenlik yığınımıza geri dönüyorsunuz. Bir sonraki hedef şu: şimdi şifresiz ortama geçişin temelini atıyoruz.”
Çalışanlarla konuşmak ve onlar için güvenliği kolaylaştırmak yeterli değilse CISO’lar alternatif teşvikleri de deneyebilir. “Aslında güvenlik kültürüyle ilgili KPI ölçümlerimiz var. Ve bonus havuzlarını gerçekten etkilemeye başlayacağımız noktaya hazırlanıyoruz; böylece departmanınız daha iyi performans gösterirse bonus havuzunuzu normların üzerine çıkarır. [. . .] ve eğer bunu yapmazsanız, o zaman ikramiyeniz de yansır,” diye açıkladı Creed.
CISO’lar Yönetici Arkadaşlarıyla Nasıl Daha İyi İşbirliği Yapabilir?
Sonra tahta var.
IDC, anketinde CISO’lara ve CIO arkadaşlarına CISO’ların gerçekte ne yaptığını sordu (örneğin, stratejik mimariye mi odaklandıkları, yoksa işin doğası gereği taktiksel mi olduğu) ve yanıtlarda önemsiz farklılıklar bulamadı; bu durum CISO’ların bile ‘ En yakın C düzeyindeki ortaklar tamamen aynı fikirde değil.
Creed yakın zamanda buna benzer bir vakayı hatırlattı: “Birkaç yeni 737 sipariş ettik. Bunlar bizim ilk e-bağlantılı uçaklarımız. [The board] Önceki görüşmelere beni dahil etmedim ve sonrasında tüm yeni e-bağlantılı uçakların siber güvenlik gerekliliklerine sahip olduğu bir yangın tatbikatı haline geldi; aslında, eğer dosyada FAA tarafından onaylanmış ve kabul edilmiş bir ağ güvenlik planınız yoksa, bu bir yangın tatbikatı haline geldi. , bu uçaklar için uçuşa elverişlilik sertifikanızı kaybedersiniz. Sizce yönetim kurulu ‘filoyu genişleteceğiz’ yoluna gitmekten ilk kez bahsetmeye başladığında, bunun güvenlikle ilgili sonuçları olabileceğini düşündü mü?”
“Bu yüzden onları eğitmeli ve onlara açıklamalısınız: İşte bu yüzden masada bir koltuğa ihtiyacımız var. İş için alınan her stratejik kararda risk vardır. [. . .] sen ne kadar çok bizi o masadaki bir koltuğa dahil etİşletmeyi o kadar iyi koruyabilir ve riskin bir yangına dönüşmesi yerine, riskin nerede başladığına ağırlık verebiliriz” dedi.
Denver Broncos’un bilgi teknolojisinden sorumlu kıdemli başkan yardımcısı Russ Trainor, Dark Reading ile yaptığı röportajda bu amaçla basit bir ipucu verdi:
“Bazen ihlallerle ilgili haberleri CFO’ma ileteceğim: işte ne kadar veri sızdırıldı, işte bunun maliyetinin ne kadar olduğunu düşünüyoruz” diyor. “Bu şeyler eve çarpma eğilimindedir.”
