Kurumsal ortamlarda CISO rolü olgunlaştıkça ve güvenlik yöneticileri pozisyonlarını teknoloji yöneticilerinden daha kapsamlı risk danışmanlarına ve iş liderlerine yükselttikçe, kariyer ilerlemeleri de değişiyor. CISO’nun işi artık nihai yönetici varış noktası değil Günümüzün insanları için, güvenlik liderleri artan iş becerilerini üst düzey yöneticilerdeki daha geniş bir yönetici pozisyonları sınıfında değerlendirmeye çalışıyor.
CISO’ların bariz dönüşlerinden bazıları baş risk sorumlusu (CRO) ve Bilişim Kurulu Başkanı (CIO) rolleri. Giderek yaygınlaşan bir başka değişim ise baş teknoloji sorumlusu (CTO) pozisyonuna doğru oldu. Hem güvenlik hem de yönetim kurulu düzeyindeki iş çevrelerinde davul sesinin artmasıyla birlikte tasarım gereği güvenli yazılım mühendisliği, ürün geliştirme ve teknoloji mimarisinde, CTO pozisyonlarını eski CISO’larla doldurmak, doğru koşullar altında harika bir bahis gibi görünüyor.
Henüz bu eğilimi kanıtlayacak istatistiksel bir destek olmasa da, 20th Century Fox, Bank of America ve Fifth Third Bank gibi şirketlerin son birkaç yılda CISO’larını CTO rollerine yükseltmesiyle anekdotsal kanıtlar artıyor. Bu aynı zamanda, birkaç ay önce CISO Jamil Farshchi’yi ortak CTO ve CISO pozisyonuna atayan kredi raporlama devi Equifax’ın da izlediği yoldur.
Farshchi ise geçişin hem Equifax hem de kendisi için bir “verim” olduğunu söylüyor. Diğerlerinin yanı sıra The Home Depot, Time Warner, Los Alamos Ulusal Laboratuvarı ve NASA’da görev alan kıdemli bir CISO olan Farshchi, altı yıldan fazla bir süre önce Equifax’a geldi. 2017’deki devasa veri ihlalinin ardından. Yalnızca bir güvenlik programı dönüşümü sağlamak için değil, aynı zamanda işletmenin dijital dönüşüm çabalarını desteklemek için derin organizasyonel ve teknolojik değişikliklere liderlik etmekle görevlendirildi.
“CISO olarak ekibim ve ben, en başından beri teknolojiyle yoğun bir şekilde ilgileniyoruz. Raporlama hattının yapılandırılma şekli nedeniyle, tüm zaman boyunca CEO’ya rapor veriyorum” diye açıklıyor. “Birkaç ay önce, önceki CTO’muzun ayrıldığı zamana kadar hızlı bir şekilde ilerleyelim; başka bir şirkette CEO olmak için başka bir fırsatı değerlendirdi. Benden devreye girip teknolojinin dizginlerini elime almam ve rolümü bu alana da genişletmem istendi.”
CISO’lar CTO’ya Uygulanabilir Becerilere Sahiptir
Equifax promosyonu kendini göstermeden önce bile Farshchi, güvenlik camiasında benzer geçişlerin gerçekleştiğine tanık olduğunu söylüyor. Arkadaşlarının CISO’dan CTO’ya veya ürün tipi pozisyonların başına geçtiklerini görmekle kalmadı, aynı zamanda CEO’lardan ve işe alım uzmanlarından bir CISO’nun CTO rolü için anlamlı olup olmayacağını soran daha duyarlı sorular aldı. Ona göre bu kesin bir evet.
“Bir CTO olarak teknolojide başarılı olmak için gereken birçok davranış, birçok uygulama, birçok beceri seti, stratejik düşünme vb. aynı zamanda başarılı olmak için ihtiyaç duyulan niteliklerle tamamen aynıdır. bugün güvenlikte” diye açıklıyor.
Bu, güvenlik ve teknoloji liderliği topluluğundaki birçok kişi tarafından paylaşılan bir duygudur. Uzun süredir siber güvenlik ve yönetici geliştirme uzmanı olan ve Dijital Direktörler Ağı’nı yöneten Bob Zukis’e göre, kurumsal CISO’lar gerçek iş liderleri yüksek teknoloji uygulayıcıları yerine, birçoğu CTO’ya geçişle işe başlamaya hazır olan çok yönlü bir gruptur.
“CISO işinin büyük bir kısmı doğal olarak stratejikten operasyonele kadar bir CTO rolüne dönüşüyor. İşlevler arası çalışmaya alışkınlar. Organizasyon genelinde risk perspektifinden çalışmaya alışkınlar. Alışkınlar teknolojileri operasyonel hale getiriyorlar. Bir güvenlik fonksiyonundan birçok yenilikçi teknolojiyi kullanıyorlar” diyor. “Artık bağlam, değerleri koruma yöneliminin aksine, değer yaratan bir yönelimden teknolojileri stratejik olarak seçmeye ve uygulamaya başlamaya başlıyor.”
MDR sağlayıcısı Critical Start’ın CTO’su Randy Watkins, işlevler arası uzmanlık ve deneyimin CISO’ların CTO adayları olarak masaya getirdiği en büyük faydalardan biri olduğunu söylüyor. CTO’lar genellikle pek çok alandan geçer ve ister pazara teknoloji özellikli ürünler getiriyor olsun, ister yalnızca birçok iç müşteriyi ve iş grubunu destekliyor olsun, mühendislik, ürün ekipleri, iş grupları vb. arasındaki birçok karmaşık ilişkiyle uğraşırlar. iş amaçlı uygulamalar ve platformlar.
CISO’nun diğer BT grupları, iş grupları ve yönetici paydaşlarla çalışması gerektiğini açıklayarak, “CISO’ların kendi bütçeleri olmadığı için işlevler arası olmaları gerekiyordu. Yeterli personel sayıları yoktu” diyor işlerin halledilmesi ve güvenlik girişimlerinin sürdürülmesi için. “Dolayısıyla çapraz işlevler kesinlikle bir CISO’nun sahip olması gereken bir güçtür ve bu, bir kuruluştaki her kıdemli lider için güçlü bir güçtür. Gerçekten oldukça yüksek bir tavanın kilidini açıyor.”
Watkins hiçbir zaman CISO olmasa da güvenlik geçmişinden geliyordu ve Critical Start’taki görevine geçmeden önce güvenlik mimarisinin yöneticisiydi. Şirket bir güvenlik firması olduğundan, birkaç yıl önceki geçişi çok sorunsuzdu; ancak ürün yönetimi konusundaki bilgi ve becerilerini genişletmek ve geliştirmek zorunda olduğunu hissetmişti; bu, bazı CISO’ların benzer şekilde tazelenmesi gereken bir alan. Bir CTO pozisyonunda başarılı bir şekilde gezinmek için açık.
“En büyük öğrenme eğrisi, ürün yönetimi yaşam döngüsünü anlamaya çalışmak, çevikliği anlamak, şelaleyi anlamak ve bunların her birinin avantajlarını ve dezavantajlarını anlamaktı” diyor. “Gerçekten zaman çizelgeleri ve son teslim tarihleri oluşturmak ve sprint döngülerini, yayın tarihlerini ve yayın türlerinin tempolarını anlamak çok zordu. Ve bunun yaşam boyu bir öğrenme süreci olduğunu hissediyorum.”
Watkins, bir güvenlik firmasının CTO’su olarak CISO topluluğundaki arkadaşlarıyla hâlâ oldukça iyi bağlantılara sahip olduğunu söylüyor. Kendisi, bu grubun bu günlerde onlar için iyi bir yanının, ürün konusunda çok daha bilgili hale gelmeleri olduğunu söylüyor; bu da gelecekte CTO pozisyonları için rekabet etmeyi umut edenlerin çoğuna yardımcı olacak. Bu bilgililiğin iki nedenden dolayı geliştiğini ekliyor.
“Birincisi, çünkü genellikle danışmanlık almak için uyarı alıyorlar ve [venture capital and private equity companies] en son ve en büyük teknolojileri hakkında konuşmak için” diyor. “Ve iki, çünkü bizim gibi üreticilerle konuşmak zorundalar ve ürün döngümüzün nerede yerine oturduğunu ve binaya nasıl daha fazla değer katabileceklerini anlamak istiyorlar işimiz. Bu, CISO rolünün esnekliğini ve hareketliliğini değiştirmek için çok şey yapıyor.”
Güvenlik Odaklı CTO’lar Tasarım Yoluyla Güvenliği Destekliyor
Belki de CISO’ların CTO adayları olarak sunduğu en iyi fayda, inovasyon döngüsüne getirdikleri risk yönetimi zihniyetidir.
Dijital Direktörlerden Zukis, “Bu kesinlikle inovasyon yaşam döngüsünün başlarında güvenlik tartışmasını daha da artıracaktır ki bunun çok ama çok iyi bir şey olacağını düşünüyorum” diyor.
Watkins tüm kalbiyle aynı fikirde.
Watkins, “Güvenlik odaklı bir kişinin girdiği herhangi bir pozisyonu seviyorum çünkü bu pozisyon, üst düzey bir pozisyon olmasa da sadece güvenlikle ilgili olmayan bir role geçiş yapan bir güvenlik görevlisi olsa bile, güvenlikle ilgili doğal bir bilgi ve düşünce süreci getiriyor.” diyor. “Güvenlik düşünce sürecini, taşındıkları her küçük alanda iç içe geçirmede etkilidir.”
Bu, genellikle kültür ve teşvik sorunları nedeniyle diğerlerinden daha fazla askıya alınan, tasarım gereği güvenli girişimler için çok büyük şeyler yapabilir. Tecrübeli bir güvenlik CTO’sunun, mühendislik ekibinin güvenli ürünler geliştirmesi ve yaratması için daha iyi teşvikler yaratma konusunda içsel olarak motive olma olasılığı çok daha yüksektir. Daha da önemlisi, eski bir CISO’nun, yeni bir ürün veya platformun planlamanın ilk aşamalarında getireceği potansiyel risklerin farkında olma olasılığı daha yüksektir.
Equifax’tan Farshchi, “Tasarım gereği güvenli olmanın, bir güvenlik görevlisini CTO haline getirmeyi seçen herhangi bir kuruluştan büyük ölçüde faydalanması gerektiğini düşünüyorum” diyor. “Güvenlik konusunda güçlü bir bakış açısına sahip olacaklar ve daha sonra acele edip kaçmak yerine, onu en başından itibaren inşa edecekler.”
