Son 20 yıldır farklı sektörlerdeki şirketlerde CISO olarak görev yaptım. Bu görevde, her kuruluşu hızla gelişen geniş bir siber güvenlik tehditleri alanından koruma sorumluluğunu üstlendim. Güvenlik liderlerinin her gün ne kadar stresle karşı karşıya kaldıklarını da ilk elden öğrendim.
Meslektaşlarımla yaptığım son konuşmalar, siber güvenlikte stresin endüstri çapında bir sorun olduğunu gösterdi. CISO rolü, herhangi bir kuruluşta en stresli olanlardan biridir. Ve güvenlik işlevi – her şirket türü ve endüstri sektörü için geniş kapsamlı – stres kaynaklı bir krizin eşiğinde duruyor.
CISO Rolünü Ayıran Nedir?
Güvenlik ekibi, baskı altındaki tek grup değil. Diğer kurumsal işlevler ve diğer yöneticiler, yüksek ve bazen gerçekçi olmayan beklentileri karşılamalıdır. Ancak CISO konumunu benzersiz kılan, göreli yeniliğidir; modern bir organizasyondaki çoğu iş on yıllardır var, bu yüzden oldukça iyi tanımlanmışlar. Şirketlerin, örneğin CEO’nun, CFO’nun ve COO’nun sorumluluklarını ve hesap verme sorumluluklarını ortaya çıkarmak ve işlevlerinin sorunsuz çalışmasını sağlayan süreçler geliştirmek için uzun yılları oldu.
Karşılaştırıldığında, kurumsal güvenlik işlevi biraz Vahşi Batı’ya benziyor. CISO’dan başlayarak, hiyerarşi boyunca, güvenlik rolleri yenidir ve birçok kurumsal pozisyona göre olgunlaşmamıştır. Bu nedenle, CISO genellikle bir kuruluşun dijital varlığında yanlış gidebilecek her şeyin sorumluluğunu üstlenir. Bu, CISO’ya şaşırtıcı bir genişlik sağlar.
Tüketici verilerinin güvenliği ihlal edilirse, ortaya çıkan tüm uyumluluk, müşteri hizmetleri ve marka etkilerinden CISO sorumlu tutulabilir. Hileli ödemeler gerçekleşirse, mali yansıma CISO’ya ait olabilir. Fidye yazılımı veya başka bir saldırı nedeniyle makineler hasar görürse veya süreçler kesintiye uğrarsa, bu durum CISO’ya geri döner. Çalışanlar kurumsal verileri bulut tabanlı bir sisteme yerleştirirse, güvenlik ekipleri veri aktarımının gerçekleştiğinin farkında olmasa bile CISO muhtemelen sorumluluğu üstlenir. Ve yeni ve önceden bilinmeyen bir tür tehdit, sistemleri kimsenin tahmin edemeyeceği şekilde tehlikeye atıyorsa, bir kez daha: CISO’da.
Bireysel siber güvenlik olayları, bir kuruluşun stratejik planlarını raydan çıkarma potansiyeline sahiptir. Ancak çoğu CISO’nun, kuruluşlarını önlerine çıkan sayısız tehdide karşı kendilerini savunmaya hazırlamak için net bir planı yok. Standart bir iş tanımları bile yok. Bir şirkette erişim denetimi CISO’nun etki alanına girerken, başka bir kuruluşta ağ ekibine ait olabilir.
Her şirketin kendi rolünü ve sorumluluklarını tanımlamasıyla birlikte, CISO’lar “herkes bu şekilde yapıyor” güvenlik ağının dışında kalıyor. Şirketlerin hepsi güvenliği aynı şekilde ele almıyor. Her CISO, hızla değişen tehdit ortamına karşı hızla gelişen bir altyapıyı güvence altına almanın en iyi yollarını belirlemek için kendi başınadır.
Dış Beklentiler
Üst yönetimin, güvenlik ekibinin kurumsal veri ve uygulamaların güvenliğini garanti etme derecesi konusunda gerçekçi beklentileri olmaması da baskıya ek olarak. CEO’lar, CFO’lar, COO’lar ve genel danışman, güvenliği genellikle matematiksel bir denklem olarak görür. CISO’nun tüm olası boşlukları tespit edip ardından bu boşlukları kapatabilmesi gerektiğini düşünüyorlar. Bu basit bir teklif gibi görünüyor. Gerçekte, elbette, geniş ve dinamik bir kurumsal altyapıyı güvence altına almak hiç de basit değildir.
Yönetim ekibi ve yönetim kurulu, genellikle CISO’nun ortaya çıkabilecek her soruya anında yanıt vermesini bekler. Kuruluş, onlarca yıl boyunca birikmiş yüzlerce uygulama ve araç kullanabilir, ancak C-suite, CISO’nun güvenlik ekibinin her birini korumak için attığı tüm adımları bilmesini bekleyebilir. CISO hemen cevap veremezse, iş performansları doğrudan veya dolaylı olarak sorgulanabilir.
Müşterilerin yalnızca ürün ve hizmetlerin zamanında teslimi değil, aynı zamanda mahremiyet ve veri gizliliği konusundaki beklentileri, güvenlik ekibinin etkinliği ile kurumsal gelir arasında doğrudan bir çizgi çekebilir. Ve sonra düzenleyici ortam var. Pek çok CISO’nun, kuruluşun belirli alanlardaki güvenliğini birçok ilgili düzenleyici kuruma göstermesi beklenir.
Bazı CISO’lar için bu stresörler, topluluğun veya ulusun daha iyi olması için bir sorumluluk duygusuyla birleşir. Petrol boru hatlarından devlet dairelerine ve sağlık tesislerine kadar, başarılı fidye yazılımlarının kritik altyapıyı nasıl sakatlayabildiğini gördük. Aniden, ulusal güvenlik de CISO’nun gündemine girdi. Bu, CISO’ların yönetmek için eğitilmediği bir risk, ancak bu, onu görmezden gelebileceğimiz anlamına gelmiyor.
Bölüm 2’de, CISO baskı altındayken şirketin karşılaşacağı riskler ve durumu yatıştırmak için neler yapabileceğimiz hakkında konuşacağız.
Editörün Notu: Karanlık Okuma, güvenlik uzmanlarını zihinsel sağlıklarına öncelik vermeye teşvik eder. Bu nedenle okuyucuları bilgilendirmek istiyoruz. bu makalenin yazarı Shamla Naidoo’nun tartışacağı siber güvenlik endüstrisinde zihinsel sağlıkla ilgili büyük sorunlar Marcia Goddard ile 10 Şubat’ta bir web seminerinde.
