Burn Outsuz CISO Nasıl Olunur?
Burn Outsuz CISO Nasıl Olunur?
Bugün Dünya siber saldırılara, veri ihlallerine, veri sızıntılarına ve casusluğa prim kazandıran operasyonlarda hızlı bir artışa tanık olduğu için, sıcak bir konudur.
Hükümetler siber güvenliği ciddiye alıyor, hem savunma hem de saldırı yeteneklerine yatırımları artırıyor ve yasal çerçeveleri destekleyecek düzenlemeler getiriyor. Dünyanın dört bir yanındaki kuruluşlar, artan yatırımlarla siber güvenliğe öncelik vermiş ve yönetim kuruluna bir Bilgi Güvenliği Yöneticisi (CISO) yerleştirmiştir. Bu çabalara rağmen, şirketler hala parola yönetimi, çok faktörlü kimlik doğrulama veya ayrıcalıklı erişim yönetimi gibi temel güvenlik hijyeni uygulamalarını pratik etmede zorlanıyor.
CISO'ları ve ekiplerini destekleyerek, en hassas veri varlıklarımızı artan siber tehditlerden korumayı başarabilir miyiz? Onlara siber saldırılardan kaynaklı giderek artan riskleri azaltmak için ihtiyaç duydukları kaynakları ve bütçeyi sağlıyor muyuz?
CISO'lar bugün herhangi bir işletmede en zor ve en zorlu işlerden birine sahiptir. Genellikle arka planda gizli çalışırlar ve kritik sistemleri ve hassas verileri siber suçlulardan ve kötü niyetli kişilerden korurlar. İçeride güvenlik ve operasyon ekiplerinin bir kombinasyonuna öncülük ederler. Sürekli yeni görevler üstleniyorlar, sistemlerin güncellenmesini ve yamalarının uygulanmasını sağlamak, siber güvenlik bilinci eğitimi vermek, ayrıcalıklı erişimi kontrol etmek ve güvenceye almak - işletmelerin yerine getirmesi gereken hızla değişen uyumluluk şartlarını ve düzenlemeleri yerine getirmekten ve daha birçok sayamadığımız komplike görev.
Bu nedenle, çoğu CISO'nun yaklaşık 18 ay süren ortalama rolü olan tükenmişlikten (burn-out) muzdarip olması ve zihinsel hastalık ve stresin hayatlarındaki sorunları arttırması şaşırtıcı değildir.
Thycotic, Dünyadaki BT güvenlik liderlerine, rollerinde nasıl algılandıklarını, başarılarını nasıl ölçtüklerini, çalışanları nasıl motive ettiklerini, güvenlik bütçesini sağlamada nasıl başarılı olabileceklerini ve en önemlisi nasıl burn outsuz yaşayabileceklerini öğrenmek için bir çalışma sunuyor.
Yakın zamanda, Thycotic, siber güvenlik yöneticilerinin kötücül stresi nasıl yönettiği hakkında bir içeriğe sahip olduğunu ortaya koymak için Ağustos 2019’da, ABD, İngiltere, Almanya, Avustralya ve Yeni Zelanda’nın da dahil olduğu, dünya genelinde 550’den fazla BT karar vericisi ile yürütülen araştırmaya sponsor oldu. Ortalama CISO'ların karşı karşıya kaldıkları stres ve baskı, hem profesyonel hem de kişisel yaşamları üzerinde önemli bir etkiye sahiptir. Belki de başka hiçbir yönetici rolde, ifade edilmesi ve öngörülmesi zor olan zorluklar veya çok yüksek riskler vardır.
Thycotic Önerileri!
CISO, kuruluşun başarısını nasıl ölçtüğünü öğrenmek için yönetim kurulunu ve iş arkadaşlarını dinlemeye zaman ayırmalıdır. CISO’nun rolü, siber risklerin azaltılmasını veya ortadan kaldırılmasını sağlarken iş hedeflerine ulaşmak için teknolojiyi kullanarak, güvenlik amacıyla basitçe teknolojiyi uygulamaya koymanın ötesine geçmelidir.
“İlk önce iş- Business is the First-” değer yaratmanın anahtarıdır
CISO, işletme ile BT güvenlik ekibi arasında bir köprü görevi görmeli ve her güvenlik kararında “ilk önce iş” yaklaşımının oluşturulmasını sağlamalıdır. Güvenlik stratejisini uygulamak, işletmeye, yürütme ekibine, meslektaşlarına ve çalışanlarına görev ve hedeflerini gerçekleştirmede nasıl yardımcı olur?
Chief Revenue Protection Officer Olun!
CISO'lar ve siber güvenlik ekipleri “İşimizde driving revenue nedir?” ve “Siber güvenlik konusunda müşterilerimiz bizim işimizden ne bekliyor?” gibi sorular sormak zorundalar. Satış ve pazarlama personeli dahil olmak üzere işletme geliri burada kapsanan dirving revenue içerisine girmektedir. “Hassas veriler nerede duruyor? Bu veriler tehlikeye girerse ya da olmasaydı ne olurdu? Bu gelirimizi nasıl etkiler? ”
CISO, gelir merkezli bir yaklaşım benimseyerek siber güvenliğin değerini, neredeyse tüm yönetici veya çalışanların anlayabileceği şekilde aktarabilir. Siber güvenliğin işletme gelirini nasıl etkilediğini açıklamak ve sayılar vermek, güçlü değer göstergeleri olarak işlev görür.
CISO ve Güvenlik ekibinin iş ve kişisel yaşam arasında bir denge kurması çok önemlidir. İş liderlerinin ekiplerin başarılı olmak için ihtiyaç duydukları şeye sahip olmalarını sağlamaya yönelik acil ihtiyaçları belirlemelidir. Çünkü bu bazen daha verimli kaynaklar, daha fazla güvenlik bütçesi ve başarılı olmak için daha uzun saatler çalışmak zorunda kalmamak anlamına geliyor. Siber saldırılar asla uyumaz ama CISO'nuz ve güvenliğiniz mutlaka gerekir.
İletişim başarılı bir CISO'da fark yaratıyor
Siber güvenliğin itibar sorunu, büyük ölçüde şirketin tüm seviyelerindeki anlayış ve iletişim eksikliğinden kaynaklanmaktadır. Son yıllarda görünürlüğün artmasına rağmen, siber güvenlik hala birçok kişi tarafından kabul edilemeyen teknik jargon dolu karmaşık bir alan olarak görülmektedir. Risklere ve tehditlere odaklanma eğilimi ile birlikte, ortalama bir çalışanın veya işletme yöneticisinin siber güvenliği neden kaçınılması gereken bir konu olarak görebileceğini anlayabilmek kolaydır.
İletişim eksikliğinden kaynaklanan yanlış algıların üstesinden gelmenin anahtarı en baştan başlamaktır. Güvenlik ekipleri, üst yönetim güvenliğin önemini satın almamışsa, çoğu personeli kendi tarafına almayı çok zor bulacaktır. Çoğu güvenlik uzmanı, kurullarının onları dinlediğine ve girdilerini düşündüğüne inanıyor, ancak çoğu, güvenlik yatırımları için ikna edici bir iş bölümü yapmakta zorlanıyor.
CISO'lar, yönetim kurulu ile verimli bir diyalog kurmak için en önemli kişilerdir. Güvenlik konularını jargon yüklü teknik konuşmadan tanıdık ve iş merkezli dile çeviren bir Rosetta Taşı gibi davranabilirler. CISO'lar, şirketin hedeflerine odaklanarak ve puanlarını kanıtlarla destekleyerek kurulun siber güvenliğin şirketin alt satırını nasıl etkilediğini ve inovasyon ve büyüme kabiliyetini nasıl etkilediğini anlamalarına yardımcı olabilir. Bir işe ilk yaklaşımı benimsemek, siber güvenliği olumlu bir aracı olarak yeniden konumlandırmanın en iyi yoludur.
CISO olumlu bir deneyim için itici güç olmalı
Tarihsel olarak, güvenlik çoğu çalışan için olumsuz bir deneyim olmuştur. En son ne zaman bir çalışanın Antivirüs yazılımlarını ne kadar sevdiklerini ve işlerini yapmalarına nasıl yardımcı olduğunu söylediğini duydunuz? Çalışanların çoğu muhtemelen siber güvenliği günlük işlerin yerine getirilmesinde yardımcı olmak yerine bir engel olarak görmektedir – onlara göre dizüstü bilgisayarlarının performanslarını yavaşlatma ya da işlerini yapmalarını engelleme olasılığı daha yüksektir.
Özellikle işyerinde teknolojiyi görünmez ve katmansız hale getirmek söz konusu olduğunda, siber güvenliğin mümkün olduğunca olumlu bir deneyim haline getirilmesinde liderlik etmek CISO işidir.
Siber güvenlik ekipleri için, iletişim kanallarının her zaman açık olduğundan ve tükenmişliğin önlenmesine yardımcı olmak için işyerinde esneklik ve anlayışın çalışma programlarına dahil edildiğinden emin olun. İşyerinden periyodik olarak zaman zaman ayrılmak, şirket dışı aylık öğle yemeği gibi personel ile yapılan aktiviteler de yardımcı olabilir. Her durumda, ekip üyelerine öncelikleri belirleme ve karar verme becerilerini ve yargılarını kullanma haklarını ve saygısını verin.
CISO, güvenliği şirket kültürüne entegre etmelidir
Başarılı CISO, güvenliği iş için temel bir çekirdek haline getirmeli ve çalışanlar şüpheli bir şey gördüklerinde asla konuşmaktan korkmamalıdır. Bu, çalışanların tıkladıkları bir şeyin sonucu olsa bile tavsiye istemek veya şüpheli etkinlik bildirmekten korkmadıkları bir kültürü teşvik etmek anlamına gelir. Bir çalışan ne kadar erken rapor verirse, iş için potansiyel etki ve maliyet o kadar düşüktür.
İş arkadaşları ve diğer işletme yöneticilerinden daha geniş destek almanın bir yolu, şirket çapında bir siber güvenlik programı ve kültürüne sahip olmaktır. Birçok kuruluş, siber güvenliğin yönetilmesine yardımcı olmak için bölümler arası danışmanlar olarak hareket etmek için “Siber Elçiler” veya “Siber Temsilciler” i yarattı. Amaçları, birinin şüpheli etkinliği belirleme ve güvenlik olaylarını yönetme sorumluluğunu üstlenmesini sağlayan “dört göz yaklaşımı” oluşturmaktır. Yeni teknoloji çözümlerinin uygulanmasının risklerinin belirlenmesine yardımcı olmak için siber temsilciler tarafından yönetilen özel yönlendirme komiteleri de kuruldu.
Ne zaman siber güvenlik hakkında konuşmayacağınızı bilin ve güçlü bir dinleyici olun
CISO'lar yeterli teknik bilgi sergilemekle birlikte, güçlü iletişimciler de olmalıdır. BT Güvenlik Yöneticisi ile konuştuklarında ve güvenlik gereksinimlerini işletme yöneticisine çevirdiklerinde, iş risklerine ve bu risklerin ölçülebilir bir yatırım getirisi (YG) ile nasıl azaltılacağına odaklanmaları gerekir. CISO, meslektaşlarının iş hedeflerini net bir şekilde anlamalı ve onların gereksinimlerine uymalıdır. Güvenlik, müşterilere sayılan iş, yöneticiler, iş ve meslektaşlar ve çalışanlar için bir hizmet olarak görülmelidir.
Etik ayrıca, özellikle CISO'lar ve güvenlik ekibi üyeleri için önemli bir itici güçtür. Kritik sistemlere erişimi olan ve etik ve dürüst davranışları tanıyan ve vurgulayan hassas verilere sahip olan ekip, verilerin ve mahremiyetin bütünlüğünü korumak için doğru olanı yapacaktır.
Sonuç:
Buluta hazır ayrıcalık yönetimi çözümleri sağlamada lider olan Thycotic, CISO'lar ve siber güvenlik ekipleri arasında, hızla gelişen bir tehdit ortamında karşılaştıkları zorlukların tanımlanmasına ve açıklanmasına yardımcı olmak için araştırmalara sponsorluk yapma ve araştırmaları yürütme konusunda kararlıdır.
Bu anketin sonuçları ve daha önce 2019’da yayınlanan bir rapordan (CISO Mücadelesi: İş Zekasını Uygulama ile Hizalamak), CISO’ların yürütme düzeyinde “önce iş” yaklaşımıyla eşleşmesi gereken çok daha görünür bir rolü olduğunu doğrulamaktadır.
CISO'lar ve siber güvenlik ekipleri, kurumun korunmasını sağlamak ve aynı zamanda işletmelerinin büyümesini sağlamak arasında bir denge kurmalıdır.
CISO'ların karşılaştığı zorluklar büyük olasılıkla gelecekte daha da artacaktır, ancak tehditlerle mücadelede kendileri için mevcut kaynaklar kaçınılmaz olarak sınırlı olacaktır. Bireyler ve bir endüstri olarak, bizi her gün her saat korumak için çabalayan insanlar üzerindeki baskı ve baskıları azaltırken, bilgi birikimimizi toplamak ve teknoloji kullanımımızı geliştirmek için içgörüleri paylaşmak bize bağlıdır.
Platin Bilişim