Siber Güvenliğin Ön Cephesinde Bir Komutan: CISO
Siber Güvenliğin Ön Cephesinde Bir Komutan: CISO
Leylim Damla Çetin, Bilgi Güvenliği Uzmanı
İnternet dünyası gün geçtikçe daha karmaşık ve tehdide açık bir hale geliyor. Teknolojiyle başa baş bir ilerleme gösteren kötü niyetli kullanıcılar, küçük ya da büyük tüm firmalar için risk oluşturuyor. Siber güvenlik alanındaki önlemler ise şirketleri maddi açıdan ve prestij bakımından garanti altına almayı hedefliyor.
Bu durumda kurumsal bilgi güvenliğinin ortasında yer alan CISO’ların yani bilgi güvenliği yöneticilerinin sürekli tetikte olması gereken stresli çalışma koşullarında faaliyet gösterdiğini söyleyebiliriz. Sürekli tehdidin izini süren ve başarılı olmak için tehdidi oluşmadan tespit etmesi geren CISO’lar, bir şirkete ait bütün dijital ortamı yöneterek köstebeklerin içeri sızmasını engellemek üzere kötü niyetli kullanıcılardan hep bir adım önde olmak zorunda kalıyor. Büyük bir hızla nitelik ve nicelik bakımından artış gösteren siber tehditler, CISO’lar üzerinde baş etmesi zor baskılara neden oluyor.
Başarılı şirket yönetimi için başarılı siber güvenlik şart
Siber güvenlik ile ilgili veriler, güvenlik önlemlerinin ne kadar önemli olduğunu gözler önüne seriyor. Müşterilerin ve kurum içi çalışanların kullanmak zorunda olduğu güvenli sanılan uygulamalarda devamlı olarak kritik açıklar yayımlanıyor. Tehditleri fark edip bunları düzeltmeye çalışmaktan ibaret bir siber güvenlik stratejisi bu durumda pek yeterli olmuyor. Başarılı bir siber güvenlik ekosistemi oluşturmak için bilgi güvenliği ile kurumsal hedeflerin örtüşmesi gerekiyor.
Artık kurumsal bilgi işlem yapısını güvenli hale getirmek onu yönetmekten daha fazla önem arz ediyor. CISO’ların %80’i sektörün gerektiği gibi ilerlemediği görüşünde. Diğer taraftan dünya devi olan şirketlerin liderleri, kurumlarının ilerleme kaydetmesi için güvenliğin önkoşul olduğunun farkında. Daha az karmaşık bir sistemin yönetilmesi de daha basit olduğu için en sade teknolojileri kullanmayı tercih ediyorlar. Böylece güvenliğin sağlanması amacıyla daha az kaynak kullanılarak daha çok iş başarılıyor. Ancak güvenli çalışma ortamı yaratıldıktan sonra müşterilere odaklanılarak şirketin para kazanması sağlanabiliyor.
Kurumda en düşük yanılma payına sahip pozisyonda olan CISO’ların en büyük serzenişi, güvenlik konusunda gerekli yatırımın yapılmıyor olması. Kurumsal politikalar bağlamında yeterince önem verilmeyen siber güvenlik departmanları, potansiyelini gerçekleştirmekte zorlanıyor. Bu da kurumlar için para, zaman ve itibar kaybı anlamına geliyor.
CISO, şirketlerin büyümesi ve sürdürülebilir olması için en güvenli ortamı yaratmak ister. Hiçbir şirketin sağlam işleyişe sahip bir güvenlik birimi olmadan varlığını sürdüremeyeceği dijital dünyada, en başarılı CISO’larla karşılarına çıkan mayınlı yolda nasıl yürümesi gerektiğini çok iyi biliyor.
Peki başarılı CISO’ları nasıl tanıyabiliriz?
CISO’ların başarısını tehlikeye atan önem önemli nedenlerden biri de sektör dinamiklerinin sürekli değişiyor olmasıdır. Böyle bir ortamda başarılı olmaya çalışan CISO’lar, kendi sektörlerinden bağımsız bir şekilde var olan pek çok değişkene de ayak uydurmak zorunda kalıyor. Diğer yandan siber güvenlik sektörü üzerine yapılan araştırmalar, siber saldırıların global maliyetinin yıllık 400 milyar dolar olduğunu, yılda ortalama 80-90 milyon siber saldırı olayı yaşandığını gösteriyor.
Sürekli kendini geliştirmek ve kötü niyetli kullanıcıların önüne geçmekten başka şansı olmayan CISO, rahat bir nefes almak için olduğu yerde bekler ya da geri adım atarsa başarı şansını tamamen kaybediyor. Üstelik bu başarısızlık, güvenliğini sağlamaya çalıştıkları kurumlar için de geri dönülmez sorunlara yol açarak stratejik odağın tamamen kaymasına neden oluyor. Bir CIO kadar sorumluluğa sahip olmadan onun kadar önemli bir rol üstlenen CISO’lar bu nedenle farklı bir liderlik anlayışına sahipler.
CISO’ların rahat olabilmesi için aşağıdaki belirtilen 5 özelliğe sahip olmaları bekleniyor:
- Zamanında Karar Alabilme
Bazen CISO’lar büyük ve önemli adımları atmaya çekinirler. Yüzleşmekten kaçındıkları detayları görmezden gelerek kişisel çıkarlarını güvence altına alacak çıkışlar yaparlar. Böyle zamanlarda aksiyon alınmadığı için durum daha büyük tehditlere açık hale gelebilir.
Başarılı bir CISO, riskleri bilgi ve deneyim süzgecinden geçirerek onlarla mücadele etmek için etkin stratejiler belirlemesi ve proaktif adımlar atmasıyla öne çıkar. Beklenmedik durumlarda, durumu daha da karmaşık hale getirmemek için sağduyulu davranması beklenir.
- Ayrıntılara Odaklanma
Devamlı yükselen baskı CISO’ların detayları kaçırma şansını yükseltir. Artan baskılar altında, güvenli bir siber ekosistem oluşturmaya ve bu ortamı yönetmeye çalışan CISO, büyük resme odaklanıp ayrıntıları gözden kaçırabilir. Hızlı ve stres altında aksiyon alma becerisine sahip olmayan CISO’lar, farkında olmadan köstebekler için yeni yollar açabilir. Sistemdeki sızıntıların %85’inin kurum içi çalışanlardan kaynaklandığı düşünüldüğünde bunun ne gibi bir sorunlara neden olacağını düşünmek hiç de zor değil.
- Yönetici Özellikleri
CISO, siber güvenlikten sorumlu olan tüm ekibi yönetmekle sorumludur. Yönetici özelliklerini kaybeden bir CISO, işin nasıl yapıldığına dair bilgi ve deneyime sahip de olsa, ekip çalışmasını iyi yönetemediği için saygınlığını yitirebilir. Yapacağı basit bir hata ya da iyi yönetilememiş bir kriz anı CISO’nun işini sonlandırmaya kadar varabilir.
- Mükemmelliyetçilik
Artan geliri ve itibarı yegâne memnuniyet sebebi olarak gören şirket sahipleri karşısında, CISO’ların başarısızlığı kurum gelirlerinin ve itibarının saniyeler içinde yerle bir olmasına neden olabilir. Üstelik bu başarısızlık, hiç beklemediği, küçücük bir ayrıntıdan kaynaklanabilir. Bu nedenle başarılı olmak isteyen bir CISO’nun mükemmeliyetçi olmaktan başka çaresi yok.
- Mazeretsiz olma
Şirketin en güvenilir çalışanı olması beklenen CISO, başarısızlığına kılıf uydurmamalıdır. Bahanelerin ardına saklanmak anlık çözüm gibi görünse de, uzun vadede büyük ve geri dönüşü olmayan problemlere kapı açar. Riskleri ve tehditleri henüz oluşmamışken öngörebilen bir CISO için mazeret kabul etmeme tek çözümdür.
Dijital dünyanın olmazsa olmaz oyuncuları risk altında
CISO’nun bakış açısı “Kurumun müşterilerine güven vermesinin, öncelikle kendi güvenliğini sağlamasıyla mümkün olduğu” olmalıdır. Acil durumlarda hızlı strateji geliştirebilen ve bu stratejinin en iyi şekilde uygulanmasını sağlayan bir CISO, kriz yönetimi için kilit bir konumdadır. Bunun dışında, bilginin gizliliği, risk yönetimi, denetim çalışmaları, çalışanların güvenliği ve kurum içi çalışanlardan gelebilecek tehditlerin belirlenmesi gibi çalışmaları yöneten CISO, emin adımlar atmaya önem veren şirketler için bir tercih olmaktan çıkıp, olmazsa olmaz haline gelmiştir.
CISO’ların popülaritesi ne kadar artarsa işlerini kaybetme riski de bununla doğru orantılı olarak artar. Unutulmaması gereken, bu pozisyonun, siber güvenlik ekosisteminin tepesinde konumlandığı gerçeğidir. En tepede meydana gelecek olan bir aksama, domino etkisiyle bütün çarklara yansıyacak ve işleyişi bozacaktır…