CISO nedir? CISO'lar ne iş yapar? CISO'larda olması gereken özellikler neler?

Günümüzde CISO’lar yalnızca, tüm iş istasyonlarında en güncel uç nokta güvenliği olmasını veya kritik portların internete kapalı olmasını sağlamak gibi güvenlik önlemleri alan ve bunların yönetimini üstlenen bir departmanı yönetmekten daha fazla sorumluluğa sahip.

CISO’lar için şirketlerini olabilecek en güvenli hale getirmek artık en ideal sonuç değil çünkü bu ilerlemeyi ve kârlılığı engelleyebiliyor. Üst düzey bir yönetici olarak görevleri eşit derecede kritik ve önemli unsurdan oluşuyor. Bunların ilki, şirketin hedeflerine ulaşabilmesini sağlamak. Daha iyi ürünleri rakiplerinden daha hızlı piyasaya sürmek, hissedarları memnun etmek ve gelirleri artırmak gibi hedeflere yönelik çalışmalılar. İkincisi ise siber güvenlik alanında uzman olarak şirketi tehdit edebilecek siber saldırı riskini en aza indirmek. Bu ikisi için en uygun dengeyi sağlamak için yalnızca mükemmel düzeyde güvenlik uzmanlığına sahip olmak ve en yeni teknoloji eğilimlerini takip etmek yeterli değil.

Kariyerine BT departmanında başlayan kişiler için doğal gelmeyecek bazı ‘insani’ becerilerin de edinilmesi gerekiyor. Konuyla ilgili açıklama yapan Kaspersky Lab Global Satışlardan Sorumlu Başkan Yardımcısı Maxim Frolov günümüzün CISO’larının başarıya ulaşmak için şu dört temel beceriye odaklanması gerektiğini söylüyor:

Kıvrak iş zekası

Eskiden CISO’lar şirketin BT alanına göre bir savunma planı geliştirmekten sorumluydu. Bu strateji artık yetersiz kalıyor. Modern yaklaşımda, şirketin vizyonuyla aynı doğrultuda olmak gerekiyor. Bu nedenle, Glassdoor ve benzeri sitelerde çıkan neredeyse tüm CISO ilanlarında yalnızca ayrıntılı BT güvenliği bilgisi ve sertifikalarına değil işletme becerisine de sahip kişiler aranıyor.

Sonuç olarak, CISO’lar şirketin uygulamak istediği bir teknolojiyi engelleyip yasaklayamıyor. Bunun yerine, o teknolojiyle ilişkili riskleri değerlendirmeleri ve kurumsal süreçleri sekteye uğratmayacak en güvenli stratejiyi geliştirmeleri gerekiyor. Çalışanların cihazları üzerinden kurumsal kaynaklara erişmesi gerekiyorsa CISO’nun ağda bir BYOD (Bring Your Own Device - Kendi Cihazını Getir) politikası uygulaması lazım.

Halen CISO görevini yürüten bir kişiye göre, bu konuda yapılacak en iyi şey şirkete yardımcı olup yol gösterirken herkesin de riskleri değerlendirmesini tavsiye etmek. “Herhangi bir departmanda yeni bir teknoloji kullanmaya başlamadan önce bu departmanlarla toplantılar yapıp yaptıkları değişikliklerin güvenlik standartlarımıza aykırı olup olmadığından emin oluyorum. Ağa sorunsuz entegrasyon için ancak bu toplantıların ardından istenen değişiklikleri uyguluyoruz.”

İletişim ve sunum becerileri

Yöneticilerin görevleri arasında Üst düzey diğer yöneticiler ve yönetim kurulu ile birlikte çalışmak da yer alıyor. Üst düzey yöneticilerin pek azı güvenlik alanında geçmişe sahip ve bu aşılması gereken bir engel olabiliyor. CISO’ların, özellikle de BT jargonunu kullanmaya alışmış olanların, etkili konuşabilmesi ve risklerin ne kadar ciddi olduğunu yönetim kuruluna anlatabilmesi gerekli.

Karmaşık fikirleri anlaşılması kolay bir şekilde sunabilme becerisi bir iş ilanı klişesi haline gelmiş olsa da siber güvenlik dilini iş terimlerine dönüştürerek bu iletişim kopukluğunu gidermek mümkün. Bu ayrıca her CISO’nun en büyük sıkıntısı olan BT güvenliği bütçesinin gerekliliğini açıklarken de yardımcı olabilir. Siber güvenlik bütçesi genellikle tüm BT harcamalarının bir parçası olduğundan, kâr ve net fayda sağlayan BT projelerine öncelik verilebilir. Teknik geçmişi olmayan kişilere bilgiyi uygun şekilde vermek ve güçlü argümanlar sunmak (uyumsuzluk sonucunda gelecek cezalar, eski saldırıların verdiği hasar, sızıntı raporları) gibi iletişim becerileri sayesinde yapılan harcamaların ne kadar faydalı olduğunu gösterebilirsiniz.

Kriz yönetimi becerileri

Kaspersky Lab’ın son raporlarından birine göre CISO’ların %86’sı er ya da geç bir siber güvenlik sızıntısıyla karşılaşacaklarını düşünüyor. Bu da şirketlerin hazırlıksız yakalanma lüksüne sahip olmadığını gösteriyor. Her ofiste, yangın durumunda herkesin uyması gereken bir kaçış planı vardır. Benzer bir şekilde, şirketlerin de siber güvenlik sızıntısı olduğunda neler yapılacağına dair bir stratejisi olmalı. Panik ve organizasyon eksikliği yalnızca durumun kötüleşmesine yol açar.

Bir aksiyon planı yalnızca, durumdan etkilenen parolaları değiştirmek veya sistemleri kurtarmaktan ibaret değildir. Saldırıyı çabucak savuşturmak için belirli faaliyetlerden kimin sorumlu olduğunu bulmak ve diğer departmanlardan ilk iletişime geçilecek kişileri belirlemek çok önemlidir. Bunlar arasında hukuk, halkla ilişkiler ve müşteri ilişkileri ekipleri yer alabilir. Hepsi krizin çözümünde rol oynayabilir. Bir sızıntı yaşandığında CISO’nun vakanın tamamına hakim olarak tüm paydaşlar arasında bir köprü vazifesi görmesi kritik önem taşır. CISO’nun vakaya müdahale eden bilgi güvenliği ekibini koordine etmesi, şirkete bilgi vermesi ve çözüm yolları için tavsiyeler vermesi gerekir.

Gözetim ve liderlik

CISO’ların %62’si siber güvenlik alanında yetkin çalışan bulmakta zorlandığını ifade ediyor. Yeni güvenlik uzmanları bulmak giderek zorlaşıyor. Ancak bu yalnızca buzdağının görünen kısmı. Asıl endişenin kaynağı mevcut çalışanları korumanın da zorlaşması. Güvenlik uzmanı sayısı az olduğundan, çalışanlar iş değiştirmek istediğinde çok fazla teklif alıyor. Bir CISO durumu şu sözlerle açıklıyor: “Çok yetenekli siber güvenlik uzmanları yönetiyorum. Hepsi eleman avcılarının hedefinde.” BT güvenliği alanında iş gücü azlığı, mevcut çalışanların yükünü de artırıyor. Bu da güvenlik yöneticileri için ekstra sorun anlamına geliyor. Yapılması gereken çok fazla gereksiz ve sıradan iş varken, çalışanların tükenmesi de siber suç gibi kaçınılmaz mı?

Güvenlik personeli üzerinde doğrudan etkisi bulunan CISO’lar, insanların takip edeceği bir lider, ekibe destek veren ve motive eden bir öğretmen olmalı. Motivasyon yalnızca maddi teşvikle sınırlı değildir. Örneğin, daha geniş karar alma yetkisi, eğitim ve profesyonel gelişim fırsatları (güvenlik konferanslarına katılma gibi) ve çok basit bir takdir bile motivasyon kaynağı olabilir. Bir kişiye uygun olan yöntem başkasına uymayabilir. Bu nedenle, etkili bir yönetici olmak için CISO’ların ekipteki herkes için en uygun teşvikleri veya motivasyon kaynaklarını bulması gereklidir.

CISO’ların rollerinin değiştiği açık. Artık bu görev için daha insani becerilerle teknik yetkinliğin eşsiz bir kombinasyonu gerekiyor. Etkili olmak isteyen bir CISO yönetim ve liderlik niteliklerini geliştirmeli, BT anlayışını genişletmeli, işletme becerisini ve siber güvenlik bilgisini artırmalı.

Görevin temelini teknik beceriler oluştursa da bazı temel faktörler gelecekte ihtiyaç duyulacak yetenek dengesini etkilemeye devam edece. Örneğin, siber suçla mücadelede yardımcı olan Yapay Zeka destekli savunma araçlarının yükselişi robotların işimizi alacağı anlamına gelmiyor çünkü bu çözümler yukarıda bahsedilen insani becerilerden yoksun. Makinelerin siber güvenlik alanında insanlardan daha uzman olacağı ve teknik sorunları çözebileceği bir gün gelebilir fakat ekip ve zaman yönetimi, kıvrak iş zekası gibi insani becerilere sahip CISO’ların rolleri gelecekte de şirketler için vazgeçilmez olacak.