Beklentiler Yükselirken CISO'lar Üst Düzey Statüsü İçin Mücadele Ediyor

663 güvenlik yöneticisiyle yapılan yeni bir anket, CISO'lardan normalde üst düzey bir rol olarak kabul edilecek sorumlulukları üstlenmelerinin giderek daha fazla istendiğini, ancak birçok kuruluşta bu şekilde kabul edilmediğini veya bu şekilde muamele görmediğini gösterdi.

Anket, IANS tarafından Artico Search ile işbirliği içinde gerçekleştirildi ve CISO'lara işleri, sorumlulukları, yönetim desteği ve diğer konularla ilgili çeşitli konularda anket yapıldı.

Bunların yüzde 75'i iş değişikliği aradığını söyledi.

CISO Rolüne İlişkin Beklentiler Değişti

Yanıtlar, kamu ve özel sektör kuruluşlarında CISO rolüne ilişkin beklentilerin dramatik biçimde değiştiğini gösterdi; bunun nedeni, diğer şeylerin yanı sıra, düzenleyici kurumların artan incelemeleri ve güvenlik ihlallerine ilişkin artan hesap verme talepleridir.

Örnek olarak, Araştırma raporu tarafından benimsenen kurallara benzer kurallara işaret etti. Menkul Kıymetler ve Borsa Komisyonu (SEC) geçen Temmuz ayında, halka açık şirketlerin tüm önemli güvenlik olaylarını olayın meydana gelmesinden sonraki dört gün içinde raporlamasını zorunlu kılmıştı. Bir başka örnek de New York Eyaleti Finansal Hizmetler Departmanı'nın (NYDFS) yeni siber güvenlik gereksinimleri finansal hizmet şirketleri için.

IANS ve Artico raporunda, "Düzenleyiciler artık CISO'ları kuruluşları adına şeffaflık ve hatta sahtekarlıktan sorumlu tutuyor" dedi. CISO'nun, yönetici liderlik toplantılarında net bir söz sahibi olması ve CEO ve üst düzey yöneticilerle doğrudan iletişim kurması sayesinde öncelikle bir iş risk yönetimi işlevi olarak hizmet edeceğine dair artan bir beklenti var. Ancak, "rol beklentilerinin C Düzeyine yükseltilmesine rağmen, CISO'lar bu şekilde görülme konusunda zorluk yaşıyor ve CISO rolü sıklıkla kıdemli liderlik ekibinin bir parçası değil."

Anket, örneğin CISO'ların %63'ünden fazlasının başkan yardımcısı veya direktör düzeyinde bir pozisyona sahip olduğunu, unvanlarında "şef" olmasına rağmen yalnızca %20'sinin üst düzey yönetici seviyesinde olduğunu gösterdi. Geliri 1 milyar doların üzerinde olan kuruluşlar söz konusu olduğunda bu rakam %15 ile daha da azdır. Raporlama açısından bakıldığında, CISO'ların %90'ının rahatsız edici bir kısmı, CEO ve üst düzey yöneticilerden en az iki veya daha fazla organizasyonel düzeydedir. Sadece %50'si üç ayda bir şirketlerinin yönetim kuruluyla etkileşime geçiyor. Dörtte biri yönetim kuruluyla yılda yalnızca bir veya iki kez görüşüyor, %12'si kurulla yalnızca geçici olarak buluşuyor ve %13'ü kurulla hiçbir temasının olmadığını bildiriyor.

CISO Sorumluluğuna İlişkin Rehberlik Eksikliği

Çoğu durumda, yönetim kurullarından net bir risk rehberliği isteyen CISO'lar bunu alamıyor. Üçte birden fazlası (%36) yönetim kurullarının, kuruluşlarının risk toleransı seviyelerine ilişkin harekete geçmeleri için yeterince açık bir fikir sunduğunu belirtti.

IANS araştırma direktörü Nick Kakolowski, "CISO rolünün son birkaç yıldaki gelişimi çarpıcı biçimde hızlandı" diyor. Kuruluşların operasyonlarının daha fazlasını dijitalleştirmesiyle birlikte CISO'ların daha fazla sorumluluk aldığını ve dijital riskin fiilen sahibi haline geldiğini söylüyor. "[Fakat] kuruluşlar, rolün kapsamı büyüdükçe onları nasıl destekleyip güçlendireceklerini henüz çözemediler."

Son yıllarda CISO topluluğu içinde, bu beklentileri karşılama yetenekleri büyük ölçüde değişmemiş olsa da, pozisyonla ilgili artan beklentilerle ilgili endişeler artıyor. Geçen Ekim ayında SEC'in SolarWinds CISO'su Tim Brown'ı suçladığı gibi olaylar Dolandırıcılık ve iç kontrol başarısızlıkları 2020'de şirketteki ihlalle ilgili olarak ve bir yargıcın eski Uber CISO Joe Sullivan'ı mahkum etti 2016'daki bir ihlal nedeniyle üç yıllık denetimli serbestlik bu endişeleri artırdı. Bu olaylarda güvenlik yöneticilerine karşı yapılan eylemlerin haklı olup olmadığı konusunda bazı tartışmalar olsa da birçok kişi, ihlallerden onları tek başına sorumlu tutmanın adil olmadığını savundu.

C Düzeyinde Bir İşlev Olarak Güvenliğe Karşı Tarihsel Önyargı

Kakolowski, birçok kuruluşun CISO'ların rolünü hâlâ üst düzey yöneticilere ait olarak algılamamasının nedenlerinden birinin tarihsel önyargı olduğunu söylüyor. "CISO'lar genellikle adil olmayan bir şekilde işin dilini konuşamayan teknoloji uzmanları olarak algılanıyor" diyor ve konu beceri geliştirme olduğunda genellikle susturulmaya eğilimli olduklarını ekliyor. Buradaki çabalar genellikle yönetici becerilerinin geliştirilmesinden ziyade teknik yeteneklere ve ekip liderliğine odaklanma eğilimindedir.

Bazıları aynı zamanda atalettir. Büyük, karmaşık organizasyonların yeni zorluklara ve organizasyonel değişimlere uyum sağlaması zaman alır.

Kakolowski, "En büyük zorluk, CISO'lar ve üst düzey yöneticilerin geri kalanı arasındaki uyumu bulma mücadelesidir" diyor. "İşletme liderleri, işletme yöneticileri olarak CISO'lardan yeterince yararlanmama riskinin farkına varmaya başlıyor ve CISO'lar için, arka ofisin ötesinde kuruluşa değer sunma yeteneklerini gösterme fırsatı var."

Kakolowski, CISO rolünü ait olduğu yere, yani üst düzey yöneticilere yükseltmenin birçok faydası olabileceğini savunuyor. Üst yönetimin bir parçası olmak, CISO'ya kuruluşun nereye gittiği konusunda daha iyi farkındalık ve görünürlük sağlar ve dijital risk yönetimi konusunda diğer paydaşlarla işbirliği yapmasını kolaylaştırır.

"CISO'yu riskin önüne geçecek şekilde konumlandırıyor, böylece riskleri azaltırken ortaya çıkabilecek sürtüşmeleri azaltıyor" diye belirtiyor.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket