Siber güvenlik, kurumsal karar alma süreçlerinde giderek daha önemli bir husus haline geldikçe, bilgi güvenliği sorumlusunun (CISO) rolünü yönetim hiyerarşisinde daha yüksek bir noktaya yükseltmek için buna uygun bir hamle yapıldı. Mantık şu gibi görünüyor: "Siber önemliyse, CISO'lar da önemli olmalıdır." Bununla birlikte, rolün yükseltilmesi CISO'yu, BT, mühendislik veya ürünlerdeki günlük karar vericilerle çok az bağlantısı olan ve "güvenlik" diye bağıran çölde yalnız bir ses haline getiriyor.
Bu, Facebook yöneticisinin şirketin güvenlik önlemlerinin alınmasında sorun olmadığını düşünmesi gibi bazı istenmeyen sonuçlara yol açtı. saatlerce gecikmeye neden oldu 4 Ekim 2021'deki kesintiye veya Uber yöneticisine yanıt verirken hackerlara para ödedim İhlalleri kabul etmek yerine sistemini ihlal edenler veya başlangıçta kötü seçimler yaptıklarını kabul etmek yerine "ek güvenlik katmanlarına" yatırım yapan çok sayıda CISO. Tüm bu durumlarda, CISO'nun işlevsel iş birimlerinden izolasyonu, bu kararların yansıdığını düşünen tünelde şüphesiz rol oynamıştır.
Organizasyonel Etki
Belki de CISO'nun rolünü yeniden tasarlamanın zamanı gelmiştir. Belki de CISO'nun öneminin kurumsal statü yerine kurumsal etkiye yansıdığını görmek daha iyidir. Belki güvenliği işlevsel birimlere yerleştirmek daha iyi güvenlikle sonuçlanacaktır.
CISO'yu BT organizasyonu ekosisteminin bir parçası olarak hayal edin. Altyapıyla ilgili her karara dahil olacaklar ve güvenlik kaygıları olaydan sonra ele alınmak yerine bu kararların ayrılmaz bir parçası olacak. Bu, dış bir grup tarafından altyapıya eklenen özel güvenlik yeteneklerinden ziyade, ağın nasıl yapılandırıldığına ve yönetildiğine dayalı bir dizi "güvenlik" çözümüne olanak tanıyacaktır.
Yazılım geliştirme organizasyonuna entegre edilmiş bir güvenlik uzmanı düşünün. Geliştiricileri kendilerine yabancı süreçlerle meşgul etmeden, kodun güvenlik göz önünde bulundurularak yazıldığından ve test edildiğinden emin olmak için geliştirme sürecini iyileştirebilecekler ve böylece şirketin kodundaki güvenlik açıklarını azaltabilecekler. Ürün gruplarına entegre edilmiş bir güvenlik uzmanı düşünün. Kurumsal altyapının fikri mülkiyetlerini koruduğundan ve geliştirme süreçlerinin ürünlerindeki güvenlik açıklarını azalttığından emin olabilirler.
Tüm bu durumlarda güvenlik, kurumsal operasyonların gerçekliğine dayanan kurumsal kararlarda bir faktör haline gelir. CISO'nun teknik uzmanlığı, kendisine dayatılan bir kısıtlama olmaktan ziyade günlük çalışmanın ayrılmaz bir parçası haline gelir. Benzer şekilde, finansal sistemlerin ve iş ortakları ve satıcılarla olan iletişimin güvende kalması için güvenlik ve uyumluluğun sorunsuz bir şekilde çalışması gerekir. Bu telekom sistemlerine ve diğer donanımlara kadar uzanır.
Risk faktörü
Bu, güvenliğin teknik boyutunu şirket yönetiminde güçlü bir ses haline getirmenin daha etkili bir yolu gibi görünüyor. Ancak, bunun politika boyutunu azaltıp azaltmayacağını, bireysel işlevsel birimlerin özel çıkarlarına hitap edecek şekilde balkanlaştırıp azaltmayacağını merak edebiliriz. Bu endişe, baş risk sorumlusunun rolünün, şu anda CISO tarafından yürütülen güvenlik politikası işlevlerini kapsayacak şekilde genişletilmesiyle giderilebilir.
Bunun, güvenlik politikasını ihtiyaç duyduğu ilgiyi göreceği C düzeyinde tutma avantajı vardır. Siber güvenlik riskinin diğer riskler (yukarıdaki durumları ele almak üzere kullanılabilirlik riski, itibar riski) bağlamında dikkate alınmasının ayrıca bir faydası vardır. Güvenlik artık başlı başına bir amaç değil, iş yapmanın bir boyutu olacaktır. Bu, güvenliğin diğer endişelerle mücadele etmesi ve kuruluşun güvenlik duruşunu tehlikeye atacak düzenlemeler yapması gerektiği anlamına gelmez. Daha ziyade, ya/veya zihniyetinin, tüm gereksinimleri karşılamaya çalışan bir zihniyetle değiş tokuş edildiği bir ortam kurar.
Facebook'u kendi personelini kilitlemeden etkili bir şekilde koruyacak çok sayıda erişim kontrol teknolojisi vardır. Güvenlik riski, erişilebilirlik riskiyle birlikte ele alındığında daha pragmatik çözümler ortaya çıkacaktır.
