CISO'nun Rolü Değişiyor. CISO'ların Kendileri Ayakta Kalabilir mi?

Hızlı dijital dönüşüm sayesinde son on yılda bilgi güvenliği sorumlusunun (CISO) rolü genişledi. Artık CISO'ların çok daha fazla iş odaklı olması, daha fazla şapka takması ve yönetim kurulu üyeleri, çalışanlar ve müşterilerle etkili bir şekilde iletişim kurması gerekiyor, aksi takdirde ciddi güvenlik arızaları riskiyle karşı karşıya kalacaklar.

Las Vegas'taki CPX 2024'te geniş kapsamlı bir basın soru-cevap oturumunda, uluslararası kuruluşların CISO'ları ve başkan yardımcılarından (VP'ler) oluşan bir panel, dijital dönüşümün, kârlılık baskılarının ve güvenlik farkındalığı eksikliğinin dijital dönüşümün doğasında nasıl bir değişikliğe yol açtığını tartıştı. pozisyonları - genel olarak teknik olmaktan ticari ve son derece sosyal olmaya kadar.

Bugün, etkili bir CISO ve buna bağlı olarak bir kuruluştaki etkili güvenlik kültürü arasındaki farkın, güvenlik açıklarını azaltmak ve politikaları tanımlamak kadar daha yumuşak iletişim becerileriyle de ilgili olduğunu öne sürdüler. Aslına bakılırsa, ikincisiyle başarılı olan ancak birincisinden yoksun olan güvenlik liderleri, sonunda kuruluşlarını büyük ihlallere maruz bırakıyor.

"Sonuçlarını mı sordun?" Allegiant Travel Company'nin CISO'su Dan Creed, Dark Reading'in bir sorusuna retorik bir şekilde yanıt verdi. “SolarWinds'e sonuçların ne olduğunu sorun. Bir şifre politikası vardı, bir stajyer şifre politikasına uymadı, sonuçlarına bakın.”

Dijital Dönüşüm CISO'yu Nasıl Dönüştürdü?

IDC'nin siber güvenlik ürünlerinden sorumlu program başkan yardımcısı Frank Dickson, 10 Mart'ta düzenlenen ayrı bir CPX basın toplantısında şunları söyledi: "CISO'nun rolü son 6 yılda değişti ve biz bunu hiç fark etmedik."

Yıllar önce bu pozisyon, bugün hala ilişkili olduğu nispeten dar siber risk odağıyla oluşturulmuştu. Ancak öncelikle kurumsal saldırı yüzeyinin genişletilmesi sayesinde genişletildi. Kurumsal kaynaklarda güvenlik açıkları gerektiren tipik ihlaller; Target, Ashley Madison ve benzerlerini düşünün. Günümüzde, özellikle de Kovid-19'dan bu yana, çalışanların e-postaları, telefonları ve diğer cihazları bunun yerine kuruluşlar için en büyük riski temsil eder. Bilgi güvenliği sorumluluğu kolektif hale geldikçe CISO'lar silolarından çıkmaya zorlandı.

Frank Dickson basına IDC'nin yeni raporu hakkında bilgi veriyor; Kaynak: CPX

Dijital dönüşüm aynı zamanda BT'yi izole edilmiş köşesinden doğrudan iş koluna taşıdı. Dickson'ın belirttiği gibi, "Gelecek yıl [Global] 40'in tüm gelirlerinin yaklaşık %2000'ı dijital ürün ve hizmetlerden sağlanacak. Yani bu, BT'nin doğasını maliyet belirleyici olmaktan çıkarıp, gelir elde etme yolunda ilerleyen bir şeye dönüştürmektir. Ve bunun ne yaptığını düşünürseniz, bu CISO'nun rolünü temelden değiştiriyor." Günümüzde şirketler BT'yi bir iş sürücüsü olarak algıladıkça, CISO'ların yalnızca siber riskleri önleme ve azaltma konusunda değil, aynı zamanda iş kararları konusunda yönetim kuruluna tavsiyelerde bulunma ve geliştiriciler, satış görevlileri ve müşterilerle buluşma konusunda da daha fazla entegre olmaları gerekiyor.

CISO'nun giderek artan iş dünyası ile ilgili sorumlulukları, CPX'te açıklanan bir IDC araştırmasına da yansıdı. Ankete katılan 847 siber güvenlik liderinden %10'u bir CISO'nun en önemli işinin liderlik ve ekip oluşturma becerileri olduğuna, %8'i ise bunun iş yönetimi becerileri olduğuna inanıyor. Gerçek siber güvenlik farkındalığı ve anlayışı ile BT mimarisi ve mühendislik becerileri, her biri %12 ile çok az oy aldı.

CISO'lar Çalışanlar Tarafından Nasıl Daha İyi İşler Yapabilir?

Konu sadece CISO'lar değil meli iş adamlarının iki katı kadar; buna ihtiyaçları var. “Bu ilişkileri kurmamanın sonucu, şirkette 'Bu benim sorumluluğumda değil' kültürüne sahip olmanızdır. SolarWinds ve MGM gibi. Creed, "Güvenlik bilincine sahip olmamanın sonuçlarını anlamasalar veya fark etmeseler de, Yardım Masasını arayarak MFA'larını sıfırlıyorlar" diye açıkladı.

Creed'in yuvarlak masa toplantısında başkaları tarafından da dile getirilen argümanındaki incelik önemlidir. Çalışanların güvenlik açıklarını önlemenin yalnızca farkındalığı yaymak meselesi olmadığını vurguluyorlar; çünkü bilgili çalışanlar bile, güvenlik ekipleriyle ilişkileri sağlıklı olmadığında veya hijyen çok zahmetli olduğunda güvenliği göz ardı ediyorlar.

“[Onlar] güvenliğin gizlenmesi gerektiğini söylüyorlar. Ben bunu bir adım daha ileri götürüyorum: güvenlik işi kolaylaştırmalı ve hızlandırmalı," dedi Check Point Saha CISO'su Pete Nicoletti, modern CISO'nun gelişen felsefesini yansıtıyor. Sınırlı, eski moda CISO'ların geleneksel olarak işleri yavaşlattığı yerlere örnek olarak VPN'leri sunuyor. “Bu, e-postamı ne kadar süreyle tutuyor: iki saniye mi, yoksa 10 saniye mi? VPN'e kaydolmak ne kadar sürer? [Çalışanlar] 22 saniye ve kimlik doğrulaması gerektirdiği için bu sorunu çözecekler mi? Bunları mümkün olduğunca şeffaf ve kullanımı kolay hale getirmeye çalışmakla ilgili. Artık rekabet avantajına sahip olduğunuz noktaya kadar süreci gerçekten hızlandıran araçları seçmeye başlayın.

Creed, "Yürüttüğüm ilk girişimlerimden bazıları tam olarak budur" dedi. “VPN'den uzaklaşalım ve dizüstü bilgisayarınızla her zaman açık olan bir yere geçelim, onu açıyorsunuz, ateşleniyorsunuz ve ağımıza bağlanıyorsunuz, güvenlik yığınımıza geri dönüyorsunuz. Bir sonraki hedefimiz artık şifresiz ortama geçişin temelini atmak."

Çalışanlarla konuşmak ve onlar için güvenliği kolaylaştırmak yeterli değilse CISO'lar alternatif teşvikleri de deneyebilir. “Aslında güvenlik kültürüyle ilgili KPI ölçümlerimiz var. Ve bonus havuzlarını gerçekten etkilemeye başlayacağımız noktaya hazırlanıyoruz; öyle ki, eğer departmanınız daha iyi performans gösterirse, bonus havuzunuzu normun üzerine çıkarır [. . .] ve eğer bunu yapmazsanız, o zaman bu bonusunuzu etkiler," diye açıkladı Creed.

CISO'lar Yönetici Arkadaşlarıyla Nasıl Daha İyi İşbirliği Yapabilir?

Sonra tahta var.

IDC, anketinde CISO'lara ve CIO arkadaşlarına CISO'ların gerçekte ne yaptığını sordu (örneğin, stratejik mimariye mi odaklandıkları, yoksa işin doğası gereği taktiksel mi olduğu) ve yanıtlarda önemsiz farklılıklar bulamadı; bu durum CISO'ların bile ' En yakın C düzeyindeki ortaklar tamamen aynı fikirde değil.

Creed yakın zamanda buna benzer bir vakayı hatırladı: “Bazı yeni 737'ler sipariş ettik. Ve bunlar bizim ilk e-bağlantılı uçaklarımız. [Kurul] beni önceki görüşmelere dahil etmedi ve ardından tüm yeni e-bağlantılı uçakların siber güvenlik gerekliliklerine sahip olduğu bir yangın tatbikatı haline geldi; aslında, onaylanıp kabul edilen bir ağ güvenlik planınız yoksa FAA'nın kayıtlı olması durumunda, bu uçaklar için uçuşa elverişlilik sertifikanızı kaybedersiniz. Sizce kurul, 'filoyu genişleteceğiz' yoluna gitmekten ilk kez bahsetmeye başladığında, bunun güvenlikle ilgili sonuçları olabileceğini düşündü mü?"

“Bu yüzden onları eğitmeniz ve onlara şunu açıklamanız gerekiyor: Bu yüzden masada bir koltuğa ihtiyacımız var. İşletme için alınan her stratejik kararda risk vardır. [. . .] Ne kadar çok sen bizi o masadaki bir koltuğa dahil etİşletmeyi o kadar iyi koruyabilir ve bu riskin bir yangına dönüşmesi yerine, riskin nerede başladığına ağırlık verebiliriz" dedi.

Denver Broncos'un bilgi teknolojisinden sorumlu kıdemli başkan yardımcısı Russ Trainor, Dark Reading ile yaptığı röportajda bu amaçla basit bir ipucu verdi:

"Bazen ihlallerle ilgili haberleri CFO'ma ileteceğim: işte ne kadar veri sızdırıldı, işte bunun maliyetinin ne kadar olduğunu düşünüyoruz" diyor. “Bu şeyler eve çarpma eğilimindedir.”

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up