Baş Bilgi Güvenliği Yöneticisi ne is yapar – (CISO)
This post is in Turkish , you can read the full post at Milliyet.com.tr
Siber riskler şirketler için önemli bir sorun haline geldiğinden, CISO’ların (Chief Information Security Officer – Baş Bilgi Güvenliği Yöneticisi) kurum içindeki rolü de değişti. Peki CISO’larda bulunması gereken özellikler neler, CISO’lar kendilerini hangi konularda geliştirmeli ?
CISO’lar için şirketlerini olabilecek en güvenli hale getirmek artık en ideal sonuç değil çünkü bu ilerlemeyi ve kârlılığı engelleyebiliyor. Üst düzey bir yönetici olarak görevleri eşit derecede kritik ve önemli unsurdan oluşuyor. Bunların ilki, şirketin hedeflerine ulaşabilmesini sağlamak. Daha iyi ürünleri rakiplerinden daha hızlı piyasaya sürmek, hissedarları memnun etmek ve gelirleri artırmak gibi hedeflere yönelik çalışmalılar. İkincisi ise siber güvenlik alanında uzman olarak şirketi tehdit edebilecek siber saldırı riskini en aza indirmek. Bu ikisi için en uygun dengeyi sağlamak için yalnızca mükemmel düzeyde güvenlik uzmanlığına sahip olmak ve en yeni teknoloji eğilimlerini takip etmek yeterli değil.
Kariyerine BT departmanında başlayan kişiler için doğal gelmeyecek bazı ‘insani’ becerilerin de edinilmesi gerekiyor. Konuyla ilgili açıklama yapan Kaspersky Lab Global Satışlardan Sorumlu Başkan Yardımcısı Maxim Frolov günümüzün CISO’larının başarıya ulaşmak için şu dört temel beceriye odaklanması gerektiğini söylüyor:
Kıvrak iş zekası
Eskiden CISO’lar şirketin BT alanına göre bir savunma planı geliştirmekten sorumluydu. Bu strateji artık yetersiz kalıyor. Modern yaklaşımda, şirketin vizyonuyla aynı doğrultuda olmak gerekiyor. Bu nedenle, Glassdoor ve benzeri sitelerde çıkan neredeyse tüm CISO ilanlarında yalnızca ayrıntılı BT güvenliği bilgisi ve sertifikalarına değil işletme becerisine de sahip kişiler aranıyor.
Sonuç olarak, CISO’lar şirketin uygulamak istediği bir teknolojiyi engelleyip yasaklayamıyor. Bunun yerine, o teknolojiyle ilişkili riskleri değerlendirmeleri ve kurumsal süreçleri sekteye uğratmayacak en güvenli stratejiyi geliştirmeleri gerekiyor. Çalışanların cihazları üzerinden kurumsal kaynaklara erişmesi gerekiyorsa CISO’nun ağda bir BYOD (Bring Your Own Device – Kendi Cihazını Getir) politikası uygulaması lazım.
Halen CISO görevini yürüten bir kişiye göre, bu konuda yapılacak en iyi şey şirkete yardımcı olup yol gösterirken herkesin de riskleri değerlendirmesini tavsiye etmek. “Herhangi bir departmanda yeni bir teknoloji kullanmaya başlamadan önce bu departmanlarla toplantılar yapıp yaptıkları değişikliklerin güvenlik standartlarımıza aykırı olup olmadığından emin oluyorum. Ağa sorunsuz entegrasyon için ancak bu toplantıların ardından istenen değişiklikleri uyguluyoruz.”
İletişim ve sunum becerileri
Yöneticilerin görevleri arasında Üst düzey diğer yöneticiler ve yönetim kurulu ile birlikte çalışmak da yer alıyor. Üst düzey yöneticilerin pek azı güvenlik alanında geçmişe sahip ve bu aşılması gereken bir engel olabiliyor. CISO’ların, özellikle de BT jargonunu kullanmaya alışmış olanların, etkili konuşabilmesi ve risklerin ne kadar ciddi olduğunu yönetim kuruluna anlatabilmesi gerekli.
Karmaşık fikirleri anlaşılması kolay bir şekilde sunabilme becerisi bir iş ilanı klişesi haline gelmiş olsa da siber güvenlik dilini iş terimlerine dönüştürerek bu iletişim kopukluğunu gidermek mümkün. Bu ayrıca her CISO’nun en büyük sıkıntısı olan BT güvenliği bütçesinin gerekliliğini açıklarken de yardımcı olabilir. Siber güvenlik bütçesi genellikle tüm BT harcamalarının bir parçası olduğundan, kâr ve net fayda sağlayan BT projelerine öncelik verilebilir. Teknik geçmişi olmayan kişilere bilgiyi uygun şekilde vermek ve güçlü argümanlar sunmak (uyumsuzluk sonucunda gelecek cezalar, eski saldırıların verdiği hasar, sızıntı raporları) gibi iletişim becerileri sayesinde yapılan harcamaların ne kadar faydalı olduğunu gösterebilirsiniz.
Kriz yönetimi becerileri
Son yayimlanan raporlarından birine göre CISO’ların %86’sı er ya da geç bir siber güvenlik sızıntısıyla karşılaşacaklarını düşünüyor. Bu da şirketlerin hazırlıksız yakalanma lüksüne sahip olmadığını gösteriyor. Her ofiste, yangın durumunda herkesin uyması gereken bir kaçış planı vardır. Benzer bir şekilde, şirketlerin de siber güvenlik sızıntısı olduğunda neler yapılacağına dair bir stratejisi olmalı. Panik ve organizasyon eksikliği yalnızca durumun kötüleşmesine yol açar.
Bir aksiyon planı yalnızca, durumdan etkilenen parolaları değiştirmek veya sistemleri kurtarmaktan ibaret değildir. Saldırıyı çabucak savuşturmak için belirli faaliyetlerden kimin sorumlu olduğunu bulmak ve diğer departmanlardan ilk iletişime geçilecek kişileri belirlemek çok önemlidir. Bunlar arasında hukuk, halkla ilişkiler ve müşteri ilişkileri ekipleri yer alabilir. Hepsi krizin çözümünde rol oynayabilir. Bir sızıntı yaşandığında CISO’nun vakanın tamamına hakim olarak tüm paydaşlar arasında bir köprü vazifesi görmesi kritik önem taşır. CISO’nun vakaya müdahale eden bilgi güvenliği ekibini koordine etmesi, şirkete bilgi vermesi ve çözüm yolları için tavsiyeler vermesi gerekir.
Tesekkurler Milliyet
Daha cok CISO yazilari okumak icin burayi tiklayin
Baş Bilgi Güvenliği Yöneticisi ne is yapar – (CISO)
