Bilgi Güvenliği Yöneticisi'nin (CISO) rolü, hiçbir zaman bugün olduğu kadar zorlu ve kritik olmamıştı. Kuruluşların itibarına, güvenine ve varlıklarına onarılamaz zararlar verebilen siber tehditlerin katlanarak artmasıyla birlikte, CISO'ların giderek karmaşıklaşan ve dinamikleşen bir ortamla yüzleşmeye hazır olmaları gerekiyor.
2024 yılında Brezilya'da siber saldırılarda önemli bir artış görüldü. Birinci çeyrekte, 2023'ün aynı dönemine kıyasla %38'lik bir büyüme görüldü ve Brezilyalı kuruluşlar haftada ortalama 1.770 saldırıya maruz kaldı. İkinci çeyrekte artış daha da belirginleşti ve bir önceki yıla kıyasla %67'ye ulaştı ve kuruluş başına ortalama haftalık saldırı sayısı 2.754 oldu. Üçüncü çeyrekte, Brezilya'da kuruluş başına ortalama haftalık saldırı sayısı 2.766'ya ulaştı ve bu, 2023'ün aynı dönemine kıyasla %95'lik bir artışı temsil ediyor. En çok hedef alınan sektörler finans, sağlık, hükümet ve enerji olurken, ana saldırı türleri fidye yazılımı, kimlik avı, DDoS ve APT'lerdi (Gelişmiş Kalıcı Tehditler).
CISO'lar, eşi benzeri görülmemiş siber saldırıların yaşandığı bu yeni döneme uyum sağlamak zorundalar; çoğunlukla aynı anda birden fazla görevi üstlenmeleri ve Brezilya örneğinde olduğu gibi maliyet kontrolü ve siber güvenlik yatırımları senaryosunu yönetmeleri gerekiyor.
Modern CISO’nun rolü.
CISO rolü nispeten yenidir. CFO'ların veya CEO'ların aksine, Bilgi Güvenliği Sorumlusu (CISO) işlevi resmi olarak 1990'ların ortalarına kadar mevcut değildi.
Dahası, CISO'nun rolü kuruluşlar içinde sürekli değişiyor. Splunk'un 2023 CISO raporuna göre, katılımcıların %90'ı bu rolün işe başladıkları zamandan "tamamen farklı bir iş" haline geldiğine inanıyor.
Başlangıçta CISO, politikalar geliştirmek, güvenlik yönetimini yönetmek ve daha temel güvenlik kontrollerini uygulamaktan sorumluydu ve bu da bu profesyonelin yönetimsel olmaktan çok daha teknik bir bakış açısına sahip olmasına yol açtı. Ancak günümüzde sorumluluk listesi önemli ölçüde genişledi. Rolün politik işlevi buna bir örnektir: CISO'ların kuruluşun CEO'su, CFO'su ve Hukuk departmanıyla yakın çalışma ilişkileri kurması gerekir. Güvenlik bütçesi, günümüzde var olan sayısız tehditle başa çıkmak için olmazsa olmazdır.
Ve bu, özellikle Brezilya'dakiler olmak üzere dünya çapındaki şirketler için bir sorun olmaya devam ediyor. Senaryonun karmaşıklığı, bir yandan dünyanın en yüksek saldırı oranlarından birine sahip bir ülkeyi ortaya koyuyor. Diğer yandan, ekonomik belirsizlikler ve dolardaki dalgalanma (çözümlerin büyük çoğunluğu döviz cinsinden satıldığı için), CISO'ların şirketin güvenliğini sağlamak için mevcut kaynakları dengelemek zorunda kalması anlamına geliyor.
İyi iletişimciler
Geçmişte teknoloji meraklısı CISO'nun basmakalıp imajının aksine, günümüz CISO'sunun liderlik rolü üstlenmesi ve şirket içinde sağlam bir siber güvenlik kültürü yaratılmasına öncülük edecek iyi bir iletişimci olması gerekiyor.
Bir diğer önemli nokta da, CISO'ların bilgi güvenliğini yönetmede tek başlarına hareket edemeyecekleridir. Tedarikçiler, müşteriler, iş ortakları, düzenleyici kurumlar, sektör dernekleri ve güvenlik topluluklarını içeren dış ekosistemin desteğine ve iş birliğine ihtiyaç duyarlar. Bu aktörler, yöneticilerin kurumlarının güvenliğini iyileştirmelerine ve güçlendirmelerine yardımcı olacak bilgi, kaynak, çözüm ve en iyi uygulamaları sunabilirler. Bu nedenle, pazarla iletişim ve ilişki kurmak da temel öneme sahiptir.
Güvenliğin bütünsel bir bakış açısıyla başlaması gerekiyor.
İzole edilmiş ve reaktif güvenlik araçları ve süreçlerine sahip olmak yeterli değildir. CISO'ların, çalışan kültürü ve farkındalığından yönetişime ve iş hedefleriyle uyuma kadar her şeyi kapsayan bütünsel ve entegre bir güvenlik anlayışına ihtiyaçları vardır.
Güvenlik, bir maliyet veya engel olarak değil, kurumun devamlılığı ve büyümesi için kesişen ve temel bir unsur olarak görülmelidir. Bunu başarmak için CISO'lar, şirket içindeki diğer birimleri ve liderleri de sürece dahil etmeli, güvenliğin değerini ve yatırım getirisini göstermeli ve net ve ölçülebilir politikalar ve göstergeler oluşturmalıdır.
Tehditleri önceden tahmin edebilmek için aciliyet duygusu şarttır.
Siber tehditler sürekli olarak gelişiyor ve daha karmaşık hale geliyor ve büyüklüğü veya sektörü ne olursa olsun her kuruluşu etkileyebiliyor. Bu nedenle, piyasa trendleri ve güvenlik açıkları hakkında her zaman bilgi sahibi olmak ve güncel kalmak, tehditleri ve riskleri önceden tahmin etmenizi sağlayacak çözümlere ve metodolojilere yatırım yapmak önemlidir.
Bunu yapmanın bir yolu, güvenliği kuruluşun ürün ve hizmetlerinin kavramsallaştırılmasından teslimatına kadar kapsayan, tasarıma dayalı bir güvenlik yaklaşımı benimsemektir. Bir diğer yol ise, güvenlik sistemleri ve süreçlerinin etkinliğini ve dayanıklılığını değerlendiren ve iyileştirme ve azaltma fırsatlarını belirleyen periyodik testler ve simülasyonlar yürütmektir.
CISO'nun rolü hâlâ dönüşüm geçiriyor olsa da, bu profesyonel, dijital çağda kuruluşları korumak ve yenilemek için kilit öneme sahiptir. CISO'ların, proaktif, stratejik ve iş birliğine dayalı bir bilgi güvenliği yönetimi gerektiren benzeri görülmemiş düzeydeki tehditlerle başa çıkmaya hazır olmaları gerekir.
Son olarak, CISO'lar bilgi güvenliğinin yalnızca teknik bir konu olmadığını, aynı zamanda müşteriler için bir rekabet ve değer faktörü olduğunu unutmamalıdır. Güvenliği iş hedefleri ve paydaş beklentileriyle uyumlu hale getirmeyi başaranlar ve güvenliğin faydalarını ve zorluklarını açık ve ikna edici bir şekilde iletmeyi bilenler, kurum içinde güçlü ve sürdürülebilir bir güvenlik kültürü oluşturabilir ve dijital ortamdaki başarısına ve büyümesine katkıda bulunabilirler.
