Günümüzün Siber Güvenlik Sorunları, Neyi Neden Koruduğunu Anlayan Profesyoneller Gerektiriyor

Modern işletme tarihinde ilk kez, CISO’lar güvenlik programlarının sıkı kontrolleriyle çalışamaz hale geldi. Uzaktan çalışan çok fazla insan olması, evde çalışma ortamının getirdiği yönetimsiz güvenlik risklerine yol açtı. Aynı zamanda, saldırganlar da kötü amaçlı faaliyetlerini artırıyor: kimlik avı saldırıları bu yılın ilk yarısında %667’den fazla artış gösterdi. Günümüzde, veri ihlalinin şirketlere maliyeti astronomik olabiliyor: ortalama 3,92 milyon $. Kurumlar için bu maliyet, bir ihlali ne kadar çabuk tespit edip, ne kadar çabuk tepki verebildiklerine bağlı olarak değişebiliyor. Ayrıca, ciddi para cezalarının yanı sıra, gelir ve markaya duyulan güvenin kaybına ve kurumun rekabet avantajına geri döndürülemez zararlar verebilecek fikri mülkiyet kayıplarına yol açabiliyor.

Tüm bunlar, şirketinizin içindeki siber güvenlik savaşçılarının işinizi nasıl koruyacaklarını anlamak için işlerin nasıl yürüdüğünü de anlaması her zamankinden daha da kritik bir önem taşıyor. Forcepoint’in son WSJ CEO/CISO anketi, Üst Düzey Yönetici Raporu: Siber Güvenliğin Mevcut ve Gelecekteki Durumu belgesi de bu noktayı vurguluyor: Siber güvenlik “liderlerinin” %63’ü, CEO’larla CISO’lar arasında ortak bir dil kullanılmamasının en büyük kurumsal önceliklerin belirlenmesini zorlaştırabildiğini ve %53’ü de bunun teknik kararlar almayı zorlaştırdığını belirtiyor. Ayrıca, bunun iki katı lider kurumun, Yönetim Kurullarının siber güvenliğin kritik olduğunun farkında olduğunu ve temel iş stratejisi olarak siber güvenliğe dahil olduklarını belirtmesi de çok önemli bir nokta.

Comcast CISO’su olarak, güvenlik stratejisini işlerimizle daha bağlantılı ve entegre hale getirmenin sunduğu fırsatları gördüm ve yeni bir rol olan iş bilgileri güvenliği sorumlusu (BISO) pozisyonunu oluşturdum. Bu rolü üstlenen güvenlik profesyonelleri, işletme biriminin hedeflerini, korunması ve başarılı olması için gerekenleri anlamak için işletme birimi liderleriyle ilişkiler geliştirdi.

BISO’larımızın, yalnızca en yeni siber güvenlik tehdit ve teknolojileri konusunda bilgili olması değil, çok iyi iletişimciler ve hızlı öğrenen kişiler olmaları da gerekiyordu. Bu role ilk geçtiklerinde bu bilgiye sahip olmayanlar da kısa zamanda iş prensipleri ve terminolojisi konusunda bilgi sahibi oldular. Onları aylar boyunca “görev turları” için işletme birimlerine yerleştirerek, bu öğrenme sürecini daha da hızlandırdım. Ayrıca, ticari zekalarını geliştirmelerine yardımcı olmak için ek eğitim gibi fırsatlar da sundum. Bu yaklaşım, yalnızca şirkete değil, bireylerin kariyerlerini geliştirmelerine de fayda sağladı. Gözlerinin işletmenin ihtiyaç ve perspektiflerine açılmasını ve çok yönlü çalışanlara ve yöneticilere dönüşmelerini sağladı. Bunun tersi bir uygulama da çok değerli olabilir: işletme tarafında bulunan teknik bilgi sahibi çalışanlar, perspektif ve bilgilerini artırmak için geçici olarak güvenlik organizasyonunda görevlendirilebilir. Tüm seviyelerdeki bu çapraz bağlantılar, anlayışın artmasına ve güvenlik ekiplerinin nelerin tehlikede olduğunu daha iyi anlamasına yardımcı olabilir.

Benzer fonksiyonlar arası ilişkilerle bu iş becerisi geliştirme yaklaşımını Forcepoint’in kendi güvenlik ekiplerinde de sürdürmek için sabırsızlanıyorum. Tanıdığım en başarılı güvenlik liderleri, operasyonel rollerde çalışan, işletmeye karşı sorumluluğu olan ekipleri yöneten ve kar-zarar tablolarının farkında olan yöneticilerdi. Bunun nedeninin, işletmeyi neden koruduklarını anlamaları olduğuna inanıyorum. Başka bir deyişle, işletmenin hedeflerini anlıyorlar. İşletme açısından neyi koruduğunuzu anlamıyorsanız, doğru risk tabanlı analizleri nasıl yapabilirsiniz ki? Bu, yaptığımız şeylerin “nedenini” açıklayan unsur.