Geçen yıl, meslektaşlarımın endüstrinin odağı ve sorunları hakkındaki geribildirimlerine bakarken hislerim karışıktı. Bir yıl sonra, yeni anketimizin sonuçlarının (aşağıda görebilirsiniz) daha da ilginç olduğu ortaya çıktı.
Bu iki çalışmanın sonuçlarına bakarken elde edinilen ilk izlenim şudur: Genel olarak bilgi güvenliği, özellikle de kurumsal bilgi güvenliği yöneticisinin rolü, en azından aşağı yukarı 300 bilgi güvenliği meslektaşıma göre, iş için giderek daha önemli hale gelmektedir. Bu, kesinlikle iyiye işaret. Gittikçe daha fazla katılımcının, rolleri için gerekli beceriler arasında “risk yönetimi” ve diğer iş becerileri listelemesi gerçeği de öyle.
Bununla birlikte, iş arkadaşlarımın çoğu ile aynı fikirde olamadığım bir nokta var. Bazıları hâlâ teknik yeterliliğin ve kurumsal BT sistemlerine dair detaylı bilginin hem çalışmaları hem de gelişmeleri için kilit beceriler olduğunu söylüyor. Bana göre, teknik bilgi bir kurumsal bilgi güvenliği yöneticisinin temel gereksinimi olsa da —ve bu yöneticilerin yeni teknolojilerle haşır neşir olması gerekse de— endüstri, modern BT sistemlerinin kurumsal bilgi güvenliği yöneticilerinin potansiyel olarak tüm resmi görebilmesi açısından çok karmaşık olduğunu fark etmeli.
Üstelik, bilgi sistemleri daha da sofistike hale gelecek (çoğu katılımcı da bunun gerçekleşmesini bekliyor). Bu nedenle, bir kurumsal bilgi güvenliği yöneticisinin teknik yeterlilikleri önemli olsa da, risk yönetimi, etkili ekip yönetimi ve iş iletişimi gibi becerilerin geliştirilmesinden sonra gelir. Günümüzde önemli olan personeldir.
İnsanları anlayın, sistemleri değil.
Aslında, hem BT sistemleri hem de güvenlik teknolojileri, işe dair kritik kararlar alma konusunda son derece uzmanlaşmış profesyonelleri serbest bırakacak kadar gelişmiş durumda artık. Elbette bu değişim, takıma güvenmeyi her zamankinden daha da önemli hale getiriyor. Bir yandan, bilgi güvenliği departmanı şefinin takımın uzmanlarına güvenebilmesi gerekiyor. Öte yandan, onlar da, kurumsal bilgi güvenliği yöneticisinin yargı ve kararlarına güvenmek zorunda — körü körüne veya kendi görüşlerini dile getirmeden değil, ortak bir amaç ve karşılıklı profesyonel saygı çerçevesinde.
Katılımcılara göre, sistem temini için bütçe artışı kazanmak bazen daha fazla bilgi güvenliği uzmanını işe almaktan daha kolay. Mümkün olduğunca çok sayıda parlak yeni sistem satın almak kulağa harika gelebilir, ancak kurum içinde çalışan uzmanlar ve dış kaynaklar için vazgeçilmez beceri ve yetkinlikleri belirlemek çok daha önemlidir. Aslında, piyasadaki uzman yetersizliği göz önüne alındığında, dış kaynak kullanımının departmanın kabiliyetini genişletmek ve iş gereksinimlerine daha hızlı yanıt vermek için bir fırsat olarak görülmesi gerektiğini düşünüyorum.
Olay yanıtından risk yönetimine
Kurumsal bilgi güvenliği yöneticisinin rolü kilit paydaşlar —örneğin yönetim kurulu veya CEO— için önem kazanmış olsa da, daha önce olduğu gibi, çoğu zaman bir şey gerçekleştikten sonra yardım çağrısı yaparlar. (Neyse ki, bu daha çok rakiplere veya sektördeki meslektaşların başına gelir. Bununla birlikte, birçok şirketin bilgi güvenliğini bir iş riski yönetimi aracı olarak görmediğini gösterir.) Ve yönetimin bilgi güvenliği performansını nasıl ölçtüğü sorulduğunda, çoğu kurumsal bilgi güvenliği yöneticisi olayların sayısı veya olaya yanıt verme süresinin kilit göstergeler olduğunu söylüyor hâlâ.
Bunlar kesinlikle önemli faktörlerdir, ancak Kaspersky’nin benimsediği modern siber bağışıklık kavramına göre, iyi korunan bir şirket, sadece zarar veren saldırıların sayısını en aza indiren veya olayları hızlı bir şekilde araştıran değil, bu tür olaylara rağmen işini başarıyla geliştiren şirkettir.
Sonuçta, göz yumulabilen riskler ve olaylar sonucunda gerçekleşen kabul edilebilir potansiyel kayıplar her şirket için farklıdır. Bazen, iş gelişimini desteklemek için koruma önlemleri konusunda gevşeme göstermek işe yarar. Diğer durumlarda bu bir seçenek değildir. Olay sayısı, bilgi güvenliği performansının mutlak ölçütü olamaz. Bilgi güvenliğine dair alınan önlemlerin görev işleme hızını ve maliyetini nasıl etkilediği de önemlidir. Bence bu nedenle, kurumsal bilgi güvenliği yöneticileri her şeyden önce, olay korumaya aşırı odaklanmak yerine, riskleri yeterince değerlendirebilecek ve şirketlerine ve iş süreçlerine mükemmelen uyarlanmış bilgi güvenliği sistemlerini oluşturabilmelidir.
Avukatlarla daha fazla zaman geçirin
Benim açımdan öne çıkan bir diğer şey, şirket içindeki diğer bölümlerle iletişim kurmanın önemi hakkındaki cevaplardı. Avukatlar onlardan daha yüksek önceliğe sahip olmalıdır. Bugün, bilişim sistemlerinin artan karmaşıklığı, bir yandan bunların dış hizmetlerle ilişkileri, diğer yandan da uluslararası yasalar, bilgi güvenliği uzmanlarının kararlarının olası yasal sonuçlarının görmezden gelinemeyeceği anlamına geliyor.
Ankete katılanlar avukatlarla teması dördüncü sıraya yerleştirdi — finansal yöneticiler, yönetim kurulu ve BT departmanı meslektaşlarından sonraya. Avukatlarla temasın en azından finansal yöneticilerle kurulan temaslardan daha öncelikli olması gerektiğine inanıyorum. Bilgi güvenliğini bir iş riski yönetimi aracı olarak görürseniz, bu mantıklı gelecektir.
Anket çok daha ilginç veriler sunuyor, bu yüzden tam metni okumanızı tavsiye ederim. Raporu indirmek için lütfen aşağıdaki formu doldurun.