Burak DÜNDAR

|

İdeal CISO

ideal ciso

Woz Asks Steve What He Does:

Woz: You can’t write code, you’re not an engineer, you’re not a designer, and you can’t put a hammer to a nail. So how come ten times in a day I read Steve Jobs as a genius
WHAT DO YOU DO?

Steve: Musicians play their instruments, I play the orchestra and you’re a good musician, you sit right there you’re the best in your room I came here to clear.

Şimdi uzun uzun yazacağım İdeal CISO yazımın özeti tam olarak “Steve Jobs” filminde geçen “Woz Asks Steve What He Does” bölümünde saklıdır.

Evet CISO tam olarak bir orkestra şefidir. Ekibinde bulunan müzisyenlerin enstürümanlarını en iyi şekilde çalmasını sağlayan kişidir. CISO pozisyonu, kesinlikle ve kesinlikle taktiksel değil, tamamen stratejik bir konumdur. Bu nedenle, ekibindeki kişilere güvenir, işleri doğru şekilde delege eder ve stratejik yaklaşımında doğru yolda kalmak için ekindeki uzmanlarla ortak olur.

İyi bir CISO olmak için, zamanı doğru ve akıllıca kullanmak önemlidir. Bu nedenle, zamanı ihtiyacınız olan becerileri öğrenmek için kullanmak ve fark yaratmayacak becerileri öğrenmek için zaman kaybetmemek önemlidir.

Azimli bir insansanız, her şeyi yapmak istersiniz. Ancak İdeal CISO her şeyi yapmaz.

İyi bir CISO,

  • İletişim ve sunum becerilerine sahip olmalıdır. İletişim bu seviyede ve özellikle güvenlik konularını anlatırken en önemli ekipmandır. Bu beceri ile yapılacak doğru sunum, güvenlik stratejisinin en iyi şekilde anlaşılması ve desteklenmesi konusunda fayda sağlayacaktır. Diğer taraftan iletişim ekip içerisinde de çok önemlidir. Ekibi dinlemek, onlara güvenmek, doğru kişileri doğru enstürümanlar ile buluşturarak onlarla birlikte ilerlemek kritik noktadır.
  • Doğru Güvenlik Stratejisi planlamak ve işletmek. İdeal CISO şirket stratejisini iyi anlamalı, IT yatırım ve hedeflerini doğru okuyup, güvenlik stratejisini doğru ve kararlı şekilde işletmelidir. Belirlenen stratejinin işletilmesi noktasında yapılması gereken taktik aksiyolar için ekip göreve hazırdır.
  • Risk-based thinking/approach” kavramı güvenlikte en sevdiğim yaklaşımdır. Özellikle 2.maddede belirttiğim stratejik yaklaşım sayesinde doğru risklere yönelik aksiyonlar ve fırsatlar değerlendirilmeli ve gerekli önceliklendirme/risk azaltma çalışmaları planlanmalıdır.
  • Şirketi tanımak, politikalarını anlamak ve kültürünü benimsemek. Hayat bilgisayar dünyasındaki gibi 1-0 dan ibaret değildir. Gri alanlar, esnek noktalar bulunur. Şirketler kendi kurum kültürü ve politikaları ile çalışmalarına devam eder. Bu noktada CISO şirket kültürünü iyi anlamalı, kendini geliştirip şirkete adaptasyonunu sağlamalıdır.
  • Herkes herşeyi bilemez ama yaptığınız işi ve sorumluluk alanınızdaki çalışmaları anlamalısınız. Azimli bir insansanız, her şeyi yapmak istersiniz. Ancak İdeal CISO her şeyi yapmaz. Doğru kişiler ile çalışır, onları dinler, birlikte ilerler ve işin uzmanlarından (ekibinden) gerekli noktada eğitim alıp doğru strateji için ilerler.
  • Yardım istemeye istekli olmak, kendi yol haritanızda doğru yapı taşlarını birleştirmek için önemlidir. Kendi ekibiniz ya da diğer ekiplerden gerekli yardımı alabiliyorsanız işleriniz çok hızlı ilerler. Ama unutmayın, yukarıdaki maddeler işlemeden bu madde çalışmaz.
  • Finans konusunda bir anlayışa sahip olmak önemlidir. Başta söylediğim gibi, CISO Teknik bir pozisyon değildir. Güvenlik yatırımlarını yöneten, insan-süreç-teknoloji üçgenini iyi işleten stratejik bir koltuktur. Bu noktada, finansal yatırım ve bütçelerinizi en iyi şekilde yürütmeniz çok önemlidir.
  • Kişisel repütasyonunuza dikkat edin. Çalıştığınız kurum iyi bir yer olabilir, ücret politikaları ve yan hakları güçlü olabilir fakat insanlar sizinle çalışır. Ekibinizdeki her bir üyenin sizi sevip, ünvanınıza değil, kişiliğinize saygı gösterdiği noktada doğru insan kaynağı kendiliğinden gelecektir.
  • Önceliklendirme ve zaman planlaması yapın. HBR in “Zamanınızı Değil, Enerjinizi Yönetin” kitabı çok başarılıdır. Siz başta olmak üzere ekibinizdeki her bireyin iş-yaşam dengesini özetmeli ve doğru önceliklendirmeler ile çalışmaları ilerletmelisiniz. Unutmayın, iyi bir uzman iyi iş yapar, ama iyi bir lider doğru işi yapar.
  • Yeniliklere açık, çok yönlü ve çevik olun. Lideri lider yapan işte budur.

Peki bunca özellik saydıktan sonra, CISO TAM OLARAK NEDİR?

Süper kahramanlarımıza çıplak elleriyle kaldırdıkları arabalar veya sergiledikleri uhrevi nitelikler nedeniyle hayranlık duyma eğiliminde olsak da, bir süper kahramanın isminin hakkını vermek için doğaüstü güçlere ihtiyacı yoktur.

Bazı süper kahramanlar sadece sıradan insanlardır.

Örneğin, tipik CISO’nuz gibi.

Ironman kostümü olmaması eksikliğini, masum verileri koruma, düşmanları yakalama ve en gönülsüz yönetim kurulu üyelerini bile ikna edecek kadar esnek (uzuvlarını inanılmayacak kadar esnetmeden) olarak, oynadıkları rolle telafi edebilir. Önemli olan ortak bir amaç için şirketin gizliliğini, bütünlüğünü ve erişilebilirliğini önce insan, süreç ve teknoloji ile sağlamaktır. Bilgi sızıntılarının korkunç boyutlardaki veri ihlallerinin olduğu günümüzün siber güvenlik ortamında, CISO, modası geçmiş iş tanımlarının sınırlarını aşan, veri odaklı kararları yıldırım hızıyla yöneten ve bir kuruluşun bilgi güvenliği stratejisi geliştirip, ekip arkadaşlarıyle işleten kişidir.

Peki, şirketlerin Ciso seçerken veya Ciso ların düştüğü hatalı noktalar ve kaçınılması gerekenler nelerdir?

  • CISO bir Olay müdahale uzmanı değildir. incident response ya da forensic yapmaz. Olay müdahalesine odaklanır. Bu konuda uzman olan yol arkadaşlarından gerekli raporları alır ve systemin doğru akışta işlemesini sağlar.
  • Sevgili CISO muz hukukçu ya da regülasyon kurallarını tanımlayan biri olmadığı için yalnızca yasal uyum ile ilgili temel bilgilerden fazlasını bilmesine gerek yoktur.
  • Ciso sızma testi uzmanı değildir. Bu en çok düşülen hatadır. Teknik insanların yönetici olması engellensin demiyorum ama CISO pentester değildir. Siber güvenlikte iyi diye bir kişi iyi bir CISO olamaz.
  • Program yönetiminin temellerinden fazlasını bilmenize gerek yoktur. Unutmayın, Ciso bir orchestra şefidir.
  • Teknik/Taktik tarafına değil Strateji, iletişim, vizyon, çeviklik, liderlik gibi noktalara odaklanın.

Geleceği tam bir doğrulukla tahmin etmek neredeyse imkansızdır. Bununla birlikte, belirlenen ilgili eğilimlere dayalı olarak risk ve bilgi güvenliğine yönelik proaktif bir yaklaşım için temel oluşturmaya çalışmanın değeri vardır.

İş çevikliği, güvenli ilerleme ve yenilik sağlamak için sağlam stratejik güvenlik ilkeleri gerektiren uyarlanabilir kurumsal mimari ilkelerine ihtiyaç duyar.

Güvenlik stratejisi, şirketlerin mevcut güvenlik zorlukları hakkında öngörü sağlar ve iş stratejisiyle uyumlu stratejik güvenlik ilkelerini formüle etmek için ortaya çıkan bilgi güvenliği tehditlerine bakar.

Bu ilkeler, sonraki tüm güvenlik etkinliklerinin, süreçlerinin ve önlemlerinin kaynaklandığı temel olarak kabul edilir. Bu, sağlam bir kontrol temeli sağlayacak, bir tehdit kendini gösterdiğinde sürpriz unsurunu en aza indirecek ve önceden düşünülmüş mantıklı bir yanıt sağlayacaktır. Bu yüzden İdeal CISO lar yetişmeli ve yerleştirilmelidir.

Leave a Reply

Your email address will not be published. Required fields are marked *