Siber Güvenlikte Alaaddin'in Lambası: CISO'ların Büyülü Değil, Stratejik Mücadelesi

Efsanelerdeki gibi gizemli ve tehlikelerle dolu siber güvenlik krallığında, CISO'lar modern zamanların büyücüleri olarak karşımıza çıkar. Bu kahramanlar, veri hazinelerini korumak için dijital labirentlerde yılmadan mücadele ederken, onların en büyük silahı bilgi ve teknoloji olmuştur. Ancak, gerçek dünyada mücadele için sihirli lamba tek başına yeterli değildir; stratejik düşünce, derin analitik yetenekler ve liderlik bu mücadelenin temel taşlarıdır. Bu yazıda, CISO'ların siber güvenlik dünyasındaki en zorlu meydan okumalarla nasıl başa çıktıklarını, stratejilerini nasıl belirlediklerini ve siber saldırılara karşı nasıl bir kalkan oluşturduklarını detaylı bir şekilde ele alacağız. Dijital çağın karanlık yüzüyle mücadelede onların yanında yer almak için, bu heyecan verici yolculuğa hazır mısınız?

2023 yılında siber güvenlik dünyası her zamanki gibi oldukça hareketli geçti. Bu yılda CISO’lar hem yeni risklerle hem de yeni fırsatlarla karşılaştı. 2023 yılında yaşanan olayları farklı yaklaşımlar ile ele alan raporları inceleyerek kurumlardaki CISO (Chief Information Security Officer) görevinin olası zorluklarına ve fırsatlarına değineceğiz. 

IBM tarafından bu sene 18.si yayınlanan “Cost of a Data Breach” raporunda CISO görevinin ne kadar önemli olduğunu belirtmiştir. Bu görevi yaparken karşılaştıkları riskleri ve fırsatları Heidrick & Struggles tarafından bu sene 4.sü yayımlanan “2023 Global Chief Information Security Officer (CISO) Survey” raporu ile değerlendirceğiz. Ayrıca IANS tarafından bu sene 4.sü yayımlanan “State of the CISO” raporu ile CISO’ların yönetim kurulları ile olan ilişkilerindeki gelişmeleri ve liderlik rollerindeki değişiklikleri ele alıyoruz.

CIO’lar için Güvenlik en önemli konulardan biri

Gartner danışmanlık firması, üst düzey bilgi teknolojisi yöneticilerine yönelik her sene anket düzenleyerek onların kendi firmalarındaki önceliklerini ortaya koymaktadır. Son 3 senenin anket sonuçlarına göz attığımızda Siber Güvenlik Stratejilerinin en önemli başlık olarak her sene yer aldığı gözükmektedir. 

CIO’lar için bu kadar önemli olan siber güvenlik stratejilerine liderlik yapanlar ise CISO’lar olmaktadır. Siber güvenlik stratejilerinin neden bu kadar önemli olduğunu anlamak için IBM tarafından bu sene 18.si yayımlanan “Cost of a Data Breach” raporuna göz atalım.

IBM - Cost of a Data Breach

IBM Security tarafından yayımlanan “Cost of a Data Breach” raporunda, veri ihlallerinin maliyetlerini analiz ederek IT, risk yönetimi ve güvenlik liderlerine önemli bilgiler sunmaktadır. 

Raporda ön plana çıkan veriler;

• 2023 yılında, veri ihlallerinin ortalama maliyeti 4.45 milyon USD ile rekor seviyeye ulaşmıştır. Özellikle sağlık sektörü, 2020 yılından bu yana %53.3'lük bir maliyet artışıyla dikkat çekmektedir. Bu veriler, sektörel farklılıkların yanı sıra, siber güvenlik önlemlerinin ve stratejilerinin sektöre özgü olarak nasıl şekillendirilmesi gerektiğini vurgulamaktadır.
• Siber güvenlik yatırımları, özellikle yapay zeka ve otomasyon teknolojilerine yapılan yatırımlar veri ihlallerini tespit etme ve müdahale sürelerini önemli ölçüde kısaltarak, maliyetleri düşürmüştür. Bu teknolojiler, 2023 yılında veri ihlallerini yönetme sürecini ortalama 108 gün kısaltmış ve ihlal başına maliyeti de 1.76 milyon USD azaltmıştır.
• Veri ihlallerinin %82’si bulutta depolanan verileri içermektedir. Çoklu ortamları kapsayan ihlaller, ortalama 4.75 milyon USD ile daha yüksek maliyetli olmuştur.
• Maliyet azaltıcı faktörler arasında, yazılım geliştirme sürecine entegre güvenlik testleri (DevSecOps) 1.68 milyon USD tasarruf sağlamıştır. Yüksek seviyede olay müdahale planlaması ve testine sahip kuruluşlar ise düşük seviyedeki kuruluşlara kıyasla 1.49 milyon USD tasarruf etmiştir. 

Bu ekonomik verilerin ışığında, CISO'ların karşılaştıkları finansal baskılar göz önüne alındığında, bu rollerdeki kişilerin iş memnuniyeti ve kariyer beklentileri nasıl etkilenir? İşte bu sorunun cevabı, CISO'ların kendilerini nasıl hissettiklerine dair bize önemli ipuçları veriyor. Bu sorulara yanıt arayan raporlara beraber göz atalım.

2023 Global Chief Information Security Officer (CISO) Survey

2023 Global Chief Information Security Officer (CISO)” raporu, artan riskler, fırsatlar ve tazminatların temalarını vurgulamaktadır. CISO’nun rolü, organizasyonların teknolojik ihtiyaçları ve riskleri arttıkça daha da olgunlaşmakta ve siber güvenliğe verilen önem artmaktadır.

Raporun öne çıkan başlıkları;

• Anket yapılan CISO’ların %40'ının şirketlerinde bu rol için ardışık bir planın olmadığını, %13'ünün ise şirketlerinin böyle bir plan geliştirme sürecinde olmadığını belirtmesi endişe vericidir. Bu durum, rolün önemi düşünüldüğünde özellikle dikkat çekicidir. Yapılan son ankete göre liderlerin %76'sı önümüzdeki üç yıl içinde şirket değiştirmeye çok açık veya tamamen açık olduklarını belirtilmiştir.
• Şaşırtıcı olmayan bir şekilde, yapay zeka önümüzdeki beş yılda en önemli tehdit olarak karşımıza çıkıyor. Bu, CISO'nun becerilerinin sürekli ve hızlı bir şekilde evrimini gerektiren birçok tehditten sadece biridir. CISO rolünün daha teknik hale gelme eğiliminin bir parçasıdır. Özellikle, CISO’ların yazılım mühendisliğini ve bulut güvenliğini anlamalarına olan ihtiyacın arttığı vurgulanmaktadır.
• Ankete katılım sağlayanların %80'i ekip yeteneklerini oluşturmak veya geliştirmek için liderlik ve gelişime yatırım yapabildiklerini kabul ettiği belirtmektedir. Yanıt verenlerin yarısından fazlası, yönetim kurullarının sunumlarına etkili bir şekilde yanıt vermek için bilgi veya uzmanlığa yalnızca biraz sahip olduklarını veya hiç sahip olmadıklarını düşünüyor. Ancak CISO'ların yalnızca %30'u şu anda kurumsal bir kurulda yer aldıklarını belirtmiştir.

2023-2024 State Of The CISO Benchmark Report

IANS Research tarafından yayımlanan “State of The CISO” raporu CISO’ların 2024 yılı içinde karşılaşabilecekleri risklere ve fırsatlara değinmektedir. Rapor içeriği ABD ve Kanada’daki 100 kadar önde gelen CISO ile yapılan görüşmelerde oluşturulmuştur.

Raporun ana temalarına baktığımızda öne çıkan maddeler aşağıdaki gibi olmaktadır; 

• Finansal piyasalardaki dalgalanmalar ve enflasyonun yükselmesi, birçok şirketin siber güvenlik programları da dahil olmak üzere harcamalarını azaltmalarına neden olmuştur.
• Siber ihlaller, fidye yazılımı saldırıları ve genel tehdit seviyeleri, jeopolitik istikrarsızlık ve gelişen tehdit ortamı nedeniyle artmıştır. 
• Yeni nesil yapay zeka araçlarının yükselişi, CISO’lara gelişmiş tehdit tespiti, otomasyon ve uyarlanabilir savunmalar için yeni fırsatlar sunarken, aynı zamanda yeni tehditler ve genişlemiş saldırı yüzeyi de oluşturmuştur.

Teknoloji ve siber saldırıların değişmesi ile beraber siber güvenliğe regüle eden kurallarda değişmektedir. Regülasyon değişimleri ve siber güvenliğin öneminin de artması ile CISO görevinden beklentiler de doğal olarak değişmektedir.

Bu tablo, CISO rolüne yönelik yeni beklentiler ile mevcut durumu karşılaştırmaktadır. SEC kuralları ve CISO hesap verebilirliği ile birlikte, CISO’ların iş risk fonksiyonu olarak hizmet etmeleri ve iş zekasını teknik becerilerden önde tutmaları beklenmektedir. Ancak, CISO’ların %76’sı ağırlıklı olarak teknik bir geçmişe sahip olup, risk yönetimi genellikle ikincil öneme sahiptir. Ayrıca, CISO’ların sadece %20’si C-seviyesinde olup, %63’ü VP veya direktör seviyesindedir. Bu durum, CISO’ların çoğunlukla teknik odaklı bir geçmişe sahip olduğunu ve yönetim kurullarında yeterince temsil edilmediğini göstermektedir.

Bu dijital masalın sonuna gelirken, modern zamanların CISO kahramanlarının siber tehditlerle nasıl başa çıkabileceği konusunda bazı kilit öneriler sunalım. Öncelikle, bilgi güvenliği stratejilerinin sürekli güncellenmesi, teknolojik yeniliklere ayak uydurması gerekmektedir. Yapay zeka ve otomasyon gibi yeni nesil araçlar, tehditleri hızla tespit edip müdahale etme sürecini önemli ölçüde iyileştirebilir. İkinci olarak, CISO'ların ekiplerini sürekli eğitmeleri ve onlara liderlik etmeleri, kurum içinde bir güvenlik kültürünün benimsenmesini sağlar. Son olarak, siber güvenlik risklerini yönetim kurullarına etkili bir şekilde aktarabilmek, bu alandaki yatırımların artırılmasına ve stratejik karar alma süreçlerine dahil edilmesine katkıda bulunacaktır.

Yazının tamamı için tıklayın.

Diğer blog yazıları için tıklayın.

Bülten yazılarımıza yaz arası veriyoruz, Eylül ayında görüşmek üzere...