CISO iş tanımı: Bir CISO ne yapar?
Bir bilgi güvenliği sorumlusu (chief information security officer), güvenlik duvarları ve antivirüs yazılımından çok daha fazlasıyla ilgilenir.
Geçtiğimiz birkaç yıl hem BT uzmanları hem de kuruluşlar için özellikle zorlayıcı oldu, bu 2022’nin daha kolay olacağı anlamına gelmiyor. Çalışanlar yavaş yavaş ofise döndükçe, haftanın bir bölümünde pandemi öncesine göre daha esnek bir temelde uzaktan çalışmaya devam edecekler. Bu, BT ekiplerinin dikkate alması gereken bazı ekstra güvenlik sorunları sağlar.
Birçok kuruluş, özellikle son zamanlarda SolarWinds hack gibi bazı yüksek profilli siber saldırılar olduğu için, siber güvenlik stratejilerinin yanı sıra yanıt ve izleme yeteneklerini gözden geçirmeyi düşünüyor. İşletmeler, aynı hataları yapmaktan ve müşterilerinin sadakatini ve güvenini kaybetmemek için bunu yapmayı tercih ediyor; bu her zaman zararlıdır, ancak özellikle bir finansal krizin ortasında böyledir.
Pandemi başladığından beri dünyanın durumu büyük ölçüde değişti ve bu özellikle güvenlik durumu için de geçerli. Siber güvenlik uzmanları geçen yıl çok yoğun bir şekilde çalışıyordu: Solarwinlerden Zoom saldırılarına kadar, kuruluşların her zamankinden daha fazla güvenlik ve liderlik becerilerine sahip olması gerekiyor. Bu belirsiz zamanlarda, şirketlerin ve verilerinin güvenliğini ve güvenliğini sağlamakla güvenilir bir kişiye sahip olması son derece önemlidir.
Bu sorumluluk, bu makalede işlevini inceleyeceğimiz bir baş bilgi güvenliği görevlisine (CISO) verilebilir. Gereksinimlerden geri ödemeye kadar, bu yönetici rolünün ayrıntılarını analiz ederek bunun sizin için mükemmel bir rol olup olamayacağını öğrenebilirsiniz.
CISO (chief information security officer) kimdir?
Bu sorumluluğun ciddiye alınması için bir strateji ve bu vizyonu teoriden gerçeğe taşıyacak birisine ihtiyaç vardır. Baş bilgi güvenliği görevlisini (CISO) girin. Önceleri yalnızca ABD şirketlerine ait bir rol olarak üstlenilen iş unvanı, şimdi İngiliz kıyılarına da ulaştı.
Baş güvenlik mimarisi veya bilgi güvenliği yöneticisi olarak da ifade edilebilecek olan CISO, şirket ve müşteri verilerinin korunmasının yanı sıra altyapı ve varlıkların kötü niyetli aktörlerden korunmasını denetleyen bir yönetici rolüdür.
Yaygın veri hırsızlığı ve GDPR gibi agresif ancak önemli mevzuatların olduğu bir çağda, bir kuruluştaki her BT tesisi güvenli olmalıdır. Bu, yalnızca güvenlik önlemlerinin uygulanmasını değil, aynı zamanda çalışanların eğitim ve öğretimini de gerektirir . Siber güvenlik olaylarının çoğu çalışan hatasının sonucu olduğundan, bir CISO’nun potansiyel tehditleri hem dahili hem de harici olarak araması önemlidir.
Tehdit ortamı gelişmeye devam ederken, bir CISO’nun çalışması da buna ayak uydurmalıdır.
Bir CISO’nun ne gibi sorumlulukları vardır?
CISO’ların güvenlik duvarları ve antivirüs yazılımlarıyla uğraşmanın çok ötesine geçen çok çeşitli sorumlulukları vardır . BT personelini işe almaktan, şirketi ortaya çıkan tehditlerden korumak için gerekli politika yönlendirmesini sağlamaktan ve herhangi bir zamanda bir stratejinin doğru yönlerine öncelik vermelerini sağlamak için üst düzey BT ekip liderlerini doğrudan yönetmekten sorumludurlar.
Bir CISO, şirketin BT güvenlik donanım stratejisine de öncülük etmeli ve ister BT personeli isterse diğer BT güvenlik personeli olsun, gerekli faaliyetlerin uygun departman tarafından gerçekleştirildiğinden emin olmalıdır.
İnovasyon ayrıca herhangi bir organizasyonun güvenlik duruşunda önemli bir rol oynar. Bu nedenle, CISO ayrıca kurumsal güvenlik politikalarını, standartlarını ve prosedürlerini taze ve amaca uygun tutmak ve yönetim kurulu genelindeki personelin hatasız bir şekilde günlük olarak uymasını sağlamakla görevlendirilecektir.
CISO’ların, herkesin aynı yöne doğru ilerlemesini sağlamak için tüm kuruluşla birlikte çalışması beklenir. Sonuçta, güvenliği sağlamak, bir kez açık artırmaya çıkarılıp sonra bırakılabilen bir şey değil, sürekli bir süreçtir. Tehdit ortamının yaptığı gibi gelişmesi ve değişmesi gerekiyor. O halde buradaki başarı, tüm BT güvenlik politikalarının dağıtıldığından, revize edildiğinden, sürdürüldüğünden ve etkin bir şekilde denetlendiğinden emin olmak için üst yönetim ve çalışanlarla düzenli olarak görüşmeyi içerecektir.
Gerçek dünyada olabileceklerin taklit edilmesi, ihlal ve veri hırsızlığı tehdidi söz konusu olduğunda herkesin aynı fikirde olmasını sağlamanın bir yoludur. Temelde kimlik avlayan çalışanlar, kendi ortamınızda neyi (kendi ortamınızda) tıklattığını görerek, farkındalık eksiklikleri ve eğitim gereksinimlerinden daha fazla emin olabilirsiniz. Çalışanlara yapılmış olabilecek zararı gösterse de neyse ki göstermeseydi, gelecekte güvenliğin aklında kalmasını sağlayacaktır.
Bunun bir parçası olarak, mevcut BT altyapısı herhangi bir güvenlik riski açısından denetlenmeli ve değerlendirilmelidir ve CISO’lar, ellerindeki verileri herhangi bir riski tahmin etmek ve buna göre ele almak için kullanmaktan sorumludur. Bir olay meydana gelmeden önce güvenlik açıklarını sürekli olarak değerlendirmeleri ve düzeltmeler bulmaları gerekir.
Bir CISO’nun ayrıca güvenlik olaylarıyla ilgili politikalar geliştirmesi ve bir güvenlik ihlali ortaya çıktığında veya meydana geldiğinde harekete geçecek bir Acil Durum Müdahale Ekibi oluşturması gerekir. Bunun yanı sıra, siber saldırı sonrası iş sürekliliğine izin vermek için bir felaket kurtarma planı geliştirmekten sorumlu olabilirler.
Birçok işletme ve BT karar alıcıları gibi, CISO’lar da bütçelerle sınırlıdır, bu nedenle kaynakların önceliklendirilmesi ve verimli bir şekilde tahsis edilmesi ve güvenlik varlıkları için uygun kapsamı sağlamak için finansal tahminlerin hazırlanması gerekir. Bir CISO’nun, yatırımların bir kuruluşun varlıklarını korumak ve en kötüsü olması durumunda verilerini ve itibarını korumak için kullanılabileceğini göstermesi gerekir.
CISO olmak için hangi becerilere ihtiyaç vardır?
Yetkili bir CISO olmak için sağduyunun ötesinde birkaç temel beceri gereklidir. Bunlar şunları içerir:
- İletişim ve sunum becerileri
- Politika geliştirme ve yönetim becerileri
- Devlet hakkında bilgi (örneğin hem mevcut hem de gelecek olan ilgili mevzuat)
- İşbirliği uzmanlığı
- Finansal, planlama ve stratejik yönetim becerileri
- Denetim ve olay yönetimi becerileri
- Ve son olarak, düzenleme bilgisi ve standartlara uygunluk.
Bununla birlikte, bir CISO için en değerli beceri, BT güvenliği ve teknik sorunları, teknik olmayan liderliğe tehdit edici olmayan, açık ve eyleme geçirilebilir bir şekilde ifade etme yeteneğidir.
PayScale’e göre bir CISO’nun maaşı bu kalite sayesinde %4 oranında artırılabilir. Ancak bu aynı zamanda, zaman zaman zorlayıcı olabilen, örnek olarak liderlik etme zorluğuna hazır olmak anlamına da gelir. Yakın tarihli bir rapora göre , dört küresel BT güvenlik liderinden biri kişisel ve iş kullanımı için aynı parolayı kullandı . Raporda, ankete katılanların %39’u geçen ay iş e-posta şifrelerini değiştirmediklerini söylüyor. Ayrıca, CISO’ların %48’inin iş bilgisayarları aracılığıyla sosyal ağ platformlarına giriş yaptığını ve %63’ünün bilinmeyen LinkedIn kullanıcılarından gelen bağlantı isteklerini kabul etmeye istekli olduğunu buldu – MI5’in aktif olarak insanları yapmamaları konusunda uyardığı bir davranış.
Bir CISO ne kadar maaş alır?
Genel olarak, bir CISO rolüne başvuran birinin, birçok rolün güvenlik ve üst düzey risk yönetimi rollerinde en az 10 yıldan fazla süre talep etmesiyle birlikte oldukça deneyimli olması beklenir. Ancak, bu aynı zamanda rolün önemli bir maaş gerektirdiği anlamına gelir.
Birleşik Krallık’taki bir CISO , en popülerleri tıbbi (%70), dişçilik (%25) ve vizyon olmak üzere ek avantajlar ve ikramiyeler sunan bir dizi kuruluşla yılda yaklaşık 92.000 £ civarında bir maaş almayı bekleyebilir ( %17). Bir CISO’nun yıllık ortalama ikramiyesi, Birleşik Krallık’ta yaklaşık 11.500 £’dir.
Ancak maaş, çoğunlukla uzmanlık düzeyine bağlıdır. Örneğin, yeni atanan bir CISO muhtemelen yılda 73.000 £ ‘dan fazla kazanmayacaktır. Beş ila dokuz yıllık deneyimden sonra, bu muhtemelen 80 bin işaretinin üzerine çıkacaktır. Bu pozisyonda on yıl geçtikten sonra, bir CISO ortalama toplam 97.000 £ tazminat kazanabilirken, 20 yıllık deneyime sahip olanlar toplam ortalama 110.000 £ kazanabilir.
Tabii ki, bu hala şirkete ve bulunduğu yere bağlıdır. Birleşik Krallık’ta ortalama CISO maaşı 90.000 £ iken, en üst düzeydeki bazı şirketler 147.000 £’a kadar maaş teklif edebilir. Kimin için çalışıyor olursanız olun, maaş etkileyici olmaktan başka bir şey değildir.
Yine de, beş CISO’dan birinden daha azının (%18,5) kadın olarak tanımlandığı, hâlâ erkeklerin ağırlıklı olarak egemen olduğu bir sektör.
Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.